Kürzlich teilte ich meine
Erfahrungen bei der Suche nach einer Lösung für die Organisation des zentralen Zugriffs auf elektronische Sicherheitsschlüssel in unserer Organisation. In den Kommentaren wurde eine ernsthafte Frage zur Informationssicherheit von USB-über-IP-Hardwarelösungen aufgeworfen, über die wir uns große Sorgen machen.
Zunächst entscheiden wir uns also noch für die Ausgangsbedingungen.
- Eine große Anzahl elektronischer Sicherheitsschlüssel.
- Der Zugang zu ihnen ist von verschiedenen geografischen Standorten aus erforderlich.
- Wir betrachten nur USB-over-IP-Hardwarelösungen und versuchen, diese Lösung durch zusätzliche organisatorische und technische Maßnahmen zu sichern (wir prüfen die Frage nach Alternativen noch nicht).
- Im Rahmen des Artikels werde ich die von uns in Betracht gezogenen Bedrohungsmodelle nicht vollständig beschreiben (vieles ist in der Veröffentlichung zu finden ), aber ich werde auf zwei Punkte eingehen. Wir schließen Social Engineering und illegale Handlungen der Nutzer selbst vom Modell aus. Wir erwägen die Möglichkeit eines unbefugten Zugriffs auf USB-Geräte aus einem der Netzwerke ohne regelmäßige Anmeldeinformationen.
Um die Sicherheit des Zugriffs auf USB-Geräte zu gewährleisten, wurden organisatorische und technische Maßnahmen ergriffen:
1. Organisatorische Sicherheitsmaßnahmen.
Ein USB-over-IP-gesteuerter Hub ist in einem Serverschrank installiert, der mit hochwertigen Schlüsseln verriegelt wird. Der physische Zugriff darauf wird optimiert (ACS im Raum selbst, Videoüberwachung, Schlüssel und Zugriffsrechte für einen streng begrenzten Personenkreis).
Alle in der Organisation verwendeten USB-Geräte sind bedingt in drei Gruppen unterteilt:
- Kritisch. Finanzielles EDS - wird gemäß den Empfehlungen der Banken verwendet (nicht über USB over IP)
- Die wichtigen. EDS für Trading Floors, Services, EDI, Reporting usw., eine Reihe von Schlüsseln für Software - werden über einen gesteuerten USB-over-IP-Hub verwendet.
- Nicht kritisch. Eine Reihe von Schlüsseln für Software, eine Kamera, eine Reihe von Flash-Laufwerken und Festplatten mit nicht kritischen Informationen sowie USB-Modems werden über einen USB-over-IP-gesteuerten Hub verwendet.
2. Technische Sicherheitsmaßnahmen.
Der Netzwerkzugriff auf einen verwalteten USB-over-IP-Hub wird nur innerhalb eines isolierten Subnetzes bereitgestellt. Der Zugriff auf ein isoliertes Subnetz wird bereitgestellt:
- von der Terminalserverfarm,
- VPN (Zertifikat und Passwort) für eine begrenzte Anzahl von Computern und Laptops; VPNs geben ihnen permanente Adressen,
- VPN-Tunnel, die Regionalbüros verbinden.
Die folgenden Funktionen werden auf dem am meisten verwalteten USB-over-IP-Hub von DistKontrolUSB mit seinen Standardtools konfiguriert:
- Die Verschlüsselung wird verwendet, um auf USB-Geräte auf einem USB-over-IP-Hub zuzugreifen (die SSL-Verschlüsselung ist auf dem Hub aktiviert), obwohl dies möglicherweise bereits überflüssig ist.
- Konfiguriert "Zugriff auf USB-Geräte durch IP-Adresse einschränken". Abhängig von der IP-Adresse wird dem Benutzer Zugriff auf die zugewiesenen USB-Geräte gewährt oder nicht.
- Konfiguriert "Einschränken des Zugriffs auf den USB-Anschluss durch Anmeldung und Kennwort." Dementsprechend werden Benutzern Rechte zum Zugriff auf USB-Geräte zugewiesen.
- "Zugriff auf ein USB-Gerät durch Login und Passwort einschränken" hat sich entschieden, nicht zu verwenden, weil Alle USB-Sticks sind fest mit dem USB-over-IP-Hub verbunden und werden nicht von Port zu Port neu angeordnet. Für uns ist es logischer, Benutzern Zugriff auf einen USB-Anschluss zu gewähren, auf dem lange Zeit ein USB-Gerät installiert ist.
- Das physische Ein- und Ausschalten der USB-Anschlüsse erfolgt:
- Für Schlüssel zu Software und EDI - mit Hilfe des Aufgabenplaners und der zugewiesenen Aufgaben des Konzentrators (eine Reihe von Schlüsseln wurde so programmiert, dass sie um 9.00 Uhr ein- und um 18.00 Uhr ausgeschaltet werden, eine Reihe von 13.00 bis 16.00 Uhr);
- Für Schlüssel zu Handelsflächen und einer Reihe von Software - von autorisierten Benutzern über die WEB-Schnittstelle;
- Kameras, eine Reihe von Flash-Laufwerken und Festplatten mit unkritischen Informationen sind immer enthalten.
Wir gehen davon aus, dass eine solche Organisation des Zugriffs auf USB-Geräte deren sichere Verwendung gewährleistet:
- von Regionalbüros (bedingt NET Nr. 1 ....... NET Nr. N),
- für eine begrenzte Anzahl von Computern und Laptops, die USB-Geräte über das globale Netzwerk verbinden,
- für Benutzer, die auf Terminalanwendungsservern veröffentlicht wurden.
In den Kommentaren würde ich gerne konkrete praktische Maßnahmen hören, die die Informationssicherheit beim globalen Zugriff auf USB-Geräte erhöhen.