Je souhaite partager notre expérience d'un an dans la recherche d'une solution pour organiser un accès centralisé et ordonné aux clés de sécurité électroniques de notre organisation (clés d'accès aux salles de marché, clés bancaires, clés de sécurité logicielles, etc.). En relation avec notre présence de succursales, qui sont géographiquement assez séparées les unes des autres, et la présence dans chacune d'elles de plusieurs clés de protection électronique - il y en a toujours un besoin, mais dans des branches différentes. Après un autre problème avec une clé perdue, la direction a défini la tâche - résoudre ce problème et collecter TOUS les dispositifs de protection USB en un seul endroit et s'assurer qu'ils fonctionnent avec eux, quel que soit l'emplacement de l'employé.
Nous devons donc collecter dans un seul bureau toutes les clés disponibles dans notre entreprise, la banque client, les licences 1s (hasp), les rootkens, le jeton ESMART USB 64K, etc. pour une utilisation ultérieure sur des machines physiques et virtuelles distantes Hyper-V. Le nombre de périphériques USB est de 50 à 60 et ce n'est certainement pas la limite. Emplacement des serveurs de virtualisation en dehors du bureau (centre de données). L'emplacement de tous les périphériques USB au bureau.
Nous avons étudié les technologies existantes pour l'accès centralisé aux périphériques USB et décidé de nous concentrer sur la technologie USB sur IP (USB sur IP). Il s'avère que de nombreuses organisations utilisent cette solution particulière. Il existe à la fois du matériel et des logiciels USB sur IP sur le marché, mais ils ne nous convenaient pas. En conséquence, nous nous concentrerons davantage uniquement sur le choix du matériel USB sur IP, et tout d'abord sur notre choix. Appareils de Chine (sans nom), nous avons également exclu de la considération.
La solution matérielle USB sur IP la plus décrite sur Internet est l'appareil fabriqué aux États-Unis et en Allemagne. Pour une étude détaillée, nous avons acheté une grande version montée en rack de cet USB sur IP, conçu pour 14 ports USB, avec la possibilité de montage dans un rack de 19 pouces et l'USB sur IP allemand, conçu pour 20 ports USB, également avec la possibilité de montage dans un rack de 19 pouces. Malheureusement, ces fabricants ne disposaient pas d'un plus grand nombre de ports USB sur IP.
Le premier appareil est très cher et intéressant (Internet regorge de critiques), mais il y a un très gros inconvénient - il n'y a pas de système d'autorisation pour connecter des appareils USB. Quiconque installe une application de connexion USB a accès à toutes les clés. De plus, comme le montre la pratique, le périphérique USB «esmart token est64u-r1» ne convient pas pour une utilisation avec le périphérique et, pour l'avenir, avec «allemand» sur le système d'exploitation Win7 - lorsqu'un BSOD permanent y est connecté.
Le deuxième périphérique USB sur IP nous a semblé plus intéressant. L'appareil dispose d'un large éventail de paramètres liés aux fonctions réseau. L'interface USB sur IP est logiquement partitionnée, la configuration initiale était donc assez simple et rapide. Mais, comme mentionné précédemment, il y a eu des problèmes de connexion d'un certain nombre de clés.
L'étude d'autres matériels USB sur IP est tombée sur des fabricants nationaux. La gamme de modèles comprend des versions 16, 32, 48 et 64 ports avec possibilité de montage dans un rack 19 pouces. La fonctionnalité décrite par le fabricant était encore plus riche que celle du précédent USB sur IP. Au départ, j'aimais que le concentrateur USB sur IP contrôlé par le pays offre une protection en deux étapes pour les périphériques USB lors du partage USB sur un réseau:
- Mise sous et hors tension physique à distance des périphériques USB;
- Autorisation de connexion de périphériques USB par identifiant, mot de passe et adresse IP.
- Autorisation de connexion des ports USB par login, mot de passe et adresse IP.
- Enregistrement de toutes les inclusions et connexions de périphériques USB par les clients, ainsi que de telles tentatives (saisie d'un mot de passe incorrect, etc.).
- Cryptage du trafic (qui, en principe, n'était pas mauvais sur le modèle allemand).
- De plus, il convenait que l'appareil, bien qu'il ne soit pas bon marché, était plusieurs fois moins cher que précédemment acheté (la différence devient particulièrement importante lors de la conversion en port, nous avons considéré un port USB sur IP à 64 ports).
Nous avons décidé de clarifier le problème avec le fabricant avec la prise en charge de deux types de jetons intelligents qui ont des problèmes de connexion plus tôt. Nous avons été informés qu'ils ne garantissent pas à 100% la prise en charge de tous les appareils USB, mais nous n'avons pas encore trouvé un seul appareil avec lequel il y aurait des problèmes. Nous n'étions pas satisfaits d'une telle réponse et nous avons suggéré que le fabricant transfère les jetons pour les tests (l'avantage était que l'expédition par la société de transport ne coûtait que 150 roubles, et nous avons suffisamment d'anciens jetons). 4 jours après l'envoi des clés, nous avons été informés des données de connexion et nous avons eu de merveilleuses connexions avec Windows 7, 10 et Windows Server 2008. Tout a bien fonctionné, nous avons connecté nos jetons sans problème et avons eu la possibilité de travailler avec eux.
Nous avons acheté un concentrateur USB sur IP contrôlé avec 64 ports USB. Nous avons connecté les 64 ports de 18 ordinateurs dans différentes branches (32 clés et le reste - lecteurs flash, disques durs et 3 caméras USB) - tous les appareils ont fonctionné sans problème. En général, l'appareil était satisfait.
Je ne donne pas les noms et les fabricants de périphériques USB sur IP (pour qu'il n'y ait pas de publicité), ils peuvent simplement être trouvés sur Internet.