Saya ingin berbagi pengalaman satu tahun kami dalam menemukan solusi untuk mengatur akses terpusat dan teratur ke kunci keamanan elektronik di organisasi kami (kunci untuk mengakses lantai perdagangan, kunci perbankan, kunci keamanan perangkat lunak, dll.). Sehubungan dengan kehadiran kami di cabang, yang secara geografis cukup terpisah satu sama lain, dan kehadiran di masing-masing dari mereka dari beberapa kunci perlindungan elektronik - selalu ada kebutuhan untuk mereka, tetapi di cabang yang berbeda. Setelah keributan lain dengan kunci yang hilang, manajemen mengatur tugas - untuk menyelesaikan masalah ini dan mengumpulkan SEMUA perangkat perlindungan USB di satu tempat, dan memastikan bahwa mereka bekerja dengan mereka terlepas dari lokasi karyawan.
Jadi, kita perlu mengumpulkan di satu kantor semua kunci yang tersedia di perusahaan, bank pelanggan, lisensi 1s (hasp), rootkens, ESMART Token USB 64K, dll. untuk penggunaan selanjutnya pada mesin fisik dan virtual jarak jauh Hyper-V. Jumlah perangkat usb adalah 50-60 dan pasti itu bukan batasnya. Lokasi server virtualisasi di luar kantor (pusat data). Lokasi semua perangkat USB di kantor.
Kami mempelajari teknologi yang ada untuk akses terpusat ke perangkat USB dan memutuskan untuk fokus pada teknologi USB melalui IP (USB over IP). Ternyata banyak organisasi menggunakan solusi khusus ini. Ada perangkat keras dan perangkat lunak USB over IP di pasaran, tetapi tidak cocok untuk kami. Dengan demikian, lebih jauh kita akan fokus hanya pada pilihan perangkat keras USB daripada IP, dan pertama-tama pada pilihan kita. Perangkat dari China (tanpa nama), kami juga tidak termasuk dalam pertimbangan.
Solusi perangkat keras USB over IP yang paling banyak dijelaskan di Internet adalah perangkat yang diproduksi di AS dan Jerman. Untuk studi terperinci, kami membeli versi besar pemasangan USB dari IP ini, yang dirancang untuk 14 port USB, dengan kemungkinan pemasangan di rak 19 inci dan USB Jerman lebih dari IP, dirancang untuk 20 port USB, juga dengan kemungkinan pemasangan di rak 19 inci. Sayangnya, pabrikan-pabrikan ini tidak memiliki lebih banyak port USB melalui perangkat IP.
Perangkat pertama sangat mahal dan menarik (Internet penuh ulasan), tetapi ada minus yang sangat besar - tidak ada sistem otorisasi untuk menghubungkan perangkat USB. Siapa pun yang memasang aplikasi koneksi USB mendapat akses ke semua tombol. Selain itu, seperti yang diperlihatkan oleh praktik, perangkat USB "esmart token est64u-r1" tidak cocok untuk digunakan dengan perangkat dan, melihat ke depan, dengan "Jerman" di OS Win7 - ketika BSOD permanen terhubung dengannya.
Perangkat USB over IP kedua tampak lebih menarik bagi kami. Perangkat ini memiliki sejumlah besar pengaturan yang terkait dengan fungsi-fungsi jaringan. Antarmuka USB over IP dipartisi secara logis, sehingga pengaturan awal cukup sederhana dan cepat. Tapi, seperti yang disebutkan sebelumnya, ada masalah menghubungkan sejumlah kunci.
Mempelajari lebih lanjut perangkat keras USB melalui IP menemukan produsen dalam negeri. Rentang model mencakup 16, 32, 48 dan 64 versi port dengan kemungkinan pemasangan di rak 19 inci. Fungsionalitas yang dideskripsikan oleh pabrikan bahkan lebih kaya daripada USB sebelumnya melalui IP. Awalnya, saya suka bahwa hub USB over IP yang dikendalikan domestik menyediakan perlindungan dua tahap untuk perangkat USB saat berbagi USB melalui jaringan:
- Daya fisik jauh dan mematikan perangkat USB;
- Otorisasi untuk menghubungkan perangkat USB dengan login, kata sandi dan alamat IP.
- Otorisasi untuk menghubungkan port USB dengan login, kata sandi dan alamat IP.
- Pencatatan semua inklusi dan koneksi perangkat USB oleh klien, serta upaya semacam itu (entri kata sandi salah, dll.).
- Enkripsi lalu lintas (yang, pada prinsipnya, tidak buruk pada model Jerman).
- Selain itu, cocok bahwa perangkat, meskipun tidak murah, beberapa kali lebih murah daripada yang dibeli sebelumnya (perbedaannya menjadi sangat signifikan ketika dikonversi ke port, kami menganggap USB 64-port melalui IP).
Kami memutuskan untuk mengklarifikasi dengan produsen bagaimana masalahnya dengan dukungan dua jenis token pintar yang memiliki masalah koneksi sebelumnya. Kami diberi tahu bahwa mereka tidak memberikan jaminan dukungan 100% untuk semua perangkat USB, tetapi belum menemukan satu pun perangkat yang dapat menimbulkan masalah. Kami tidak puas dengan jawaban seperti itu dan kami menyarankan agar pabrikan mentransfer token untuk pengujian (manfaatnya adalah pengiriman oleh perusahaan transportasi hanya berharga 150 rubel, dan kami memiliki token yang cukup lama). 4 hari setelah mengirim kunci, kami diberitahu tentang data untuk menghubungkan dan kami terhubung luar biasa dengan mereka dengan Windows 7, 10 dan Windows Server 2008. Semuanya bekerja dengan baik, kami menghubungkan token kami tanpa masalah dan memiliki kesempatan untuk bekerja dengan mereka.
Kami membeli hub USB over IP yang terkontrol dengan 64 port USB. Kami menghubungkan semua 64 port dari 18 komputer di berbagai cabang (32 kunci dan sisanya - flash drive, hard drive, dan 3 kamera USB) - semua perangkat bekerja tanpa masalah. Secara umum, perangkat itu puas.
Saya tidak memberikan nama dan produsen USB melalui perangkat IP (sehingga tidak akan ada iklan), mereka dapat ditemukan di Internet.