Geekly articles weekly

Solusi perangkat keras keamanan informasi USB melalui IP

Baru-baru ini saya berbagi pengalaman dalam menemukan solusi untuk mengatur akses terpusat ke kunci keamanan elektronik di organisasi kami. Dalam komentar, muncul pertanyaan serius tentang keamanan informasi USB melalui solusi perangkat keras IP, yang sangat kami khawatirkan.

Jadi, pertama, kami masih memutuskan kondisi awal.

  • Sejumlah besar kunci keamanan elektronik.
  • Akses ke mereka diperlukan dari berbagai lokasi geografis.
  • Kami hanya mempertimbangkan solusi perangkat keras USB over IP dan mencoba mengamankan solusi ini dengan mengambil langkah-langkah organisasi dan teknis tambahan (kami belum mempertimbangkan masalah alternatif).
  • Dalam kerangka artikel ini, saya tidak akan sepenuhnya menggambarkan model ancaman yang sedang kita pertimbangkan (banyak dapat ditemukan dalam publikasi ), tetapi saya akan membahas dua poin. Kami mengecualikan dari model rekayasa sosial dan tindakan ilegal dari pengguna itu sendiri. Kami sedang mempertimbangkan kemungkinan akses tidak sah ke perangkat USB dari jaringan mana pun tanpa memiliki kredensial reguler.

gambar

Untuk memastikan keamanan akses ke perangkat USB, langkah-langkah organisasi dan teknis telah diambil:

1. Langkah-langkah keamanan organisasi.

Hub USB yang dikendalikan oleh IP dipasang di kabinet server yang terkunci dengan kunci berkualitas tinggi. Akses fisik ke sana efisien (ACS di ruangan itu sendiri, pengawasan video, kunci, dan hak akses untuk lingkaran orang yang sangat terbatas).

Semua perangkat USB yang digunakan dalam organisasi secara kondisional dibagi menjadi 3 kelompok:

  • Sangat penting. EDS Keuangan - digunakan sesuai dengan rekomendasi bank (bukan melalui USB melalui IP)
  • Yang penting. EDS untuk lantai perdagangan, layanan, EDI, pelaporan, dll., Sejumlah kunci untuk perangkat lunak - digunakan menggunakan USB yang dikendalikan melalui hub IP.
  • Tidak kritis. Sejumlah tombol untuk perangkat lunak, kamera, sejumlah flash drive dan disk dengan informasi yang tidak penting, modem USB digunakan menggunakan USB melalui hub yang dikendalikan IP.

2. Langkah-langkah keamanan teknis.

Akses jaringan ke hub USB over IP yang dikelola disediakan hanya di dalam subnet yang terisolasi. Akses ke subnet terisolasi disediakan:

  • dari farm server terminal,
  • VPN (sertifikat dan kata sandi) ke sejumlah komputer dan laptop; VPN memberi mereka alamat permanen,
  • Terowongan VPN yang menghubungkan kantor regional.

Fungsi-fungsi berikut ini dikonfigurasi pada hub USB over IP DistKontrolUSB yang paling terkelola menggunakan alat standarnya:

  • Enkripsi digunakan untuk mengakses perangkat USB melalui IP hub USB (Enkripsi SSL diaktifkan pada hub), meskipun ini mungkin sudah berlebihan.
  • Dikonfigurasi "membatasi akses ke perangkat USB berdasarkan alamat IP." Tergantung pada alamat IP, pengguna diberikan atau tidak akses ke perangkat USB yang ditugaskan.
  • Dikonfigurasi "Membatasi akses ke port USB dengan login dan kata sandi." Dengan demikian, pengguna diberi hak untuk mengakses perangkat USB.
  • "Membatasi akses ke perangkat USB dengan login dan kata sandi" memutuskan untuk tidak menggunakan, karena semua kunci USB terhubung secara permanen ke USB melalui hub IP dan tidak diatur ulang dari port ke port. Bagi kami lebih logis untuk memberikan pengguna akses ke port USB dengan perangkat USB yang terpasang di dalamnya untuk waktu yang lama.
  • Menghidupkan dan mematikan port USB secara fisik dilakukan:

    • Untuk kunci perangkat lunak dan EDI - dengan bantuan penjadwal tugas dan tugas yang ditugaskan dari konsentrator (sejumlah kunci diprogram untuk dihidupkan pada jam 9.00 dan dimatikan pada jam 18.00, baris dari jam 13.00 hingga 16.00);
    • Untuk kunci lantai perdagangan dan sejumlah perangkat lunak - oleh pengguna yang berwenang melalui antarmuka WEB;
    • Kamera, sejumlah flash drive dan disk dengan informasi yang tidak penting selalu disertakan.

Kami berasumsi bahwa organisasi akses ke perangkat USB tersebut memastikan penggunaannya yang aman:

  • dari kantor regional (bersyarat NET No. 1 ....... NET No. N),
  • untuk sejumlah komputer dan laptop yang menghubungkan perangkat USB melalui jaringan global,
  • untuk pengguna yang diterbitkan pada server aplikasi terminal.

Dalam komentar, saya ingin mendengar langkah-langkah praktis spesifik yang meningkatkan keamanan informasi dalam menyediakan akses global ke perangkat USB.

Source: https://habr.com/ru/post/id448110/

More articles:


All Articles