Quero compartilhar nossa experiência de um ano na busca de uma solução para organizar um acesso centralizado e ordenado às chaves de segurança eletrônica em nossa organização (chaves para acessar pregões, chaves bancárias, chaves de segurança de software etc.). Em conexão com a nossa presença de filiais, que são geograficamente bastante separadas uma da outra, e a presença em cada uma delas de várias chaves de proteção eletrônica - sempre há uma necessidade delas, mas em filiais diferentes. Após outra confusão com uma chave perdida, a gerência definiu a tarefa - resolver esse problema e coletar TODOS os dispositivos de proteção USB em um só lugar, e garantir que eles trabalhem com eles, independentemente da localização do funcionário.
Portanto, precisamos coletar em um escritório todas as chaves disponíveis em nossa empresa, banco de clientes, licenças 1s (hasp), rootkens, ESMART Token USB 64K, etc. para uso subseqüente em máquinas físicas e virtuais remotas Hyper-V. O número de dispositivos USB é de 50 a 60 e, com certeza, esse não é o limite. Localização dos servidores de virtualização fora do escritório (data center). A localização de todos os dispositivos USB no escritório.
Estudamos as tecnologias existentes para acesso centralizado a dispositivos USB e decidimos focar na tecnologia USB sobre IP (USB sobre IP). Acontece que muitas organizações usam essa solução específica. Existem no mercado hardware e software USB sobre IP, mas eles não nos agradam. Assim, focaremos ainda mais a escolha do hardware USB sobre IP e, antes de tudo, a nossa escolha. Dispositivos da China (sem nome), também excluímos a consideração.
A solução de hardware USB sobre IP mais descrita na Internet é o dispositivo fabricado nos EUA e na Alemanha. Para um estudo detalhado, adquirimos uma versão grande montada em rack deste USB sobre IP, projetada para 14 portas USB, com a possibilidade de montagem em um rack de 19 polegadas e USB sobre IP alemão, projetada para 20 portas USB, também com a possibilidade de montagem em um rack de 19 polegadas. Infelizmente, esses fabricantes não tinham um número maior de portas de dispositivos USB sobre IP.
O primeiro dispositivo é muito caro e interessante (a Internet está cheia de críticas), mas há muito menos - não há sistemas de autorização para conectar dispositivos USB. Quem instala um aplicativo de conexão USB obtém acesso a todas as chaves. Além disso, como a prática demonstrou, o dispositivo USB "esmart token est64u-r1" não é adequado para uso com o dispositivo e, olhando para o futuro, com "alemão" no sistema operacional Win7 - quando um BSOD permanente está conectado a ele.
O segundo dispositivo USB sobre IP parecia mais interessante para nós. O dispositivo possui um grande conjunto de configurações relacionadas às funções de rede. A interface USB sobre IP é particionada logicamente, portanto, a configuração inicial foi bastante simples e rápida. Mas, como mencionado anteriormente, houve problemas ao conectar um número de chaves.
O estudo de mais hardware USB sobre IP encontrou fabricantes nacionais. A gama de modelos inclui versões de 16, 32, 48 e 64 portas, com a possibilidade de montagem em um rack de 19 polegadas. A funcionalidade descrita pelo fabricante foi ainda mais rica que a do USB over IP anterior. Inicialmente, gostei que o hub USB sobre IP controlado doméstico forneça proteção em dois estágios para dispositivos USB ao compartilhar USB em uma rede:
- Energia física remota ligada e desligada de dispositivos USB;
- Autorização para conectar dispositivos USB por login, senha e endereço IP.
- Autorização para conectar portas USB por login, senha e endereço IP.
- Registro de todas as inclusões e conexões de dispositivos USB pelos clientes, bem como tentativas (entrada incorreta de senha, etc.).
- Criptografia de tráfego (que, em princípio, não era ruim no modelo alemão).
- Além disso, era adequado que o dispositivo, embora não fosse barato, fosse várias vezes mais barato do que o adquirido anteriormente (a diferença se torna especialmente significativa quando convertida em uma porta, consideramos um USB sobre IP de 64 portas).
Decidimos esclarecer com o fabricante como está o problema com o suporte de dois tipos de tokens inteligentes que apresentam problemas de conexão anteriormente. Fomos informados de que eles não oferecem 100% de garantia de suporte para absolutamente todos os dispositivos USB, mas ainda não encontraram um único dispositivo com o qual haveria problemas. Não ficamos satisfeitos com essa resposta e sugerimos que o fabricante transferisse os tokens para testes (o benefício era que o transporte pela empresa de transporte custava apenas 150 rublos e possuímos tokens antigos suficientes). Quatro dias após o envio das chaves, fomos informados dos dados da conexão e tivemos maravilhosas conexões com o Windows 7, 10 e Windows Server 2008. Tudo funcionou bem, conectamos nossos tokens sem problemas e tivemos a oportunidade de trabalhar com eles.
Adquirimos um hub USB sobre IP controlado com 64 portas USB. Conectamos todas as 64 portas de 18 computadores em diferentes ramos (32 teclas e o restante - unidades flash, discos rígidos e 3 câmeras USB) - todos os dispositivos funcionaram sem problemas. Em geral, o dispositivo estava satisfeito.
Não dou nomes e fabricantes de dispositivos USB sobre IP (para que não haja publicidade), eles podem ser simplesmente encontrados na Internet.