Geekly articles weekly

Soluções de hardware de segurança da informação USB over IP

Recentemente, compartilhei minha experiência em encontrar uma solução para organizar o acesso centralizado às chaves de segurança eletrônica em nossa organização. Nos comentários, uma questão séria foi levantada sobre a segurança das informações das soluções de hardware USB sobre IP, com as quais estamos muito preocupados.

Então, primeiro, ainda decidimos sobre as condições iniciais.

  • Um grande número de chaves de segurança eletrônicas.
  • O acesso a eles é necessário em várias localizações geográficas.
  • Consideramos apenas soluções de hardware USB sobre IP e tentamos protegê-la adotando medidas técnicas e organizacionais adicionais (ainda não estamos considerando a questão de alternativas).
  • Na estrutura do artigo, não descreverei completamente os modelos de ameaças que estamos considerando (muito pode ser encontrado na publicação ), mas vou me debruçar sobre dois pontos. Excluímos do modelo engenharia social e ações ilegais dos próprios usuários. Estamos considerando a possibilidade de acesso não autorizado a dispositivos USB a partir de qualquer rede sem ter credenciais regulares.

imagem

Para garantir a segurança do acesso aos dispositivos USB, foram tomadas medidas organizacionais e técnicas:

1. Medidas de segurança organizacional.

Um hub controlado por USB sobre IP é instalado em um gabinete de servidor que trava com chaves de alta qualidade. O acesso físico a ele é simplificado (ACS na própria sala, videovigilância, chaves e direitos de acesso para um círculo estritamente limitado de pessoas).

Todos os dispositivos USB usados ​​na organização são condicionalmente divididos em 3 grupos:

  • Crítico. EDS financeiro - usado de acordo com as recomendações dos bancos (não via USB sobre IP)
  • Os importantes. O EDS para pregões, serviços, EDI, relatórios, etc., várias chaves de software - é usado usando um hub USB sobre IP controlado.
  • Não é crítico. Um número de teclas para software, uma câmera, várias unidades flash e discos com informações não críticas, modems USB são usados ​​usando um hub controlado por USB sobre IP.

2. Medidas técnicas de segurança.

O acesso de rede a um hub gerenciado de USB sobre IP é fornecido apenas dentro de uma sub-rede isolada. O acesso a uma sub-rede isolada é fornecido:

  • do farm de servidores de terminal,
  • VPN (certificado e senha) para um número limitado de computadores e laptops; as VPNs fornecem endereços permanentes,
  • Túneis VPN conectando escritórios regionais.

As seguintes funções são configuradas no hub USB over IP mais gerenciado do DistKontrolUSB usando suas ferramentas padrão:

  • A criptografia é usada para acessar dispositivos USB em um hub USB sobre IP (a criptografia SSL está ativada no hub), embora isso já possa ser supérfluo.
  • Configurado "restringindo o acesso a dispositivos USB por endereço IP". Dependendo do endereço IP, o usuário recebe ou não acesso aos dispositivos USB atribuídos.
  • Configurado "Restringindo o acesso à porta USB por login e senha." Conseqüentemente, os usuários recebem direitos para acessar dispositivos USB.
  • "Restringindo o acesso a um dispositivo USB por login e senha" decidiu não usar, porque todas as chaves USB estão permanentemente conectadas ao hub USB sobre IP e não são reorganizadas de porta em porta. Para nós, é mais lógico fornecer aos usuários acesso a uma porta USB com um dispositivo USB instalado por um longo tempo.
  • A ativação e desativação físicas das portas USB são realizadas:

    • Para chaves para software e EDI - com a ajuda do agendador de tarefas e tarefas atribuídas do concentrador (várias teclas foram programadas para serem ativadas às 9h e desligadas às 18h, uma linha das 13h às 16h);
    • Para chaves para pregões e vários softwares - por usuários autorizados através da interface WEB;
    • Câmeras, várias unidades flash e discos com informações não críticas estão sempre incluídas.

Assumimos que essa organização de acesso a dispositivos USB garante seu uso seguro:

  • de escritórios regionais (condicionalmente NET Nº 1 ....... NET Nº N),
  • para um número limitado de computadores e laptops que conectam dispositivos USB através da rede global,
  • para usuários publicados em servidores de aplicativos de terminal.

Nos comentários, gostaria de ouvir medidas práticas específicas que aumentam a segurança da informação ao fornecer acesso global a dispositivos USB.

Source: https://habr.com/ru/post/pt448110/

More articles:


All Articles