Хабрахабр

[Из песочницы] Централизованный доступ к ЭЦП и прочим ключам электронной защиты с помощью аппаратных USB over IP

Хочу поделиться нашим годичным опытом при поиске решения для организации централизованного и упорядоченного доступа к ключам электронной защиты в нашей организации (ключи для доступа к площадкам для торгов, банковские, ключи защиты программного обеспечения и т.д.). В связи с наличием у нас филиалов, территориально весьма разнесенных друг от друга, и наличием в каждом из них по нескольку ключей электронной защиты — постоянно возникает необходимость в них, но в разных филиалах. После очередной суеты с потерянным ключом, руководство поставило задачу — решить эту проблему и собрать ВСЕ USB устройства защиты в одном месте, и обеспечить с ними работу не зависимо от места расположения сотрудника.

для последующей эксплуатации на удаленных физических и виртуальных машинах Hyper-V. Итак, нам необходимо собрать в одном офисе все имеющиеся в нашей компании ключи банк клиентов, лицензий 1с (hasp), рутокены, ESMART Token USB 64K, и т.д. Расположение серверов виртуализации вне офиса (датацентр). Количество usb устройств – 50-60 и точно, что это не предел. Оказывается, очень многие организации пользуются именно этим решением. Расположение всех USB устройств в офисе.
Изучили существующие технологии централизованного доступа к USB устройствам и решили остановиться на технологии USB поверх IP (USB over IP). По сему, далее речь пойдет только о выборе аппаратных USB over IP и в первую очередь о нашем выборе. На рынке есть как аппаратные средства проброса USB по IP, так и программные, но они нас не устраивали. Устройства из Китая (безымянные) мы тоже исключили из рассмотрения.

Для детального изучения приобрели большой стоечный вариант этого USB over IP, рассчитанный на 14 портов USB, с возможностью монтажа в 19 дюймовую стойку и немецкий USB over IP, рассчитанный на 20 портов USB, так же с возможностью монтажа в 19 дюймовую стойку. Наиболее описываемым на просторах интернета аппаратным решением USB over IP являются устройства производства США и Германии. К сожалению на большее количество портов устройств USB over IP у этих производителей не было.

Любой, кто установит приложение для подключения USB, получает доступ ко всем ключам. Первое устройство весьма дорогое и интересное (в интернете полно обзоров), но есть очень большой минус — нет никаких систем авторизации для подключения USB устройств. В дополнение, как показала практика, USB устройство «esmart token est64u-r1» непригодно для использования с устройством и, забегая вперед, с «немецким» на ОС Win7 – при подключении к нему перманентный BSOD.

Устройство имеет большой набор настроек, связанных с сетевыми функциями. Второе устройство USB over IP нам показалось интереснее. Но, как упоминалось ранее, возникли проблемы с подключением ряда ключей. Интерфейс USB over IP логично разбит на разделы, так что первоначальная настройка была достаточно простой и быстрой.

Модельный ряд включает 16, 32, 48 и 64 портовую версию с возможностью крепления в 19 дюймовую стойку. Изучая дальше аппаратные USB over IP натолкнулись на отечественных производителей. Изначально понравилось, что отечественный управляемый USB over IP концентратор обеспечивает двухступенчатую защиту USB устройств при совместном использовании USB по сети: Описываемый производителем функционал был даже побогаче, чем у предыдущих приобретенных USB over IP.

  1. Удаленное физическое включение и выключение USB устройств;
  2. Авторизацию для подключения USB устройств по логину, паролю и IP адресу.
  3. Авторизацию для подключения USB портов по логину, паролю и IP адресу.
  4. Журналирование как всех включений и подключений USB устройств клиентами, так и таких попыток (не правильный ввод пароля и т.д. ).
  5. Шифрование трафика (с чем в принципе было неплохо и на немецкой модели).
  6. Дополнительно подходило, что устройство, хоть и не дешевое, но в разы дешевле купленных ранее (особенно существенной становится разница при пересчете на порт, мы рассматривали 64-х портовый USB over IP).

Решили уточнить у производителя, как же обстоит дело с поддержкой двух типов смарт токенов, имеющих проблемы подключения ранее. Нам сообщили, что не дают 100% гарантии поддержки абсолютно всех USB устройств, но пока еще не нашли ни одного устройства, с которым бы были проблемы. Нас такой ответ мало устроил и мы предложили производителю передать токены для тестирования (благо пересылка транспортной компанией стоила всего 150р, а старых токенов у нас достаточно). Через 4 дня после отправки ключей нам сообщили данные для подключения и мы к ним чудесно подключились с Windows 7, 10 и Windows Server 2008. Все работало нормально, мы без проблем подключали свои токены и имели возможность с ними работать.
Приобрели управляемый USB over IP концентратор на 64 порта USB. Подключили с 18 компьютеров в разных филиалах все 64 порта (32 ключа и остальное – флешки, жесткие диски и 3 USB камеры) – все устройства работали без проблем. В целом устройством остались довольны.

Наименования и производителей USB over IP устройств не привожу (дабы не было рекламой), их достаточно просто найти в интернете.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть