[Информационная безопасность, Системное администрирование, Сетевые технологии, Облачные сервисы, Сетевое оборудование] Избавляемся от головной боли или зачем нужна система хранения USB-ключей в условиях пандемии
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
С началом режима самоизоляции многие сотрудники нашей компании перешли на удаленку. Контроль доступа к USB-ключам стал серьезной проблемой, для решения которой потребовалось специальное устройство.
Пускать внутрь защищенного периметра собственные машины пользователей и устанавливать на них корпоративный софт мы не стали. Это плохой с точки зрения информационной безопасности подход, поскольку такие компьютеры ИТ-отдел фактически не контролирует. Чтобы сотрудники могли подключаться к информационным системам из дома, пришлось создать виртуальную частную сеть и поднять сервис удаленных рабочих столов. Отдельным сотрудникам были выданы имеющиеся в наличии ноутбуки, если им требовалось работать с локальным ПО. Больших затрат переход на удаленку не потребовал. Чтобы не покупать дорогой сервер, мы ограничились арендой виртуального и приобретением терминальных лицензий Microsoft. Плюсы такого подхода очевидны: не пришлось тратиться на железо и возиться с разношерстным парком чужой техники. Чтобы пользователь получил привычную среду, достаточно настроить соединение RDP. Также мы прописали ограничения на подключение внешних носителей, а конфигурация корпоративных ноутбуков уже была достаточно безопасной: пользователи не имели на них администраторских полномочий, применялись политики безопасности, работал брандмауэр, антивирус и т.д. и т.п.
Куда вставить ключ, если нет замка?
Проблема возникла фактически на ровном месте. В компании используется довольно много различных USB-ключей для программного обеспечения, а также электронных цифровых подписей на защищенных токенах. 1С (HASP), Рутокен, ESMART Token USB 64K — завести все это в терминальной среде нереально, если нет «железного» сервера. К VPS нельзя подключить устройство USB, к тому же выносить ключи наружу мы не хотели. Особых трудностей не возникло разве что с немногочисленными корпоративными ноутбуками, для которых давно были куплены отдельные ключи, если того требовала ситуация.
Хуже всего дела обстояли с ЭЦП для интернет-банков, доступа к системе юридически значимого электронного документооборота, личным кабинетам юрлиц на nalog.ru и к торговым площадкам. В офисе физический доступ к защищенным носителям информации контролировался, и вынести их с территории было невозможно. Программные СКЗИ (криптопровайдер и вот это все) были установлены на компьютерах пользователей, в общем работа организована достаточно безопасно. Конечно, даже выдача USB-устройства под роспись в журнале не спасет от безалаберности или от злонамеренных действий сотрудника, но все-таки ключи от самой важной информации не покидали охраняемую территорию.
В удаленном режиме такой вариант не годился, потому что даже если выделить пользователю корпоративный ноутбук, ему придется выдать на руки и токен. Этого требовалось избежать. К тому же одним ключом могли пользоваться несколько человек, а как обеспечить их безопасную передачу на удаленке — мы придумать не смогли. Головная боль возникла одновременно и у айтишников, которым нужно было найти решающие проблему технические средства, и у безопасников, которым требовалось организационными мерами навести хоть какое-то подобие порядка.
Пришлось задуматься о едином решении для централизованного хранения всех ключей и обеспечения безопасного доступа к ним пользователей. Не слишком дорогостоящем решении в духе USB over IP с надежным шифрованием. Для его организации есть множество платных и бесплатных программных продуктов, однако все равно потребовалась бы физическая машина, а возможности подключения устройств USB к ней довольно ограничены. Несколько десятков «свистков» в один сервер не воткнешь, если грубо, и не факт, что обычный компьютер защитит носители от физического повреждения. К тому же при настройке программы наверняка вылезут проблемы совместимости, а также что-нибудь вроде невозможности удаленно дернуть по питанию залипший ключ. Тут поможет только готовое решение, т.е. специальная «железка» с заточенной под наши задачи прошивкой.
Какие замки можно купить за деньги?
Рыночная ситуация оказалась довольно печальной. В продаже есть некоторое количество китайских устройств, но связываться с брендами и ноунеймами из Поднебесной мы не рискнули. Кто знает, какие с ними возникнут проблемы совместимости? Поддержки потом не дождешься. Модели западных производителей (Digi Anywhereusb, SEH myUTN и т. д.) в пересчете на порт стоят слишком дорого: пара тысяч долларов за устройство на 14 портов — не рекорд. К тому же безопасники забраковали использование носителей с квалифицированными ЭЦП в устройствах с импортными прошивками. В итоге мы купили DistKontrolUSB-64 — российский стоечный (с возможностью настольной установки) концентратор USB over IP на 64 порта.
Нас подкупила откровенность отечественного производителя, который гарантирует полную совместимость только с протестированными ключами. При этом найти несовместимое USB-устройство, по словам менеджера, у технических специалистов компании так и не получилось, а если даже такая ситуация возникнет, техническая поддержка и разработчики помогут решить проблему. Пожалуй, это лучший аппарат, который можно купить за 106500 рублей. К тому же он имеет всю необходимую разрешительную документацию для использования в коммерческих организациях и госструктурах.
Как работает DistKontrolUSB?
Концентратор позволяет подключать к удаленному компьютеру свои порты и вставленные в них устройства USB, как будто они локальные. Для этого необходимо идущее в комплекте программное обеспечение под Windows, Linux и OS X. Скачать его можно не только с сайта производителя, но и с самого DistKontrolUSB-64. Доступ клиентам ограничивается по логинам и паролям, а также по IP — нам этого вполне достаточно. Трафик шифруется с использованием сертификатов SSL/SSH, которые нужно загрузить в коммутатор или создать прямо на нем. Поддерживаются самоподписанные сертификаты.
К счастью, найти несовместимый ключ нам тоже не удалось, так что о решении этой проблемы рассказать нечего. В итоге мы собрали в одном месте почти все (кроме установленных в ноутбуках) ключи для лицензионного ПО, и трудностей с их использованием на работающем в виртуальной машине Hyper-V сервере удаленных рабочих столов не возникло. С электронными подписями на защищенных токенах интереснее: мы не стали ставить СКЗИ на сервер терминалов по соображениям безопасности. Сомнительно, кстати, что их использование в виртуальных средах вообще возможно/легально. Как правило такие вещи нужны некоторым сотрудникам бухгалтерии и ответственным за участие в торгах людям — в основном им то и были выделены корпоративные ноутбуки. Все криптопровайдеры под Windows прекрасно завелись и работают с подключенными к портам удаленного коммутатора защищенным носителям как с родными. Софт под Linux/OSX мы не тестировали за ненадобностью, но и там все должно завестись с поправкой на обычные для скрещивания этих систем с отечественной криптографией проблемы.
Используем максимальную комплектацию, с двумя гигабитными портами и с резервированием питания.
А так же решили использовать предлагаемый производителем модуль защиты подключаемых USB устройств.
опечатываем следующим образом.
Что в итоге?
Сейчас концентратор DistKontrolUSB-64 стоит в отдельном охраняемом помещении в офисе, удаленно управляется через веб-интерфейс (по HTTPS) или через SSH, и каши вроде не просит. Он поддерживает IPv6, ограничивает питание портов USB по току и отключает их при перегреве. Плавный запуск портов уменьшает вызванные высокой емкостью нагрузки пусковые токи, так что у айтишников больше нет головной боли с зоопарком ключей. Безопасники тоже довольны, потому что физический доступ к железу находится целиком и полностью под их контролем. Примерно так один маленький (на самом деле не очень — все-таки 64 порта) концентратор решил множество проблем.
Надеюсь, этот материал кому-то поможет. Удачи!
===========
Источник:
habr.com
===========
Похожие новости:
- [Системное администрирование, IT-инфраструктура, Серверное администрирование, DevOps] Prometheus и VictoriaMetrics: отказоустойчивая инфраструктура для хранения метрик (перевод)
- [Системное администрирование, Серверное администрирование, DevOps, Kubernetes] Docker is deprecated — и как теперь быть?
- [Информационная безопасность, Реверс-инжиниринг, Автомобильные гаджеты] Датчики давления в шинах автомобиля: пробуем провести DoS-атаку (перевод)
- [Настройка Linux, Open source, Системное администрирование, *nix] Анатомия GNU/Linux
- [Информационная безопасность, IT-компании] Вирус-вымогатель парализовал работу мексиканского подразделения Foxconn и требует выкуп $34.6 млн
- [Высокая производительность, Системное администрирование, Apache, Big Data] Используете Kafka с микросервисами? Скорее всего, вы неправильно обрабатываете повторные передачи (перевод)
- [Информационная безопасность, Системное администрирование, Сетевые технологии, Сетевое оборудование] Fortinet Security Fabric на практике. Часть 4. Взаимная интеграция
- [Информационная безопасность, IT-компании] Криптовымогатели звонят с угрозами жертвам атак, если те восстанавливают данные из бэкапов и отказываются платить
- [Информационная безопасность] Security Week 50: zero-click уязвимость в iPhone, атака на постаматы
- [Хранение данных, Хранилища данных, DevOps, Облачные сервисы] Как использовать объектное S3-хранилище Mail.ru Cloud Solutions для хранения бэкапов Veeam
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_sistemnoe_administrirovanie (Системное администрирование), #_setevye_tehnologii (Сетевые технологии), #_oblachnye_servisy (Облачные сервисы), #_setevoe_oborudovanie (Сетевое оборудование), #_usb_over_ip, #_usb_over_network, #_hasp, #_rutoken, #_usb_po_seti (usb по сети), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_sistemnoe_administrirovanie (
Системное администрирование
), #_setevye_tehnologii (
Сетевые технологии
), #_oblachnye_servisy (
Облачные сервисы
), #_setevoe_oborudovanie (
Сетевое оборудование
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 08:16
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 С началом режима самоизоляции многие сотрудники нашей компании перешли на удаленку. Контроль доступа к USB-ключам стал серьезной проблемой, для решения которой потребовалось специальное устройство. Пускать внутрь защищенного периметра собственные машины пользователей и устанавливать на них корпоративный софт мы не стали. Это плохой с точки зрения информационной безопасности подход, поскольку такие компьютеры ИТ-отдел фактически не контролирует. Чтобы сотрудники могли подключаться к информационным системам из дома, пришлось создать виртуальную частную сеть и поднять сервис удаленных рабочих столов. Отдельным сотрудникам были выданы имеющиеся в наличии ноутбуки, если им требовалось работать с локальным ПО. Больших затрат переход на удаленку не потребовал. Чтобы не покупать дорогой сервер, мы ограничились арендой виртуального и приобретением терминальных лицензий Microsoft. Плюсы такого подхода очевидны: не пришлось тратиться на железо и возиться с разношерстным парком чужой техники. Чтобы пользователь получил привычную среду, достаточно настроить соединение RDP. Также мы прописали ограничения на подключение внешних носителей, а конфигурация корпоративных ноутбуков уже была достаточно безопасной: пользователи не имели на них администраторских полномочий, применялись политики безопасности, работал брандмауэр, антивирус и т.д. и т.п. Куда вставить ключ, если нет замка? Проблема возникла фактически на ровном месте. В компании используется довольно много различных USB-ключей для программного обеспечения, а также электронных цифровых подписей на защищенных токенах. 1С (HASP), Рутокен, ESMART Token USB 64K — завести все это в терминальной среде нереально, если нет «железного» сервера. К VPS нельзя подключить устройство USB, к тому же выносить ключи наружу мы не хотели. Особых трудностей не возникло разве что с немногочисленными корпоративными ноутбуками, для которых давно были куплены отдельные ключи, если того требовала ситуация. Хуже всего дела обстояли с ЭЦП для интернет-банков, доступа к системе юридически значимого электронного документооборота, личным кабинетам юрлиц на nalog.ru и к торговым площадкам. В офисе физический доступ к защищенным носителям информации контролировался, и вынести их с территории было невозможно. Программные СКЗИ (криптопровайдер и вот это все) были установлены на компьютерах пользователей, в общем работа организована достаточно безопасно. Конечно, даже выдача USB-устройства под роспись в журнале не спасет от безалаберности или от злонамеренных действий сотрудника, но все-таки ключи от самой важной информации не покидали охраняемую территорию. В удаленном режиме такой вариант не годился, потому что даже если выделить пользователю корпоративный ноутбук, ему придется выдать на руки и токен. Этого требовалось избежать. К тому же одним ключом могли пользоваться несколько человек, а как обеспечить их безопасную передачу на удаленке — мы придумать не смогли. Головная боль возникла одновременно и у айтишников, которым нужно было найти решающие проблему технические средства, и у безопасников, которым требовалось организационными мерами навести хоть какое-то подобие порядка. Пришлось задуматься о едином решении для централизованного хранения всех ключей и обеспечения безопасного доступа к ним пользователей. Не слишком дорогостоящем решении в духе USB over IP с надежным шифрованием. Для его организации есть множество платных и бесплатных программных продуктов, однако все равно потребовалась бы физическая машина, а возможности подключения устройств USB к ней довольно ограничены. Несколько десятков «свистков» в один сервер не воткнешь, если грубо, и не факт, что обычный компьютер защитит носители от физического повреждения. К тому же при настройке программы наверняка вылезут проблемы совместимости, а также что-нибудь вроде невозможности удаленно дернуть по питанию залипший ключ. Тут поможет только готовое решение, т.е. специальная «железка» с заточенной под наши задачи прошивкой. Какие замки можно купить за деньги? Рыночная ситуация оказалась довольно печальной. В продаже есть некоторое количество китайских устройств, но связываться с брендами и ноунеймами из Поднебесной мы не рискнули. Кто знает, какие с ними возникнут проблемы совместимости? Поддержки потом не дождешься. Модели западных производителей (Digi Anywhereusb, SEH myUTN и т. д.) в пересчете на порт стоят слишком дорого: пара тысяч долларов за устройство на 14 портов — не рекорд. К тому же безопасники забраковали использование носителей с квалифицированными ЭЦП в устройствах с импортными прошивками. В итоге мы купили DistKontrolUSB-64 — российский стоечный (с возможностью настольной установки) концентратор USB over IP на 64 порта. Нас подкупила откровенность отечественного производителя, который гарантирует полную совместимость только с протестированными ключами. При этом найти несовместимое USB-устройство, по словам менеджера, у технических специалистов компании так и не получилось, а если даже такая ситуация возникнет, техническая поддержка и разработчики помогут решить проблему. Пожалуй, это лучший аппарат, который можно купить за 106500 рублей. К тому же он имеет всю необходимую разрешительную документацию для использования в коммерческих организациях и госструктурах. Как работает DistKontrolUSB?  Концентратор позволяет подключать к удаленному компьютеру свои порты и вставленные в них устройства USB, как будто они локальные. Для этого необходимо идущее в комплекте программное обеспечение под Windows, Linux и OS X. Скачать его можно не только с сайта производителя, но и с самого DistKontrolUSB-64. Доступ клиентам ограничивается по логинам и паролям, а также по IP — нам этого вполне достаточно. Трафик шифруется с использованием сертификатов SSL/SSH, которые нужно загрузить в коммутатор или создать прямо на нем. Поддерживаются самоподписанные сертификаты. К счастью, найти несовместимый ключ нам тоже не удалось, так что о решении этой проблемы рассказать нечего. В итоге мы собрали в одном месте почти все (кроме установленных в ноутбуках) ключи для лицензионного ПО, и трудностей с их использованием на работающем в виртуальной машине Hyper-V сервере удаленных рабочих столов не возникло. С электронными подписями на защищенных токенах интереснее: мы не стали ставить СКЗИ на сервер терминалов по соображениям безопасности. Сомнительно, кстати, что их использование в виртуальных средах вообще возможно/легально. Как правило такие вещи нужны некоторым сотрудникам бухгалтерии и ответственным за участие в торгах людям — в основном им то и были выделены корпоративные ноутбуки. Все криптопровайдеры под Windows прекрасно завелись и работают с подключенными к портам удаленного коммутатора защищенным носителям как с родными. Софт под Linux/OSX мы не тестировали за ненадобностью, но и там все должно завестись с поправкой на обычные для скрещивания этих систем с отечественной криптографией проблемы. Используем максимальную комплектацию, с двумя гигабитными портами и с резервированием питания.  А так же решили использовать предлагаемый производителем модуль защиты подключаемых USB устройств.  опечатываем следующим образом.  Что в итоге? Сейчас концентратор DistKontrolUSB-64 стоит в отдельном охраняемом помещении в офисе, удаленно управляется через веб-интерфейс (по HTTPS) или через SSH, и каши вроде не просит. Он поддерживает IPv6, ограничивает питание портов USB по току и отключает их при перегреве. Плавный запуск портов уменьшает вызванные высокой емкостью нагрузки пусковые токи, так что у айтишников больше нет головной боли с зоопарком ключей. Безопасники тоже довольны, потому что физический доступ к железу находится целиком и полностью под их контролем. Примерно так один маленький (на самом деле не очень — все-таки 64 порта) концентратор решил множество проблем. Надеюсь, этот материал кому-то поможет. Удачи! =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_sistemnoe_administrirovanie ( Системное администрирование ), #_setevye_tehnologii ( Сетевые технологии ), #_oblachnye_servisy ( Облачные сервисы ), #_setevoe_oborudovanie ( Сетевое оборудование ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 08:16
Часовой пояс: UTC + 5