[Информационная безопасность, IT-инфраструктура, Сетевые технологии, Карьера в IT-индустрии, Облачные сервисы] Как я внедрял концентратор DistKontrolUSB

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
19-Мар-2021 14:31

ПрологРаботу в ИТ-отделе средней по московским понятиям торговой конторе я получил сразу после диплома. Она мне досталась в наследство от приятеля, который дождался приличного места в крупном банке.ИТ-отдел там был небольшой — пять человек, включая начальника. В таких коллективах все занимаются всем, но за каждым закреплена зона ответственности, которой он должен уделять особое внимание. Мне досталась информационная безопасность, потому что ИБ-шников никто не любит, а я молодой, нервы у меня крепкие, поэтому потерплю.Уяснение задачиПоскольку полученные в институте знания о том, как надо организовать свою работу, из меня ещё не выветрились, я решил начать строго по учебнику. Но результат получился не совсем таким, какого я ожидал. Коллеги объяснили, что строгость контроля и незыблемость регламентов существуют только в головах преподавателей. А на практике ИТ-отдел — это вспомогательное подразделение, обслуживающее своих кормильцев, зарабатывающих деньги. Поэтому если из-за моей принципиальности у них возникнет какое-то неудобство, то виновный будет назначен незамедлительно.Правда, сам генеральный — человек прогрессивный и адекватно воспринимает все предложения по усилению безопасности. Если, конечно, они не будут создавать проблем для основных зарабатывающих отделов и бухгалтерии. Оценка ситуацииНесмотря на отсутствие специализированного подразделения, дела в плане информационной безопасности у нас обстояли пусть и не идеально, но вполне прилично. Для удалённого подключения к корпоративным ресурсам из всевозможных удалёнок-командировок используется VPN. Парольная защита везде, где это было целесообразно, заменена USB-токенами. Антивирусы и всё такое — само собой. В общем, явно не хуже, чем у всех.Правда, значительная часть сотрудников оставляла аппаратные ключи в своих системных блоках, но на это закрывали глаза. В конце концов, принципа взаимозаменяемости никто не отменял и коллегам может зачем-то понадобиться получить доступ к его персональным тикетам и чек-листам. Значительно хуже обстояли дела с ключами доступа к внешним ресурсам: банкам, системам ЭДО, торговым площадкам и государственным сервисам. Они разные и их много. Причём, сегодня токен нужен одному сотруднику, а завтра другому. Таким образом, решение проблемы само превратилось в проблему.Ещё было личное обстоятельство. Все «внешние» токены полагалось сдавать под роспись по окончании рабочего дня. Конечно, статус верховного хранителя ключей — это нереально круто, но, по сути, означает обычного кладовщика. А если принять во внимание, что некоторые пользователи задерживались в офисе, зарабатывая себе бонусы, то мне приходилось ждать их просто так — без всяких льгот и надбавок. Хотя мне в мои годы было чем заняться в вечернее время.Поиски решенияПосле недолгих размышлений я пришёл к выводу, что работу с токенами надо как-то автоматизировать. Моя эрудиция подсказала, что копать надо в сторону USB over IP. Проще говоря, нам было нужно устройство, в которое можно было воткнуть много USB-ключей и позволить подключаться к ним с удалённого компьютера. Таким образом, все ключи всегда находятся в одном месте, а управлять ими можно через приложение. Никто ничего никуда не уносит и проблема «принял-сдал» решается сама собой. Первый соблазн — за счёт родной компании совместно с недавно покинутой родной кафедрой разработать уникальное аппаратно-программное решение. Правда, тут есть один минус. Не в тех я чинах, чтобы залезать в корпоративный карман. А с такими предложениями я до нужных чинов не дорасту. Собрать самому из подручных материалов? Во-первых, это наверняка значительно сложнее, чем кажется на первый взгляд. Нужен хаб на полсотни USB-устройств, надо всё это хозяйство куда-то поместить, надо настроить софт… Во-вторых, я хоть и не служил в армии, то знаю, что инициатива делает с инициатором. Если что-то поломается, то виноват буду я.И тут я вспомнил, что «никого не уволили за покупку IBM». Вот это — правильное решение. Надо найти готовое устройство с хорошей репутацией. И не особо дорогое.Перебор вариантовЕсли операция «сделай сам» закончится пшиком, то меня поругают. Но потом похлопают по плечу — мол, молодой ещё, ну хоть опыта набрался, инициативу проявил… Похожу недельку с бледным видом, а через месяц все забудут. Денег на мои эксперименты компания не потратила, а что касается моего рабочего времени, то отработаю на авралах. А вот внезапно сломавшийся купленный аппарат — это серьёзно. Наивно надеяться, что финансовый директор этого не заметит. Причём, отвечать перед ним буду не я, а руководитель отдела. Испортить же отношения с непосредственным начальником — хуже не придумать.Если выбирать решение по принципу «никогда не уволят», то надо брать продукцию известных западных производителей. Например, готовое аппаратно-программное решение Digi AnywhereUSB на 14 USB-портов. Правда, стоит такое счастье почти 120 тыс. рублей за штуку. А по нашим потребностям нам нужно три таких устройства. Даже заикаться не стоит. А что если попробовать обойтись только программой? Никаких проблем. FabulaTech за лицензию на 16 USB-устройств с обновлением в течении 5 лет просит почти $2300. Снова умножаю и получаю совершенно неприемлемую для нашей конторы сумму. И это без стоимости самого хаба.Облачное решение? Такие варианты тоже есть. Например, сервис FlexiHub. Минимальная абонентка на 5 участников — $145 в месяц. Нам, соответственно, будет дороже. Хаб тоже покупать нам. Но главное другое. Непонятно, как в такой системе будет работать токены. А если будут, то использовать для управления секретной информацией софт, который стоит где-то у дяди — идея так себе.   К тому же, импортозамещение. За которое я, если что, обеими руками «за». Поэтому непонятно, как эта стратегия отразится на работе зарубежного ПО с нашими ЭЦП даже в среднесрочной перспективе. Не хотелось бы столкнуться с неприятными сюрпризами. Остаются отечественные решения. Остановился на DistKontrolUSB. И не только потому, что именно он находится на первых страницах поиска Google и Yandex. Хотя популярность тоже имеет значение — чем больше пользовательская база, тем меньше неприятных сюрпризов. Выбор решенияТеоретиков уважаю. Но критерием истины продолжаю считать эксперимент. Не уверен — не покупай. Именно по этим прагматичным соображениям было принято решение остановиться на концентраторе DistKontrolUSB.Концентратор можно заранее протестировать на совместимость со своими USB-ключами. Созваниваешься, приезжаешь, втыкаешь, настраиваешь доступ и проверяешь работу в «боевом» режиме. По-моему, это значительно убедительнее длинных телефонных разговоров про стандарты, в соответствии с которыми всё должно функционировать нормально. Ну не нравятся мне слово «должно» применительно к данной ситуации.Руководство пользователя я изучил ещё до покупки. Документация — это то, что часто делается абы как по остаточному принципу. Поэтому негодная инструкция не говорит ни о чём. Само устройство может быть вполне хорошим. А вот качественно выполненный мануал свидетельствует о серьёзности разработчика и его вниманию даже к мелочам. Руководство к концентратору DistKontrolUSB занимает больше 100 листов. Подробное с иллюстрациями. Это означает, что не придётся трезвонить в техподдержку по каждому пустяку. Цена тоже относительно демократичная для профессионального использования в корпоративном секторе. Управляемый USB over IP концентратор DistKontrolUSB на 48 USB-портов стоит 95500₽ (его в результате и купили). Это дешевле, чем Digi AnywhereUSB на 14 USB-портов. В процессе испытаний использовались ключи доступа к 1С (HASP), рутокены для ЕГАИС и устройства семейства EToken. Несмотря на то, что все наши рабочие станции и ноутбуки работают под управлением Windows, на всякий случай мы протестировали совместимость и с Linux. Концентратор также поддерживает клиентов с OS X, но для нас это вряд ли когда-нибудь будет актуально, поэтому «яблочный» ноутбук искать не стали. В скобках замечу, что установка драйвера под Linux — удовольствие так себе. Хотелось бы, чтобы в рамках импортозамещения процесс сделали более дружелюбным. Тем более, что часть ключей используется для защиты доступа к государственным ресурсам.  Наконец, концентратор понимает самоподписанные SSL/SSH-сертификаты. Для нашей конторы это актуально, поскольку именно они применяются для доступа в внутренним ресурсам.Ну и субъективный фактор не стоит сбрасывать со счёта. Личный контакт с разработчиком — это всегда хорошо. Подъехал, позадавал вопросы, получил ответы… Опять же, всё увидел своими глазами.Опыт эксплуатацииПроблем для пользователей предсказуемо не возникло. С их точки зрения нет никакой разницы между локальным USB-портом и портом, который отдаёт им концентратор. Если в системе установлен соответствующий криптопровайдер, то ей всё равно, куда вставлен ключ.Пока в концентраторе занято 36 портов. 12 оставлено «на вырост». С такой нагрузкой устройство справляется успешно — жалоб на «тормоза» от пользователей не поступало.Правда, есть один нюанс. Главный минус централизованной системы — если откажет концентратор, то одновременно откажут все ключи. Но к этому мы уже давно были готовы. От возможных аварий на линии электроснабжения мы защитили себя при помощи качественных ИБП. Интернет-канал у нас также резервирован.Благодаря централизованной схеме орг.вопросы исчезли совсем. Все ключи присоединены к концентратору DistKontrolUSB, управление ими осуществляется дистанционно через веб-интерфейс по защищённому протоколу HTTPS. Командная строка требует SSH, что также максимально безопасно.Протоколы протоколами, а оставлять на ночь работающий концентратор боязно. Через панель управления создал задание, по которому устройство выключается по расписанию. Если мне надо куда-то уехать по делам, то не надо просить коллег всё обесточить или возвращаться на работу самому. С этим справится автоматика.  Что касается защиты самого ключа от перегрева, то и за этим следит автоматика. При перегреве порт будет обесточен. Имеем минус одну головную боль с заменами вышедших из строя токенов. ЭпилогПоскольку польза для предприятия очевидна, то я сразу про себя. Успешно решить первую серьёзную задачу — это дорогого стоит. Хотя, конечно, мой вклад в эту работу я оцениваю трезво. Я только «снаряды подносил»: искал варианты, ездил с ключами в офис производителя концентратора и т. п. Тем не менее, бонус по итогам получил. И свой профессиональный статус в глазах коллег поднял.  Но самое главное — освободил для себя кучу времени для решения задач, более осмысленных и интересных, чем приём-выдача ключей. Пока всем этим занимался, всерьёз увлёкся ИБ. Думаю найти какие-то хорошие заочные курсы, чтобы повысить свою квалификацию.Из коротких планов: ликвидировать «зоопарк» токенов, разобраться с правами доступа, структурировать корпоративную сеть… Если контора будет расти, то наверняка ей понадобится отдельное ИБ-подразделение. А кто станет его начальником? Думаю, тот, кто всё это начал. То есть — я.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_itinfrastruktura (IT-инфраструктура), #_setevye_tehnologii (Сетевые технологии), #_karera_v_itindustrii (Карьера в IT-индустрии), #_oblachnye_servisy (Облачные сервисы), #_usb_over_ip, #_usb_over_network, #_sistemnoe_administrirovanie (системное администрирование), #_token, #_1c, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_itinfrastruktura (
IT-инфраструктура
)
, #_setevye_tehnologii (
Сетевые технологии
)
, #_karera_v_itindustrii (
Карьера в IT-индустрии
)
, #_oblachnye_servisy (
Облачные сервисы
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 12:26
Часовой пояс: UTC + 5