Американскую версию прибора мы покупать не стали по объективной причине ценовой политики. Немецкую тоже проигнорировали, Китай вообще обделил нас данным чудом техники. Нашли отечественного производителя, изучили и остановились на агрегате «управляемый USB over IP концентратор Dis…», но стоп, стоп. Мне за рекламу никто не платил, поэтому название ищите сами. Нам уже хорошо – вам пока плохо. Перехожу к сухим фактам.
Управляемый USB over IP концентратор предназначен для подключения USB устройств к компьютерной сети, после чего появляется возможность удаленно управлять включением и подключением этих USB устройств со своего компьютера или ноутбука. У нас есть ряд ключей, которые работают крайне не стабильно, а мне как младшему сотруднику постоянно приходилось бегать перетыкать эти ключики для нормальной работы.
Запускается устройство на всех видах операционок, кроме мобильных осей. К нему можно присоединять ключи электронной защиты, например, серии eToken, ruToken а так же ключи для программных продуктов 1С, сканеров, принтеров, МФУ, сенсоров и т.д.
В наличии встроенный Wi-Fi-модуль и сетевой адаптер Ethernet (RJ-45). И поэтому можно подключать устройство, как по проводным, так и по беспроводным (Wi-Fi) каналам связи. Мощность сигнала Wi-Fi оставляет желать лучшего, полагаю из-за того что устройство находится в достаточно толстом металлическом корпусе. Зато у вас появится загадочный «черный ящик», который сохранит в себе тайну всех секретных ключей и прочих носителей.
Модельный ряд управляемых концентраторов имеет 4 разновидности: на 16, 32, 48 и 64 портов USB. У нас компания относительно компактная, и мы обошлись аппаратом на 32 «персоны», а наши богатенькие соседи, купили сразу 64 порта, высокомерно заметив, что 32 это полумера и это несерьезно.
Так как вся идея прибора вертится вокруг понятия «безопасность» и ради нее затевалась, сразу сообщу, что имеется двухступенчатая защита USB устройств при совместном использовании USB по сети:
- Удаленное физическое включение и выключение USB устройств;
- Авторизация для подключения USB устройств по логину, паролю и IP адресу.
- Журналирование как всех включений и подключений USB устройств клиентами.
Прошивка «черного ящика» позволяет избирательно настраивать доступ пользователей к портам и устройствам USB, шифровать трафик между устройством и клиентом (это особенно полезно для удаленных пользователей и филиалов). Для интеграции со сторонними решениями имеет API и брандмауэр. Точно говорю, что реализовать подобную функциональность самостоятельно очень непросто, даже если вы сможете куда-нибудь втюхнуть десяток «свистков» USB.
Мною так же была обнаружена аппаратная схем защиты от нештатных ситуаций, вроде перегрева или бросков пускового тока.
Чтобы пробросить устройство USB на компьютер, надо запустить не требующую установки (Portable) версию приложения, доступную для актуальных версий Windows, GNU/Linux и OSX. Клиент работает в графическом режиме, как сервис (демон) или в режиме командной строки.
После этого можно присоединить к системе любое устройство USB, включенное в порт концентратора: оно будет видно как локальное. Никаких проблем с совместимостью ключей не возникнет: производитель заявляет, что несовместимых ключей на территории России, Белоруссии, Казахстана, Канады и всей Европы найдено не было.
Советовать ничего не буду, рекомендации оставлю при себе, но признаюсь, что мне, как младшему айтишнику-стажеру после приобретения этой бандуры дышать стало полегче. Не бегаю за бухгалтершей и не ищу разбросанные флэшки, помады, тюбики.
А прикупили мы этот «железный ящичек» по адресу: www.… Ха-Ха! Опять думаете, что мне забашляли за рекламу, и я начну сыпать подробностями. Нееет. Сами, сами вчитывайтесь в черный космос айти новинок.
Bedal
Не для спора, а от непонимания: поскольку пароли — недостаточно надёжная технология, приложения переводятся на аппаратные ключи. А это устройство позволяет сделать шаг назад?
svkov
Каждый решает сам. Мы решили — это шаг вперед.
Как правило, ключи или постоянно в компах, или розданы сотрудникам и не понятно кто и когда ими пользуется.
USB over IP позволяет обеспечить подконтрольность и физическую безопасность использования ключей.
Разумеется, при принятии ряда дополнительных организационных и технических мер.
habr.com/ru/post/448110
Плюс прочие бонусы и возможности (ключ из одного филиала подключить к серверу в другом и т.д.).
У нас три DistKontrolUSB и почти два года, как забыли про проблемы с ключами.
habr.com/ru/post/445094
Bedal
физическая безопасность ключа никому не нужна, пусть его ломается или теряется, это стоит на многие порядки дешевле защищаемой информации (если нет — можно и без паролей).
Ключ потому и появился, что его одна штука. Ситуация с паролем, когда его тупо подобрали откуда-то из Индии или это день рождения и т.п. — исключена. То есть «социальная инженерия» перестаёт работать — а это главный источник неприятностей. Добавим сюда широко известные базы паролей…
Любые изыски вроде удалённого подключения ключа — минус безопасности.
svkov
подконтрольность и физическую безопасность — Вы совершенно правы, речь разумеется, не о повреждении, а о физической невозможности бесконтрольного использования usb устройства.
Естественно речь не может идти о доступности извне: изолированная подсеть, включенный ssl и т.д., подробнее было по ссылке.
Тогда ни о каком подборе пароля не будет смысла говорить. Без комплекса административно технических мер не обойтись. Подобная железка, только часть составляющих комплекса.
Bedal
Тогда зачем вообще пароли? Раз такие железные занавесы развешаны, работайте внутри как угодно. Нет же?
Банально: человек, пользуясь скомпрометированным паролем (ага, социальная инженерия, МарьВанна, как внучку зовут?), скачивает финансовое состояние конторы на флэшку. И приложение ему разрешает, так как думает, что защищено токеном.Как мне это видится: ключи восприняты как неприятное требование приложения, реальная безопасность никому не нужна. Потому и подыскивается способ обхода защиты. Ну, вполне может быть, что в данном конкретном случае защита и не нужна.
И потом преспокойно передаёт конкурентам.
Ещё раз: токены появились не для того, чтобы марьваннам хуже было, а чтобы именно повысить сохранность информации. Отказ от них снижает безопасность, и незачем выдумывать конкретные примеры и приводить фантастические «комплексы административно технических мер». Любой аудит безопасности сразу назовёт виновного в крахе, а именно того, кто повесил токены на парольный доступ.
Squoworode
Ну дык юзеры не хотят надёжности, они хотят лёгкости.
Bedal
Именно так. Помнится, лет семь назад мы с большим трудом объяснили нашим американским клиентам, почему мы никогда не разрешим беспарольный вход. Обижались…
Pro100lamer
Что пароль можно записать на стикере и повесить на монитор, что флешку оставить на столе или в пека. Вопрос в безолаберности пользователя. Я так понимаю тут вопрос в том что потерять флешку сулит кучу геморроя.
Bedal
нет. Флешкой (токеном, аппаратным ключом) может войти разве что находящийся в том же помещении. И забывчивость эта — заметна, исчезновение флешки заметно сразу. Пароль же имеет свойство становиться доступным всем и каждому, причём никаких следов этого нет.
Зачем воду в ступе молоть? На эту тему есть немало обоснований и стандартов.
BugM
Не должно это сулить кучу гемороя. Должно быть просто и безпроблемно. Чтобы пользователи не боялись его с собой носить.
Раз в год можно потерять вообще бесплатно, потом по цене токена. Тысяча-две или сколько там? Я не думаю что средний человек теряет ключи от дома или карточку от офиса чаще. А токену вместе с ними самое место.