image


С началом режима самоизоляции многие сотрудники нашей компании перешли на удаленку. Контроль доступа к USB-ключам стал серьезной проблемой, для решения которой потребовалось специальное устройство.


Пускать внутрь защищенного периметра собственные машины пользователей и устанавливать на них корпоративный софт мы не стали. Это плохой с точки зрения информационной безопасности подход, поскольку такие компьютеры ИТ-отдел фактически не контролирует. Чтобы сотрудники могли подключаться к информационным системам из дома, пришлось создать виртуальную частную сеть и поднять сервис удаленных рабочих столов. Отдельным сотрудникам были выданы имеющиеся в наличии ноутбуки, если им требовалось работать с локальным ПО. Больших затрат переход на удаленку не потребовал. Чтобы не покупать дорогой сервер, мы ограничились арендой виртуального и приобретением терминальных лицензий Microsoft. Плюсы такого подхода очевидны: не пришлось тратиться на железо и возиться с разношерстным парком чужой техники. Чтобы пользователь получил привычную среду, достаточно настроить соединение RDP. Также мы прописали ограничения на подключение внешних носителей, а конфигурация корпоративных ноутбуков уже была достаточно безопасной: пользователи не имели на них администраторских полномочий, применялись политики безопасности, работал брандмауэр, антивирус и т.д. и т.п.


Куда вставить ключ, если нет замка?


Проблема возникла фактически на ровном месте. В компании используется довольно много различных USB-ключей для программного обеспечения, а также электронных цифровых подписей на защищенных токенах. 1С (HASP), Рутокен, ESMART Token USB 64K — завести все это в терминальной среде нереально, если нет «железного» сервера. К VPS нельзя подключить устройство USB, к тому же выносить ключи наружу мы не хотели. Особых трудностей не возникло разве что с немногочисленными корпоративными ноутбуками, для которых давно были куплены отдельные ключи, если того требовала ситуация.


Хуже всего дела обстояли с ЭЦП для интернет-банков, доступа к системе юридически значимого электронного документооборота, личным кабинетам юрлиц на nalog.ru и к торговым площадкам. В офисе физический доступ к защищенным носителям информации контролировался, и вынести их с территории было невозможно. Программные СКЗИ (криптопровайдер и вот это все) были установлены на компьютерах пользователей, в общем работа организована достаточно безопасно. Конечно, даже выдача USB-устройства под роспись в журнале не спасет от безалаберности или от злонамеренных действий сотрудника, но все-таки ключи от самой важной информации не покидали охраняемую территорию.


В удаленном режиме такой вариант не годился, потому что даже если выделить пользователю корпоративный ноутбук, ему придется выдать на руки и токен. Этого требовалось избежать. К тому же одним ключом могли пользоваться несколько человек, а как обеспечить их безопасную передачу на удаленке — мы придумать не смогли. Головная боль возникла одновременно и у айтишников, которым нужно было найти решающие проблему технические средства, и у безопасников, которым требовалось организационными мерами навести хоть какое-то подобие порядка.


Пришлось задуматься о едином решении для централизованного хранения всех ключей и обеспечения безопасного доступа к ним пользователей. Не слишком дорогостоящем решении в духе USB over IP с надежным шифрованием. Для его организации есть множество платных и бесплатных программных продуктов, однако все равно потребовалась бы физическая машина, а возможности подключения устройств USB к ней довольно ограничены. Несколько десятков «свистков» в один сервер не воткнешь, если грубо, и не факт, что обычный компьютер защитит носители от физического повреждения. К тому же при настройке программы наверняка вылезут проблемы совместимости, а также что-нибудь вроде невозможности удаленно дернуть по питанию залипший ключ. Тут поможет только готовое решение, т.е. специальная «железка» с заточенной под наши задачи прошивкой.


Какие замки можно купить за деньги?


Рыночная ситуация оказалась довольно печальной. В продаже есть некоторое количество китайских устройств, но связываться с брендами и ноунеймами из Поднебесной мы не рискнули. Кто знает, какие с ними возникнут проблемы совместимости? Поддержки потом не дождешься. Модели западных производителей (Digi Anywhereusb, SEH myUTN и т. д.) в пересчете на порт стоят слишком дорого: пара тысяч долларов за устройство на 14 портов — не рекорд. К тому же безопасники забраковали использование носителей с квалифицированными ЭЦП в устройствах с импортными прошивками. В итоге мы купили DistKontrolUSB-64 — российский стоечный (с возможностью настольной установки) концентратор USB over IP на 64 порта.


Нас подкупила откровенность отечественного производителя, который гарантирует полную совместимость только с протестированными ключами. При этом найти несовместимое USB-устройство, по словам менеджера, у технических специалистов компании так и не получилось, а если даже такая ситуация возникнет, техническая поддержка и разработчики помогут решить проблему. Пожалуй, это лучший аппарат, который можно купить за 106500 рублей. К тому же он имеет всю необходимую разрешительную документацию для использования в коммерческих организациях и госструктурах.


Как работает DistKontrolUSB?


image


Концентратор позволяет подключать к удаленному компьютеру свои порты и вставленные в них устройства USB, как будто они локальные. Для этого необходимо идущее в комплекте программное обеспечение под Windows, Linux и OS X. Скачать его можно не только с сайта производителя, но и с самого DistKontrolUSB-64. Доступ клиентам ограничивается по логинам и паролям, а также по IP — нам этого вполне достаточно. Трафик шифруется с использованием сертификатов SSL/SSH, которые нужно загрузить в коммутатор или создать прямо на нем. Поддерживаются самоподписанные сертификаты.


К счастью, найти несовместимый ключ нам тоже не удалось, так что о решении этой проблемы рассказать нечего. В итоге мы собрали в одном месте почти все (кроме установленных в ноутбуках) ключи для лицензионного ПО, и трудностей с их использованием на работающем в виртуальной машине Hyper-V сервере удаленных рабочих столов не возникло. С электронными подписями на защищенных токенах интереснее: мы не стали ставить СКЗИ на сервер терминалов по соображениям безопасности. Сомнительно, кстати, что их использование в виртуальных средах вообще возможно/легально. Как правило такие вещи нужны некоторым сотрудникам бухгалтерии и ответственным за участие в торгах людям — в основном им то и были выделены корпоративные ноутбуки. Все криптопровайдеры под Windows прекрасно завелись и работают с подключенными к портам удаленного коммутатора защищенным носителям как с родными. Софт под Linux/OSX мы не тестировали за ненадобностью, но и там все должно завестись с поправкой на обычные для скрещивания этих систем с отечественной криптографией проблемы.


Используем максимальную комплектацию, с двумя гигабитными портами и с резервированием питания.


image


А также решили использовать предлагаемый производителем модуль защиты подключаемых USB устройств.


image


опечатываем следующим образом.


image


Что в итоге?


Сейчас концентратор DistKontrolUSB-64 стоит в отдельном охраняемом помещении в офисе, удаленно управляется через веб-интерфейс (по HTTPS) или через SSH, и каши вроде не просит. Он поддерживает IPv6, ограничивает питание портов USB по току и отключает их при перегреве. Плавный запуск портов уменьшает вызванные высокой емкостью нагрузки пусковые токи, так что у айтишников больше нет головной боли с зоопарком ключей. Безопасники тоже довольны, потому что физический доступ к железу находится целиком и полностью под их контролем. Примерно так один маленький (на самом деле не очень — все-таки 64 порта) концентратор решил множество проблем.


Надеюсь, этот материал кому-то поможет. Удачи!