Мы с женой уже несколько лет работаем дистанционно. Не потому что ковид и самоизоляция. Мы путешествовать любим, а «удалёнка» позволяет совмещать приятное с полезным.

С недавнего времени «рабочую» часть нашего багажа пришлось пополнить аппаратными ключами доступа. Токенами сегодня защищают не только банковские сервисы и торговые площадки, но даже корпоративные системы документооборота. В теории всё это должно выглядеть замечательно, но на практике решение одних проблем всегда приводит к появлению других.

Токены в путешествиях

 Токен — штука миниатюрная и поэтому легко теряемая. В условиях дома или офиса это не особенно критично. В конце концов, если этот ключ кто-то куда-то засунул, то можно перерыть всё пространство и, в конце концов, найти пропажу. В путешествиях такое не проходит.

Представьте, что вы уже объехали 3-4 города, останавливались, где в гостиницах, где на частных квартирах. Разумеется, везде вы вынимали из рюкзаков комплект токенов, используя только те, что были необходимы для работы. И вдруг выясняется, что одного ключа не хватает. Куда он мог запропаститься — загадка, ответа на которую найти практически невозможно. Скорее всего, где-то упал и под стол закатился.

Разве что обзванивать все места временного проживания и интересоваться, не нашли ли во время уборки такую маленькую штучку. Если повезёт, то менять все планы и возвращаться назад. Удовольствие, сами понимаете, никакое. К тому же, доступ к каким-либо ресурсам нужен прямо сейчас, а не через несколько часов.

Оставить токены дома

Первое, что приходит на ум — как-то соединить легко теряемое с не теряемым в единую конструкцию. Сделать это, кстати, не так сложно, если на ноутбуке есть специальный разъем Kensington lock. Берётся замок, трос заменяется на прочный гибкий шнур так, чтобы висящие на нём токены можно было вставить в USB-порт. Схема достаточно надёжная, правда болтающаяся сбоку связка ключей постоянно за что-то цепляется и это сильно раздражает.

Есть более продвинутый вариант. Не брать с собой токены, но получить к ним доступ в любое время, позволяет технология USB over IP. Если вкратце, то суть её сводится к замене аппаратного ключа обычным паролем. Сами ключи при этом подключены к устройству, которое находится дома. 

Конечно, с точки зрения ИБ — это шаг назад. Но не стоит забывать, что безопасность — категория системная, включающая в себя много чего помимо конфиденциальности, целостности и доступности данных. Поэтому надо считать вероятности реализации различных угроз и их возможные последствия. Причём, с привязкой к деньгам.

Если путешествующий дистанционщик потеряет токен и не сможет вовремя сделать свою работу, то он потеряет не только оплату за её выполнение. Вероятнее всего, дальнейшие перспективы его сотрудничества с разочарованным работодателем окажутся весьма невесёлыми.

Взлом USB over IP — штука тоже весьма неприятная. Но вероятность реализации этого события можно минимизировать, включая девайс только на время его использования. Делается это просто при помощи «умной» розетки — в этом случае злоумышленнику потребуется получить доступ к двум разным устройствам, не связанных явно друг с другом. Иными словами, провести дорогостоящую целевую атаку, результат которой вряд ли оправдает затраты.

Вот и получается, что с учётом всех обстоятельств в нашем случае цепочка паролей эффективней аппаратного ключа. Если, конечно, руководствоваться не догмами, а здравым смыслом.

Почему DistKontrolUSB?

Прежде всего, мы определились с необходимым количеством портов. В настоящее время у нас имеется 8 ключей. Со временем их наверняка станет больше. Чтобы чувствовать себя более-менее спокойно решили искать устройство в границах 12-20 портов. При этом программное решение по понятным причинам нас не устраивало — держать дома сервер совсем не хочется.

На рынке есть несколько готовых аппаратных решений, основанных на технологии USB over IP. Мы выбирали между Digi AnywhereUSB на 14 портов, SEH dongleserver ProMAX на 20 портов и DistKontrolUSB на 16 портов. Поскольку речь идёт о домашнем офисе, то самый главный вопрос — это деньги. Тратить-то придётся не казённые, а свои.

Получилась вот такая картина (возможно, профессиональные маркетологи смогли бы купить это дешевле, но мы в области закупок ИТ-оборудования не специалисты):

Устройство

Digi AnywhereUSB

SEH dongleserver ProMAX

DistKontrolUSB

DistKontrolUSB

Количество портов

14

20

16

64

Общая стоимость

162 000 руб.

184 400 руб.

67 800 руб.

127 800 руб.

Стоимость в пересчёте на 1 порт

11 571 руб.

9 220 руб.

4 237 руб.

1 996 руб.

 

Правда, потребуются дополнительные расходы на «белый» адрес, без которого невозможно получить доступ к концентратору из любой точки мира. Но по сравнению со стоимостью основного оборудования это уже копейки.

Собственно говоря, после сравнения цен выбор завершился сам собой. Впоследствии мы только уточняли некоторые детали, но это уже ни на что не влияло.

Лично мне очень понравился дизайн SEH с прозрачной защитной крышкой. На что жена резонно заметила, что разница в цене составляет почти шубу. А она не готова менять шубу на  красоту стоящей на комоде железки. К тому же, защитный кожух у DistKontrolUSB тоже есть. Причём не пластиковый на «зацепочках», а металлический на винтах.

Впрочем, был и серьёзный вопрос, не имеющий отношения к цене — совместимость концентратора с ключами. Но он решился наиболее простым из всех возможных способов. До офиса производителя нам час езды на машине. Созвонились, приехали, воткнули все токены и убедились в их работоспособности.

Советы по эксплуатации

Мало приобрести устройство, надо его правильно использовать. Вот несколько практических советов по эксплуатации DistKontrolUSB-16 в составе домашнего офиса.

1. Дополнительно защитите концентратор DistKontrolUSB «умной» розеткой, управляемой дистанционно через интернет. Это позволит вам включать устройство только тогда, когда ключ нужен для работы. Параноидальный вариант — подключить эту розетку к отдельному автомату, который включается по звонку соседу. Только учтите, что сосед может куда-то отъехать.

2. Даже ненадолго покидая гостиничный номер или съёмную квартиру обязательно выключайте ноутбук. Для входа в систему используйте сложный пароль. Для хранения сложного пароля можно использовать адресную книгу смартфона, записав его как название организации какого-либо контакта: реального или вымышленного. Бумажный листок для этой цели не подходит — его очень легко потерять.

3. Вернувшись домой, не вынимайте ключи из концентратора. Пусть там будет их постоянное место. Только закройте к нему доступ из «внешки» — пока вы работаете из домашней сети нет смысла в дополнительном риске.

4. Если дома есть или иногда бывают маленькие дети, защитите ключи специальным металлическим кожухом, который делает невозможным физический контакт с подключенными токенами. Детишки вряд ли устоят перед соблазном потрогать эти блестящие штучки, а потом их куда-нибудь засунут или просто поломают.

5. Регулярно просматривайте журнал концентратора, в котором содержится вся информация о подключениях и отключениях портов и ключей, а так же о попытках ввода неверного пароля. Если обнаружится подозрительная запись, смените пароли доступа.

6. Даже если концентратор используют всего два человека, администрировать устройство должен кто-то один. Иначе рано или поздно проявит себя эффект «семи нянек».

Комментарии (9)


  1. Komrus
    08.10.2021 17:48
    +7

    USB-сервер, висящий голой частью тела в публичный интернет - как-то внушает опасения. Даже, включаемый на время. Ибо диапазоны IP адресов сканируются скриптами нехороших людей непрерывно и автоматизировано...

    Вариант с установкой на белый IP адрес роутера с VPN-сервером - не рассматривали?
    Роутер с поддержкой OpenVPN сервера можно достаточно недорогой найти... (Раз в 10 дешевле, чем Ваш USB сервер)
    Тогда USB сервер будет во внутренней сети. Ноут, подключившийся к Вашему VPN серверу - в ней же...
    Как-то понадёжнее система выглядит...

    PS. С 2022 года по ключам для юр.лиц ситуация будет меняться. Для Ген.Дира - ключ выдавать будет налоговая, а сотруднику будет достаточно одного ключа - на себя, как на физ лицо. (А не как сейчас - на связку "физ.лицо - сотрудник фирмы YYY").
    Полномочия на сотрудника будут выдаваться через электронную доверенность, подписываемую ключом ген.дира.

    Есть шанс, что зоопарк ключей станет поменьше...


    1. Dima46 Автор
      08.10.2021 19:31
      -4

      Весь трафик шифруется ssl сертификатом. Предусмотрено разработчиком. Вообще железка предусматривает очень широкий диапазон обеспечения защищенности, а так же допускает использование в составе впн сети. Но я данным функционалом не пользовался, брендмауер встроенный в железку тоже не трогал. Просто создал самоподписанный сертификат, и на этом успакоился. Про ситуацию наслышан, но как по мне она вызовет еще больший заопарк ключей, но посмотрим.


      1. psynix
        09.10.2021 01:48
        +5

        как то легкомысленно, как по мне ...


      1. redneko
        09.10.2021 02:32
        +4

        Дырки в firmware самой железки никто не отменял. И не всегда они публичные и известны производителю. VPN всё таки лучше иметь. Из коробки легко и просто настраивается IKEv2 IPSec на кинетиках, который поддерживается нативно везде где только можно, чуть сложнее - OpenWRT, и для особых эстетов - Mikrotik, тем более что белый IP есть. У кинетиков и микротиков на Mediatek поддерживается аппаратное ускорение AES - под 200 Mbps выжимал в туннеле лично. Цена вопроса - от 3000 до 10000 рублей явно несравнима с потерями, в случае если концентратор поломают.


    1. K36
      24.10.2021 12:57

      Почему то по умолчанию считается, что висящий в инет VPN сервер надежнее, чем висящий в инет USB сервер. Хотя для этого нет никаких оснований.

      И что делать, если на машине уже используется корпоративный VPN? И ключ для него, возможно, на этом самом концентраторе.


  1. GenkaOk
    09.10.2021 00:46

    Не рассматривали вариант хранения контейнеров на самом устройстве?

    Сложный пароль на ноут и сложный пароль (естественно разные пароли) на сам контейнер, по-моему достаточная защита от взлома.

    Я имею ввиду криптопро, не знаю есть ли у других криптопровайдеров такая возможность.


    1. KivApple
      09.10.2021 07:44

      Полагаю, есть вариант, что просто на работе выдали готовый токен. А токены обычно не предусматривают возможность дампа ключей, иначе теряется весь их смысл.


  1. ASD2003ru
    10.10.2021 10:56
    +1

    Если путешествующий дистанционщик потеряет токен и не сможет вовремя сделать свою работу, то он потеряет не только оплату за её выполнение. Вероятнее всего, дальнейшие перспективы его сотрудничества с разочарованным работодателем окажутся весьма невесёлыми.

    Да но если обрубят интернет\свет дома то ситуация повторится да еще и со всеми ключами.


  1. werter_l
    10.10.2021 17:15

    www.virtualhere.com + совместимая железка + юсб-хаб