Итак, сначала все же определимся с исходными условиями.
- Большое количество ключей электронной защиты.
- Доступ к ним необходим из различных географических мест.
- Рассматриваем только аппаратные решения USB over IP и пытаемся обезопасить это решение принятием дополнительных организационных и технических мер (вопрос альтернатив пока не рассматриваем).
- В рамках статьи не буду полностью расписывать рассматриваемые нами модели угрозы (многое можно посмотреть в публикации), но тезисно остановлюсь на двух моментах. Исключаем из модели социальную инженерию и противоправные действия самих пользователей. Рассматриваем возможности несанкционированного доступа к USB устройствам из любой из сетей не имея штатных учетных данных.
Для обеспечения безопасности доступа к USB устройствам приняты организационные и технические меры:
1. Организационные меры безопасности.
Управляемый USB over IP концентратор установлен в качественно закрывающийся на ключ серверный шкаф. Физический доступ к нему упорядочен (СКД в само помещение, видеонаблюдение, ключи и права доступа у строго ограниченного круга лиц).
Все используемые в организации USB устройства условно разделены на 3 группы:
- Критичные. Финансовые ЭЦП – используются в соответствии с рекомендациями банков (не через USB over IP)
- Важные. ЭЦП для торговых площадок, услуг, ЭДО, отчетности и т.д., ряд ключей для ПО — используются с применением управляемого USB over IP концентратора.
- Не критичные. Ряд ключей для ПО, камеры, ряд флешек и дисков с не критичной информацией, USB модемы — используются с применением управляемого USB over IP концентратора.
2. Технические меры безопасности.
Сетевой доступ к управляемому USB over IP концентратору предоставляется только внутри изолированной подсети. Доступ в изолированную подсеть предоставляется:
- с фермы терминальных серверов,
- по VPN (сертификат и пароль) ограниченному количеству компьютеров и ноутбуков, по VPN им выдаются постоянные адреса,
- по VPN туннелям, соединяющим региональные офисы.
На самом управляемом USB over IP концентраторе DistKontrolUSB с использованием его штатных средств настроены функции:
- Для доступа к USB устройствам USB over IP концентратора используется шифрование (на концентраторе включено шифрование SSL), хотя возможно это уже и лишнее.
- Настроено «ограничение доступа к USB устройствам по IP адресу». В зависимости от IP адреса пользователю предоставляется или нет доступ к назначенным USB устройствам.
- Настроено «Ограничение доступа к USB порту по логину и паролю». Соответственно пользователям назначены права на доступ к USB устройствам.
- «Ограничение доступа к USB устройству по логину и паролю» решили не использовать, т.к. все USB ключи подключены к USB over IP концентратору стационарно и из порта в порт не переставляются. Для нас логичнее предоставлять доступ пользователям к USB порту с установленным в него на длительное время устройством USB.
- Физическое включение и выключение USB портов осуществляется:
- Для ключей от софта и ЭДО — с помощью планировщика задач и назначенных заданий концентратора (ряд ключей запрограммировали на включение в 9.00 и отключение в 18.00, ряд с 13.00 до 16.00);
- Для ключей от торговых площадок и ряда софта – имеющими разрешение пользователями через WEB интерфейс;
- Камеры, ряд флешек и дисков с не критичной информацией – включены всегда.
Предполагаем, что такая организация доступа к USB устройствам обеспечивает их безопасное использование:
- из региональных офисов (условно NET №1 …… NET № N),
- для ограниченного ряда компьютеров и ноутбуков подключающих USB устройства через глобальную сеть,
- для пользователей, опубликованных на терминальных серверах приложений.
В комментариях хотелось бы услышать конкретные практические меры, повышающие информационную безопасность предоставления глобального доступа к USB устройствам.
Комментарии (9)
Pro100lamer
15.04.2019 20:20+1Тоже брали и пользуемся девайсом DistKontrolUSB на 64 порта – со совей задачей справляется на 100%. Дальше остановлюсь только на нюансах, с которыми мы столкнулись:
1. Нет интеграции и AD, всех пользователей приходится забивать ручками.
2. В клиентском приложении пользователи видят все включенные в текущий момент времени ключи. (Хотя подключить могут только те, которые им разрешены, хорошо бы остальные им не видеть)
3. Нет возможности сохранения (экспорта, импорта настроек). В общем то пока (за полтора года) нам это не понадобилось, но не хочется повторно вводить вручную несколько десятков ключей и сотню пользователей.
По вопросу организации доступа к USB over IP — схема довольно простая и вполне разумная. Я бы еще дополнительно разделенные на три группы USB устройства разнес на три разных USB over IP концентратора.
DoraTheExplorer
16.04.2019 15:21Почему не рассматриваете программные решения удаленного доступа к USB по сети? Концентраторы USB устройств кажутся более надежными для этих целей? Не пробовали внедрять что-то типа таких софтов www.net-usb.com или их конкурентов?
svkov Автор
16.04.2019 15:36Пробовали и не одно. Проблем было значительно больше, чем с аппаратными изделиями. Остановились на аппаратных. Но вопрос «почему» не хотелось бы обсуждать мельком. На мой взгляд нельзя рассматривать что то не задав исходные условия и конечные цели. А это материал для отдельной статьи и отдельного обсуждения. В рамках этого хотелось бы обсудить, что можно добавить, чтобы повысить безопасность использования USB устройств по сети.
xcod
Ваш VPN это уже СКЗИ со всеми вытекающими
регуляторы могут докопаться
EvgeniyNuAfanasievich
На предмет чего? Если там внутри не ходят ГТ или ПД то сомнительно.
xcod
Ключевое слово «если». Вы технически не ограничите передачу ПДн, а ПДн есть у всех, как минимум данные сотрудников. И если произойдет инцидент, утечка ПДн итд итп. Регулятору будет за что зацепиться.
EvgeniyNuAfanasievich
ну так вот они там либо есть, либо нет. могут быть еще в обезличенном виде.
это определяется на момент до построения ИС или же по пересмотру документации в процессе, если есть необходимость.
а логика типа "но аппарат то есть, значит виновен" не катит.
факт утечки еще нужно как-то зафиксировать субъекту обладателю ПД (а больше это никому не выгодно и не интересно), собрать логи какие-никакие и направить в соответственном направлении. не находите, что это весьма сложно сделать в описанной выше в статье ситуации.
xcod
Обезличены != защищены. Обезличенные данные можно исказить или изменить.
А если дословно цепляться к ФЗ 152 О перс данных. то ПДн это любая информация прямо или косвенно относящаяся к субъекту. РКН например просто цифры ИНН считает ПДн.
Передачу ПДн Вы можете ограничить только ОРД, но не технически, если конечно не завернуть все гайки пользователю.
Про утечку, я имею ввиду, если где то публично в сети ваши данные обнаружат. Тут и фиксировать ничего не надо.
EvgeniyNuAfanasievich
это верно отчасти. опять же как обосновать претензии к вышеозначенной сети, о том, что именно она источник утечки.
опять же фиксация факта утечки и направление обоснованных претензий лежит на плечах субъекта либо правоохранительных органов, но это уже маловероятно (разве что совсем крупный сайт, проект и т.п.)