Недавно поделился опытом при поиске решения для организации централизованного доступа к ключам электронной защиты в нашей организации. В комментариях были поднят серьезный вопрос информационной безопасности аппаратных решений USB over IP, который и нас весьма беспокоит.

Итак, сначала все же определимся с исходными условиями.

  • Большое количество ключей электронной защиты.
  • Доступ к ним необходим из различных географических мест.
  • Рассматриваем только аппаратные решения USB over IP и пытаемся обезопасить это решение принятием дополнительных организационных и технических мер (вопрос альтернатив пока не рассматриваем).
  • В рамках статьи не буду полностью расписывать рассматриваемые нами модели угрозы (многое можно посмотреть в публикации), но тезисно остановлюсь на двух моментах. Исключаем из модели социальную инженерию и противоправные действия самих пользователей. Рассматриваем возможности несанкционированного доступа к USB устройствам из любой из сетей не имея штатных учетных данных.

image

Для обеспечения безопасности доступа к USB устройствам приняты организационные и технические меры:

1. Организационные меры безопасности.

Управляемый USB over IP концентратор установлен в качественно закрывающийся на ключ серверный шкаф. Физический доступ к нему упорядочен (СКД в само помещение, видеонаблюдение, ключи и права доступа у строго ограниченного круга лиц).

Все используемые в организации USB устройства условно разделены на 3 группы:

  • Критичные. Финансовые ЭЦП – используются в соответствии с рекомендациями банков (не через USB over IP)
  • Важные. ЭЦП для торговых площадок, услуг, ЭДО, отчетности и т.д., ряд ключей для ПО — используются с применением управляемого USB over IP концентратора.
  • Не критичные. Ряд ключей для ПО, камеры, ряд флешек и дисков с не критичной информацией, USB модемы — используются с применением управляемого USB over IP концентратора.

2. Технические меры безопасности.

Сетевой доступ к управляемому USB over IP концентратору предоставляется только внутри изолированной подсети. Доступ в изолированную подсеть предоставляется:

  • с фермы терминальных серверов,
  • по VPN (сертификат и пароль) ограниченному количеству компьютеров и ноутбуков, по VPN им выдаются постоянные адреса,
  • по VPN туннелям, соединяющим региональные офисы.

На самом управляемом USB over IP концентраторе DistKontrolUSB с использованием его штатных средств настроены функции:

  • Для доступа к USB устройствам USB over IP концентратора используется шифрование (на концентраторе включено шифрование SSL), хотя возможно это уже и лишнее.
  • Настроено «ограничение доступа к USB устройствам по IP адресу». В зависимости от IP адреса пользователю предоставляется или нет доступ к назначенным USB устройствам.
  • Настроено «Ограничение доступа к USB порту по логину и паролю». Соответственно пользователям назначены права на доступ к USB устройствам.
  • «Ограничение доступа к USB устройству по логину и паролю» решили не использовать, т.к. все USB ключи подключены к USB over IP концентратору стационарно и из порта в порт не переставляются. Для нас логичнее предоставлять доступ пользователям к USB порту с установленным в него на длительное время устройством USB.
  • Физическое включение и выключение USB портов осуществляется:

    • Для ключей от софта и ЭДО — с помощью планировщика задач и назначенных заданий концентратора (ряд ключей запрограммировали на включение в 9.00 и отключение в 18.00, ряд с 13.00 до 16.00);
    • Для ключей от торговых площадок и ряда софта – имеющими разрешение пользователями через WEB интерфейс;
    • Камеры, ряд флешек и дисков с не критичной информацией – включены всегда.

Предполагаем, что такая организация доступа к USB устройствам обеспечивает их безопасное использование:

  • из региональных офисов (условно NET №1 …… NET № N),
  • для ограниченного ряда компьютеров и ноутбуков подключающих USB устройства через глобальную сеть,
  • для пользователей, опубликованных на терминальных серверах приложений.

В комментариях хотелось бы услышать конкретные практические меры, повышающие информационную безопасность предоставления глобального доступа к USB устройствам.

Комментарии (9)


  1. xcod
    15.04.2019 14:42

    Ваш VPN это уже СКЗИ со всеми вытекающими
    регуляторы могут докопаться


    1. EvgeniyNuAfanasievich
      15.04.2019 17:41

      На предмет чего? Если там внутри не ходят ГТ или ПД то сомнительно.


      1. xcod
        16.04.2019 07:00

        Ключевое слово «если». Вы технически не ограничите передачу ПДн, а ПДн есть у всех, как минимум данные сотрудников. И если произойдет инцидент, утечка ПДн итд итп. Регулятору будет за что зацепиться.


        1. EvgeniyNuAfanasievich
          16.04.2019 08:31

          ну так вот они там либо есть, либо нет. могут быть еще в обезличенном виде.
          это определяется на момент до построения ИС или же по пересмотру документации в процессе, если есть необходимость.
          а логика типа "но аппарат то есть, значит виновен" не катит.
          факт утечки еще нужно как-то зафиксировать субъекту обладателю ПД (а больше это никому не выгодно и не интересно), собрать логи какие-никакие и направить в соответственном направлении. не находите, что это весьма сложно сделать в описанной выше в статье ситуации.


          1. xcod
            16.04.2019 08:49

            Обезличены != защищены. Обезличенные данные можно исказить или изменить.
            А если дословно цепляться к ФЗ 152 О перс данных. то ПДн это любая информация прямо или косвенно относящаяся к субъекту. РКН например просто цифры ИНН считает ПДн.
            Передачу ПДн Вы можете ограничить только ОРД, но не технически, если конечно не завернуть все гайки пользователю.
            Про утечку, я имею ввиду, если где то публично в сети ваши данные обнаружат. Тут и фиксировать ничего не надо.


            1. EvgeniyNuAfanasievich
              16.04.2019 09:17

              это верно отчасти. опять же как обосновать претензии к вышеозначенной сети, о том, что именно она источник утечки.
              опять же фиксация факта утечки и направление обоснованных претензий лежит на плечах субъекта либо правоохранительных органов, но это уже маловероятно (разве что совсем крупный сайт, проект и т.п.)


  1. Pro100lamer
    15.04.2019 20:20
    +1

    Тоже брали и пользуемся девайсом DistKontrolUSB на 64 порта – со совей задачей справляется на 100%. Дальше остановлюсь только на нюансах, с которыми мы столкнулись:
    1. Нет интеграции и AD, всех пользователей приходится забивать ручками.
    2. В клиентском приложении пользователи видят все включенные в текущий момент времени ключи. (Хотя подключить могут только те, которые им разрешены, хорошо бы остальные им не видеть)
    3. Нет возможности сохранения (экспорта, импорта настроек). В общем то пока (за полтора года) нам это не понадобилось, но не хочется повторно вводить вручную несколько десятков ключей и сотню пользователей.

    По вопросу организации доступа к USB over IP — схема довольно простая и вполне разумная. Я бы еще дополнительно разделенные на три группы USB устройства разнес на три разных USB over IP концентратора.


  1. DoraTheExplorer
    16.04.2019 15:21

    Почему не рассматриваете программные решения удаленного доступа к USB по сети? Концентраторы USB устройств кажутся более надежными для этих целей? Не пробовали внедрять что-то типа таких софтов www.net-usb.com или их конкурентов?


    1. svkov Автор
      16.04.2019 15:36

      Пробовали и не одно. Проблем было значительно больше, чем с аппаратными изделиями. Остановились на аппаратных. Но вопрос «почему» не хотелось бы обсуждать мельком. На мой взгляд нельзя рассматривать что то не задав исходные условия и конечные цели. А это материал для отдельной статьи и отдельного обсуждения. В рамках этого хотелось бы обсудить, что можно добавить, чтобы повысить безопасность использования USB устройств по сети.