В предыдущей статье рассказывал, как в нашем офисе появился управляемый USB over IP концентратор DistKontrolUSB, как мы его нашли, выбрали среди представленных на рынке вариантов, как, вообще, пришли к мысли, что он нам нужен. Теперь хочу рассказать о его «способностях» чуть поподробнее. И если в вашей организации не достаточно USB-единства и понимания, что важная информация должна храниться централизовано и быть недоступной для «врагов», вам не помешает элегантный квадратный ящичек – «USB концентратор антипроблем».
Но сначала определитесь, насколько вы крупны и много ли у вас филиалов, ибо, если у вас полтора офиса, в которых трудиться дюжина сотрудников, они могут поносить флэшки и карманах. Если же вы не считаете себя гигантом и объединять 64 устройства в одном месте нет никакой необходимости, обратите внимание на модель да хотя бы с 16 портами. Или с 32-мя (смотрите фотографии к статье, выбирайте нужный объем).
Итак, если вы твердо укрепились в идее собрать в одном офисе все имеющиеся ключи банк клиентов, лицензий 1с (hasp), рутокены, ESMART Token USB 64K, и т.д. для последующей эксплуатации на удаленных физических и виртуальных машинах Hyper-V, вам нужен Управляемый USB over IP концентратор DistKontrolUSB отечественного производителя, а не дорогостоящая американская погремуха.
Аппарат предназначен для подключения USB ключей электронной защиты, например, серии eToken, ruToken и других аналогов, ключей для программных продуктов 1С, клиент-банков, сканеров, принтеров, МФУ, сенсоров и т.п., к компьютерной сети. Он позволяет всем пользователям сети удаленно подключать USB устройства к своему ноутбуку, компьютеру пользоваться ими и удаленно управлять физическим подключением этих устройств.
Самые основные технические характеристики устройства я изложил в предыдущей статье, поэтому перейдем к подключению.
Включение и отключение USB устройств, подключенных к концентратору возможно: через WEB интерфейс, с помощью планировщика задач и назначенных заданий и с помощью утилиты управления устройством (скриптами, из командной строки или своего приложения).
А подключение и отключение USB устройств (не путать с включением), подключенных к управляемому USB over IP концентратору возможно через клиентское приложение, работающее в графическом режиме или в виде службы и с помощью API.
Далее приступаем к использованию, а для этого всего лишь необходимо (диктую по пунктам):
1. Подключить устройство к LAN (через Ethernet или WiFi) и произвести его настройку.
2. На каждом компьютере, к которому нужно пробросить USB устройство запустить программное обеспечение DistKontrolUSB Client, которое работает под управлением версий Linux, Windows, OSX.
3. Настройка и управление устройством подключения USB по сети осуществляется через Web интерфейс.
4. Настройка клиентского компьютера достаточно проста и, скажем так, интуитивно понятна. DistKontrolUSB Client работает под управлением версий Linux, Windows и OSX. Клиент позволяет интуитивно подключать и отключать удаленные устройства USB. Устройство не требует установки, а клиент может запускаться в качестве сервиса.
Теперь о совместимости.
Чтобы «бросить» устройство USB на компьютер, необходимо запустить приложение USBoverIP-Client (не требует установки), доступное для версий Microsoft Windows, GNU/Linux (необходим драйвер usbip, для максимальной совместимости желательно использовать ядро 4.9+) и macOS. Приложение можно скачать с самого концентратора или с сайта производителя: оно работает в графическом режиме, как сервис (демон) или в режиме командной строки. Клиент тестировался как на физических компьютерах, так и на виртуальных машинах VMware и Microsoft Hyper-V. При первом подключении к удаленному устройству USB в систему будут автоматически установлены драйверы.
После данных манипуляций можно присоединить к системе любое доступное устройство USB, включенное в порт концентратора: оно будет видно как локальное. Проблем с совместимостью ключей и DistKontrolUSB не возникнет.
Но с активным использованием устройства надо попридержать коней и сначала ознакомиться с блоком безопасности, потому что ради нее все изначально и затевалось. IT-воры не спят, а конкуренты находятся в низком старте и всегда готовы рвануть с места, чтобы разузнать нечто интимное о вашей фирме. Поэтому читаем наиважнейшие пункты о мерах безопасности.
Управляемый концентратор установлен в качественно закрывающийся на ключ серверный шкаф. Физический доступ к нему упорядочен (СКД в само помещение, видеонаблюдение, ключи и права доступа у строго ограниченного круга лиц).
Все используемые в организации USB устройства условно разделены на 3 группы:
– Критичные. Финансовые ЭЦП – используются в соответствии с рекомендациями банков (не через USB over IP)
– Важные. ЭЦП для торговых площадок, услуг, ЭДО, отчетности, ряд ключей для ПО – используются с применением управляемого USB over IP концентратора.
– Не критичные. Ряд ключей для ПО, камеры, ряд флешек и дисков с некритичной информацией, USB модемы – так же используются с применением управляемого USB over IP концентратора.
Теперь технические меры безопасности.
Сетевой доступ к концентратору предоставляется только внутри изолированной подсети, а доступ в эту подсеть предоставляется:
– с фермы терминальных серверов,
– по VPN (сертификат и пароль) ограниченному количеству компьютеров, по VPN им выдаются постоянные адреса,
– по VPN туннелям, соединяющим региональные офисы.
На самом управляемом USB over IP концентраторе DistKontrolUSB с использованием его штатных средств настроены функции:
– для доступа к USB устройствам используется шифрование (на концентраторе включено шифрование SSL для USB трафика);
– настроено «Ограничение доступа к USB устройствам по IP адресу». В зависимости от IP адреса пользователю предоставляется или нет доступ к назначенным USB устройствам;
– настроено «Ограничение доступа к USB порту по логину и паролю».
Что не маловажно, все ограничения работают по правилу «и», а не «или». Это значит, когда пользователь подключается к устройству, у него должно быть разрешение на использование порта и у IP-адреса, с которого он подключается, должно быть разрешение к USB устройству. Если одно из условий не выполняется, то доступ не предоставляется. Всего можно задать четыре условия, но мы ограничились двумя.
Теперь о физическом включении и выключении USB портов. Всего три пункта:
– для ключей от софта и ЭДО – с помощью планировщика задач и назначенных заданий концентратора (ряд ключей запрограммированы на включение в 9.00 и отключение в 18.00, ряд – с 13.00 до 16.00);
– для ключей от торговых площадок и ряда софта – для пользователей, имеющих разрешение, через WEB интерфейс;
– камеры, ряд флэшек и дисков с некритичной информацией – включены всегда.
А теперь о доступе к USB устройствам. Наиболее безопасная схема выглядит примерно так:
– из региональных офисов (назовем их условно NET №1, NET № 2…),
– для ограниченного ряда компьютеров и ноутбуков подключающих USB устройства через глобальную сеть,
– для пользователей, опубликованных на терминальных серверах приложений.
В более глубокие дебри пока не полезем (о плюсах и минусах концентратора можно написать небольшую диссертацию), а подведем некоторый итог.
Если вы восприняли «черный ящик» DistKontrol концентратора, как всего лишь сервер, совмещенный с активным USB-хабом в одном корпусе, – вы поспешили с выводами. Это отнюдь не игрушка для удаленного подключения флэшек. Я рассказал об аппарате комплексно решающем все задачи, возникающие в компании из-за большого количества USB-ключей. Если они, как опавшие листья, раскиданы по разным серверам и рабочим местам пользователей, ограничить физический доступ к ним практически невозможно. А когда все ключи сосредоточены в одном месте, такой проблемы уже не возникает.
Остается при покупке не ошибиться с количеством USB-портов: 16, 32, 48 или сразу 64.