Информационная безопасность аппаратных решений USB over IP

    Недавно поделился опытом при поиске решения для организации централизованного доступа к ключам электронной защиты в нашей организации. В комментариях были поднят серьезный вопрос информационной безопасности аппаратных решений USB over IP, который и нас весьма беспокоит.

    Итак, сначала все же определимся с исходными условиями.

    • Большое количество ключей электронной защиты.
    • Доступ к ним необходим из различных географических мест.
    • Рассматриваем только аппаратные решения USB over IP и пытаемся обезопасить это решение принятием дополнительных организационных и технических мер (вопрос альтернатив пока не рассматриваем).
    • В рамках статьи не буду полностью расписывать рассматриваемые нами модели угрозы (многое можно посмотреть в публикации), но тезисно остановлюсь на двух моментах. Исключаем из модели социальную инженерию и противоправные действия самих пользователей. Рассматриваем возможности несанкционированного доступа к USB устройствам из любой из сетей не имея штатных учетных данных.

    image

    Для обеспечения безопасности доступа к USB устройствам приняты организационные и технические меры:

    1. Организационные меры безопасности.

    Управляемый USB over IP концентратор установлен в качественно закрывающийся на ключ серверный шкаф. Физический доступ к нему упорядочен (СКД в само помещение, видеонаблюдение, ключи и права доступа у строго ограниченного круга лиц).

    Все используемые в организации USB устройства условно разделены на 3 группы:

    • Критичные. Финансовые ЭЦП – используются в соответствии с рекомендациями банков (не через USB over IP)
    • Важные. ЭЦП для торговых площадок, услуг, ЭДО, отчетности и т.д., ряд ключей для ПО — используются с применением управляемого USB over IP концентратора.
    • Не критичные. Ряд ключей для ПО, камеры, ряд флешек и дисков с не критичной информацией, USB модемы — используются с применением управляемого USB over IP концентратора.

    2. Технические меры безопасности.

    Сетевой доступ к управляемому USB over IP концентратору предоставляется только внутри изолированной подсети. Доступ в изолированную подсеть предоставляется:

    • с фермы терминальных серверов,
    • по VPN (сертификат и пароль) ограниченному количеству компьютеров и ноутбуков, по VPN им выдаются постоянные адреса,
    • по VPN туннелям, соединяющим региональные офисы.

    На самом управляемом USB over IP концентраторе DistKontrolUSB с использованием его штатных средств настроены функции:

    • Для доступа к USB устройствам USB over IP концентратора используется шифрование (на концентраторе включено шифрование SSL), хотя возможно это уже и лишнее.
    • Настроено «ограничение доступа к USB устройствам по IP адресу». В зависимости от IP адреса пользователю предоставляется или нет доступ к назначенным USB устройствам.
    • Настроено «Ограничение доступа к USB порту по логину и паролю». Соответственно пользователям назначены права на доступ к USB устройствам.
    • «Ограничение доступа к USB устройству по логину и паролю» решили не использовать, т.к. все USB ключи подключены к USB over IP концентратору стационарно и из порта в порт не переставляются. Для нас логичнее предоставлять доступ пользователям к USB порту с установленным в него на длительное время устройством USB.
    • Физическое включение и выключение USB портов осуществляется:

      • Для ключей от софта и ЭДО — с помощью планировщика задач и назначенных заданий концентратора (ряд ключей запрограммировали на включение в 9.00 и отключение в 18.00, ряд с 13.00 до 16.00);
      • Для ключей от торговых площадок и ряда софта – имеющими разрешение пользователями через WEB интерфейс;
      • Камеры, ряд флешек и дисков с не критичной информацией – включены всегда.

    Предполагаем, что такая организация доступа к USB устройствам обеспечивает их безопасное использование:

    • из региональных офисов (условно NET №1 …… NET № N),
    • для ограниченного ряда компьютеров и ноутбуков подключающих USB устройства через глобальную сеть,
    • для пользователей, опубликованных на терминальных серверах приложений.

    В комментариях хотелось бы услышать конкретные практические меры, повышающие информационную безопасность предоставления глобального доступа к USB устройствам.
    • +14
    • 5.6k
    • 9
    Share post

    Similar posts

    Comments 9

      0
      Ваш VPN это уже СКЗИ со всеми вытекающими
      регуляторы могут докопаться
        0
        На предмет чего? Если там внутри не ходят ГТ или ПД то сомнительно.
          0
          Ключевое слово «если». Вы технически не ограничите передачу ПДн, а ПДн есть у всех, как минимум данные сотрудников. И если произойдет инцидент, утечка ПДн итд итп. Регулятору будет за что зацепиться.
            0

            ну так вот они там либо есть, либо нет. могут быть еще в обезличенном виде.
            это определяется на момент до построения ИС или же по пересмотру документации в процессе, если есть необходимость.
            а логика типа "но аппарат то есть, значит виновен" не катит.
            факт утечки еще нужно как-то зафиксировать субъекту обладателю ПД (а больше это никому не выгодно и не интересно), собрать логи какие-никакие и направить в соответственном направлении. не находите, что это весьма сложно сделать в описанной выше в статье ситуации.

              0
              Обезличены != защищены. Обезличенные данные можно исказить или изменить.
              А если дословно цепляться к ФЗ 152 О перс данных. то ПДн это любая информация прямо или косвенно относящаяся к субъекту. РКН например просто цифры ИНН считает ПДн.
              Передачу ПДн Вы можете ограничить только ОРД, но не технически, если конечно не завернуть все гайки пользователю.
              Про утечку, я имею ввиду, если где то публично в сети ваши данные обнаружат. Тут и фиксировать ничего не надо.
                0

                это верно отчасти. опять же как обосновать претензии к вышеозначенной сети, о том, что именно она источник утечки.
                опять же фиксация факта утечки и направление обоснованных претензий лежит на плечах субъекта либо правоохранительных органов, но это уже маловероятно (разве что совсем крупный сайт, проект и т.п.)

        +1
        Тоже брали и пользуемся девайсом DistKontrolUSB на 64 порта – со совей задачей справляется на 100%. Дальше остановлюсь только на нюансах, с которыми мы столкнулись:
        1. Нет интеграции и AD, всех пользователей приходится забивать ручками.
        2. В клиентском приложении пользователи видят все включенные в текущий момент времени ключи. (Хотя подключить могут только те, которые им разрешены, хорошо бы остальные им не видеть)
        3. Нет возможности сохранения (экспорта, импорта настроек). В общем то пока (за полтора года) нам это не понадобилось, но не хочется повторно вводить вручную несколько десятков ключей и сотню пользователей.

        По вопросу организации доступа к USB over IP — схема довольно простая и вполне разумная. Я бы еще дополнительно разделенные на три группы USB устройства разнес на три разных USB over IP концентратора.
          0
          Почему не рассматриваете программные решения удаленного доступа к USB по сети? Концентраторы USB устройств кажутся более надежными для этих целей? Не пробовали внедрять что-то типа таких софтов www.net-usb.com или их конкурентов?
            0
            Пробовали и не одно. Проблем было значительно больше, чем с аппаратными изделиями. Остановились на аппаратных. Но вопрос «почему» не хотелось бы обсуждать мельком. На мой взгляд нельзя рассматривать что то не задав исходные условия и конечные цели. А это материал для отдельной статьи и отдельного обсуждения. В рамках этого хотелось бы обсудить, что можно добавить, чтобы повысить безопасность использования USB устройств по сети.

          Only users with full accounts can post comments. Log in, please.