Pull to refresh

USB over IP или AnywhereUSB

Reading time 3 min
Views 183K
Virtualization *
Технологии виртуализации прочно вошли в современный IT мир. Сегодня невозможно найти компанию, которая бы не использовала решения для виртуализации (виртуальные сервера, виртуальные рабочие места, VDI) в своей работе. И все было бы отлично и безоблачно, но гипервизоры, основа инфраструктуры внесли и определенные ограничения на созданные и используемые виртуальные машины.
Одно из ограничений — это отсутствие USB портов на виртуальных машинах. Если раньше мы могли подключить необходимое USB устройство (например, ключ защиты ПО или смарт-карту с ключами шифрования) к физическому серверу, то теперь — поскольку сервера стали виртуальными – эта задача так просто не решается. Как решить эту проблему быстро и эффективно – я расскажу в этом обзоре.
Читать дальше →
Total votes 44: ↑39 and ↓5 +34
Comments 50

Укрощаем USB/IP

Reading time 5 min
Views 130K
System administration **nix *
Регулярно возникает задача подключения USB-устройства к удаленному ПК через локальную сеть. Под катом изложена история моих поисков в этом направлении, и путь к готовому решению на базе open-source проекта USB/IP с описанием заботливо установленных различными людьми на этом пути препятствий, а также способов их обхода.
Читать дальше →
Total votes 48: ↑46 and ↓2 +44
Comments 51

Централизованный доступ к ЭЦП и прочим ключам электронной защиты с помощью аппаратных USB over IP

Reading time 3 min
Views 23K
Information Security *System administration *Network technologies *Cloud services *Network hardware
Sandbox
Хочу поделиться нашим годичным опытом при поиске решения для организации централизованного и упорядоченного доступа к ключам электронной защиты в нашей организации (ключи для доступа к площадкам для торгов, банковские, ключи защиты программного обеспечения и т.д.). В связи с наличием у нас филиалов, территориально весьма разнесенных друг от друга, и наличием в каждом из них по нескольку ключей электронной защиты — постоянно возникает необходимость в них, но в разных филиалах. После очередной суеты с потерянным ключом, руководство поставило задачу — решить эту проблему и собрать ВСЕ USB устройства защиты в одном месте, и обеспечить с ними работу не зависимо от места расположения сотрудника.

Итак, нам необходимо собрать в одном офисе все имеющиеся в нашей компании ключи банк клиентов, лицензий 1с (hasp), рутокены, ESMART Token USB 64K, и т.д. для последующей эксплуатации на удаленных физических и виртуальных машинах Hyper-V. Количество usb устройств – 50-60 и точно, что это не предел. Расположение серверов виртуализации вне офиса (датацентр). Расположение всех USB устройств в офисе.
Читать дальше →
Total votes 21: ↑21 and ↓0 +21
Comments 25

Информационная безопасность аппаратных решений USB over IP

Reading time 3 min
Views 8.2K
Information Security *System administration *Network technologies *Cloud services *Network hardware
Недавно поделился опытом при поиске решения для организации централизованного доступа к ключам электронной защиты в нашей организации. В комментариях были поднят серьезный вопрос информационной безопасности аппаратных решений USB over IP, который и нас весьма беспокоит.

Итак, сначала все же определимся с исходными условиями.

  • Большое количество ключей электронной защиты.
  • Доступ к ним необходим из различных географических мест.
  • Рассматриваем только аппаратные решения USB over IP и пытаемся обезопасить это решение принятием дополнительных организационных и технических мер (вопрос альтернатив пока не рассматриваем).
  • В рамках статьи не буду полностью расписывать рассматриваемые нами модели угрозы (многое можно посмотреть в публикации), но тезисно остановлюсь на двух моментах. Исключаем из модели социальную инженерию и противоправные действия самих пользователей. Рассматриваем возможности несанкционированного доступа к USB устройствам из любой из сетей не имея штатных учетных данных.

image
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Comments 10

USB over IP в домашних условиях

Reading time 4 min
Views 48K
System administration **nix *Network hardware
Sandbox
Иногда возникает желание работать с устройством, подключенным по USB, не держа его на столе рядом с ноутбуком. У меня таким устройством является китайский гравёр с лазером на 500 мВт, штука довольно неприятная при близком контакте. Помимо непосредственной опасности для глаз, в процессе работы лазера выделяются токсичные продукты горения, поэтому устройство должно находится в хорошо проветриваемом помещении, и желательно изолированно от людей. А как же таким устройством управлять? Ответ на данный вопрос я случайно нашел, просматривая репозиторий OpenWRT в надежде найти достойное применение старенькому роутеру D-Link DIR-320 A2. Для подключения решил использовать описываемый на Хабре ранее USB over IP tunnel, однако все инструкции по его установке успели потерять актуальность, поэтому пишу свою.
Читать дальше →
Total votes 60: ↑59 and ↓1 +58
Comments 28

Байка про то, как я с помощью ZeroTier и USB/IP на VDS/VPS USB-порты МОСТырил

Reading time 8 min
Views 3.4K
System administration *IT Infrastructure *Network technologies *Server Administration *Network hardware
🔥 Technotext 2020


Прошла неделя, как завершился внешний проект по миграции части ИТ-инфраструктуры одной компании с локальных на арендуемые вычислительные ресурсы. Проект в котором меня, когда я размышлял над моделью подключения USB-токенов к VDS/VPS и подбирал готовые для этой задачи решения, посетила одна занятная идея — собрать собственное на базе «открытого» ПО.

Поводом для «появления на свет» идеи стало желание продемонстрировать заказчику, что «создать решение или решить проблему можно несколькими способами, но, не всегда самый дорогой или/и популярный способ — самый эффективный!» Ну, и… чуток «завернуть» бюджет проекта, не только по услугам, но и по софту и железу, на себя, «импортозамещая» продукцию: FabulaTech, Digi и подобных компаний. :)

Как ни странно, процесс создания решения поначалу показался занятием непростым и не благодарным, но потом «затянул» так, что побудил собрать такое же решение и для себя, но уже для других целей. О чём и расскажу в этой статье.
Читать дальше →
Total votes 3: ↑3 and ↓0 +3
Comments 1

«Чёрный ящик» для вашего офиса

Reading time 3 min
Views 4.9K
IT Infrastructure *Periphery
Sandbox
Первой об этом устройстве заговорила наша бухгалтер, женщина профессионально благодетельная, но рассеянная (теряет мелкие пластмассовые предметы: помаду, тюбики, «секретные» флэшносители). Сложно установить, где она увидела сочетание слов «USB over IP», но в ее интерпретации это звучало так: «Железная коробочка, в которую можно воткнуть много флэшек, чтобы они не терялись». С этой формулировкой, она пошла к генеральному, потому что могла открыть дверь его кабинета не то чтоб ногой, но плечом. После ее визита генеральный, которого слегка мутит от всех этих компьютерных коробочек, вызвал «главного» айтишника и двадцать минут с ним беседовал, пытаясь запомнить фразу «USB over IP». Я, кстати, сумел бы все объяснить и за десять, но я «младший» айтишник-стажер и имею возможность всего лишь рассказать о динамике событий и о самом устройстве, которое спасло нашего бухгалтера и облегчило жизнь многим, кто о таком облегчении и не мечтал. Это нам, продвинутым стажерам, все ясно с USB over IP, а для остальных страждущих рассказываю.
Читать дальше →
Total votes 13: ↑5 and ↓8 -3
Comments 20

Избавляемся от головной боли или зачем нужна система хранения USB-ключей в условиях пандемии

Reading time 5 min
Views 9.5K
Information Security *System administration *Network technologies *Cloud services *Network hardware
Recovery mode

image


С началом режима самоизоляции многие сотрудники нашей компании перешли на удаленку. Контроль доступа к USB-ключам стал серьезной проблемой, для решения которой потребовалось специальное устройство.


Пускать внутрь защищенного периметра собственные машины пользователей и устанавливать на них корпоративный софт мы не стали. Это плохой с точки зрения информационной безопасности подход, поскольку такие компьютеры ИТ-отдел фактически не контролирует. Чтобы сотрудники могли подключаться к информационным системам из дома, пришлось создать виртуальную частную сеть и поднять сервис удаленных рабочих столов. Отдельным сотрудникам были выданы имеющиеся в наличии ноутбуки, если им требовалось работать с локальным ПО. Больших затрат переход на удаленку не потребовал. Чтобы не покупать дорогой сервер, мы ограничились арендой виртуального и приобретением терминальных лицензий Microsoft. Плюсы такого подхода очевидны: не пришлось тратиться на железо и возиться с разношерстным парком чужой техники. Чтобы пользователь получил привычную среду, достаточно настроить соединение RDP. Также мы прописали ограничения на подключение внешних носителей, а конфигурация корпоративных ноутбуков уже была достаточно безопасной: пользователи не имели на них администраторских полномочий, применялись политики безопасности, работал брандмауэр, антивирус и т.д. и т.п.

Читать дальше →
Total votes 15: ↑10 and ↓5 +5
Comments 11

Как я внедрял концентратор DistKontrolUSB

Reading time 7 min
Views 13K
Information Security *IT Infrastructure *Network technologies *IT career Cloud services *
Sandbox

Работу в ИТ-отделе средней по московским понятиям торговой конторе я получил сразу после диплома. Она мне досталась в наследство от приятеля, который дождался приличного места в крупном банке.

ИТ-отдел там был небольшой — пять человек, включая начальника. В таких коллективах все занимаются всем, но за каждым закреплена зона ответственности, которой он должен уделять особое внимание.

Значительно хуже обстояли дела с ключами доступа к внешним ресурсам: банкам, системам ЭДО, торговым площадкам и государственным сервисам. Они разные и их много. Причём, сегодня токен нужен одному сотруднику, а завтра другому. Таким образом, решение проблемы само превратилось в проблему.

Читать полностью
Total votes 8: ↑6 and ↓2 +4
Comments 39

USB over IP: удалённое администрирование

Reading time 5 min
Views 15K
Information Security *Client optimization *IT Infrastructure *Network technologies *Remote work
Sandbox

Большую часть своей жизни я жил и работал в Москве. Занимался тем, что менял здоровье на деньги. Правда, на очень хорошие, поэтому под занавес пятого десятка купил домик в тихом приморском городке, далеко от столичной суеты и ежедневной нервотрёпки.

Особой необходимости в работе у меня не было. Дети уже стали самостоятельными настолько, что запросто могут содержать нас с женой. Да и скопить удалось прилично. Однако, были три проблемы.

Читать далее
Total votes 15: ↑11 and ↓4 +7
Comments 23

DistKontrolUSB в домашнем офисе

Reading time 5 min
Views 6.3K
Information Security *System administration *Network technologies *Cloud services *Network hardware

Мы с женой уже несколько лет работаем дистанционно. Не потому что ковид и самоизоляция. Мы путешествовать любим, а «удалёнка» позволяет совмещать приятное с полезным.

С недавнего времени «рабочую» часть нашего багажа пришлось пополнить аппаратными ключами доступа. Токенами сегодня защищают не только банковские сервисы и торговые площадки, но даже корпоративные системы документооборота. В теории всё это должно выглядеть замечательно, но на практике решение одних проблем всегда приводит к появлению других.

Читать далее
Total votes 8: ↑4 and ↓4 0
Comments 9

USB over IP для личного использования: организовываем клиент-серверный комплекс на Linux и Windows

Reading time 7 min
Views 31K
Selectel corporate blog System administration *IT Infrastructure *Server Administration *

Привет, Хабр! В прошлой статье мы рассмотрели историю и принцип работы технологии USB over IP, узнали, как ее применяют на базе готового аппаратного решения.

Для личного использования, однако, аппаратное решение скорее не подойдет: нужно приобретать дорогостоящее оборудование, что нецелесообразно. Поэтому под катом рассказываю, как организовать клиент-серверный комплекс USB over IP на современных ОС и автоматизировать этот процесс.
Читать дальше →
Total votes 65: ↑65 and ↓0 +65
Comments 12

История о том, как «некопируемый» токен изменил концепцию работы с ключами

Level of difficulty Medium
Reading time 4 min
Views 18K
Information Security *System administration *Network technologies *Cloud services *Network hardware
Sandbox

Эта история началась, когда руководство нашей компании приняло решение получить ЭЦП в ИФНС. При помощи этой подписи можно подавать налоговую отчетность, отправлять документацию в госорганы, принимать госзаказы, работать с ЕГАИС и проч. Правда, есть один нюанс — ключ не подлежит копированию. Но на это мы не обратили особого внимания. Как оказалось, напрасно.

Читать далее
Total votes 50: ↑24 and ↓26 -2
Comments 84