Централизованный доступ к ЭЦП и прочим ключам электронной защиты с помощью аппаратных USB over IP

Хочу поделиться нашим годичным опытом при поиске решения для организации централизованного и упорядоченного доступа к ключам электронной защиты в нашей организации (ключи для доступа к площадкам для торгов, банковские, ключи защиты программного обеспечения и т.д.). В связи с наличием у нас филиалов, территориально весьма разнесенных друг от друга, и наличием в каждом из них по нескольку ключей электронной защиты — постоянно возникает необходимость в них, но в разных филиалах. После очередной суеты с потерянным ключом, руководство поставило задачу — решить эту проблему и собрать ВСЕ USB устройства защиты в одном месте, и обеспечить с ними работу не зависимо от места расположения сотрудника.

Итак, нам необходимо собрать в одном офисе все имеющиеся в нашей компании ключи банк клиентов, лицензий 1с (hasp), рутокены, ESMART Token USB 64K, и т.д. для последующей эксплуатации на удаленных физических и виртуальных машинах Hyper-V. Количество usb устройств – 50-60 и точно, что это не предел. Расположение серверов виртуализации вне офиса (датацентр). Расположение всех USB устройств в офисе.

Изучили существующие технологии централизованного доступа к USB устройствам и решили остановиться на технологии USB поверх IP (USB over IP). Оказывается, очень многие организации пользуются именно этим решением. На рынке есть как аппаратные средства проброса USB по IP, так и программные, но они нас не устраивали. По сему, далее речь пойдет только о выборе аппаратных USB over IP и в первую очередь о нашем выборе. Устройства из Китая (безымянные) мы тоже исключили из рассмотрения.

Наиболее описываемым на просторах интернета аппаратным решением USB over IP являются устройства производства США и Германии. Для детального изучения приобрели большой стоечный вариант этого USB over IP, рассчитанный на 14 портов USB, с возможностью монтажа в 19 дюймовую стойку и немецкий USB over IP, рассчитанный на 20 портов USB, так же с возможностью монтажа в 19 дюймовую стойку. К сожалению на большее количество портов устройств USB over IP у этих производителей не было.

Первое устройство весьма дорогое и интересное (в интернете полно обзоров), но есть очень большой минус — нет никаких систем авторизации для подключения USB устройств. Любой, кто установит приложение для подключения USB, получает доступ ко всем ключам. В дополнение, как показала практика, USB устройство «esmart token est64u-r1» непригодно для использования с устройством и, забегая вперед, с «немецким» на ОС Win7 – при подключении к нему перманентный BSOD.

Второе устройство USB over IP нам показалось интереснее. Устройство имеет большой набор настроек, связанных с сетевыми функциями. Интерфейс USB over IP логично разбит на разделы, так что первоначальная настройка была достаточно простой и быстрой. Но, как упоминалось ранее, возникли проблемы с подключением ряда ключей.

Изучая дальше аппаратные USB over IP натолкнулись на отечественных производителей. Модельный ряд включает 16, 32, 48 и 64 портовую версию с возможностью крепления в 19 дюймовую стойку. Описываемый производителем функционал был даже побогаче, чем у предыдущих приобретенных USB over IP. Изначально понравилось, что отечественный управляемый USB over IP концентратор обеспечивает двухступенчатую защиту USB устройств при совместном использовании USB по сети:

  1. Удаленное физическое включение и выключение USB устройств;
  2. Авторизацию для подключения USB устройств по логину, паролю и IP адресу.
  3. Авторизацию для подключения USB портов по логину, паролю и IP адресу.
  4. Журналирование как всех включений и подключений USB устройств клиентами, так и таких попыток (не правильный ввод пароля и т.д. ).
  5. Шифрование трафика (с чем в принципе было неплохо и на немецкой модели).
  6. Дополнительно подходило, что устройство, хоть и не дешевое, но в разы дешевле купленных ранее (особенно существенной становится разница при пересчете на порт, мы рассматривали 64-х портовый USB over IP).

Решили уточнить у производителя, как же обстоит дело с поддержкой двух типов смарт токенов, имеющих проблемы подключения ранее. Нам сообщили, что не дают 100% гарантии поддержки абсолютно всех USB устройств, но пока еще не нашли ни одного устройства, с которым бы были проблемы. Нас такой ответ мало устроил и мы предложили производителю передать токены для тестирования (благо пересылка транспортной компанией стоила всего 150р, а старых токенов у нас достаточно). Через 4 дня после отправки ключей нам сообщили данные для подключения и мы к ним чудесно подключились с Windows 7, 10 и Windows Server 2008. Все работало нормально, мы без проблем подключали свои токены и имели возможность с ними работать.
Приобрели управляемый USB over IP концентратор на 64 порта USB. Подключили с 18 компьютеров в разных филиалах все 64 порта (32 ключа и остальное – флешки, жесткие диски и 3 USB камеры) – все устройства работали без проблем. В целом устройством остались довольны.

Наименования и производителей USB over IP устройств не привожу (дабы не было рекламой), их достаточно просто найти в интернете.
Поделиться публикацией

Похожие публикации

Комментарии 24

    –2
    > Первое устройство весьма дорогое и интересное (в интернете полно обзоров), но есть очень большой минус — нет никаких систем авторизации для подключения USB устройств.

    А можеть стоило попробовать облачный токен с поддержкой отечественной криптографии?
      +4

      Он же написал — у них зоопарк ключей. Хасп же в облако не полезет и флешка с ключом на файловой системе

      0
      Первое устройство весьма дорогое и интересное (в интернете полно обзоров), но есть очень большой минус — нет никаких систем авторизации для подключения USB устройств
      AnywhereUSB/14
        0
        У нас сейчас используется AnywhereUSB. У нас железка показала себя не очень надёжной. Может работать долгое время, но если вдруг она глюканула и сервер потерял ключи (подключены ключи 1С: серверные и клиентские подключения) — помогает только перезагрузка хоста сервера. Попытки перезапустить приложение, переподключиться к устройству — не дают никакого результата.
          +1
          Использую AnywhereUSB/14 с пачкой ключей. Нареканий нет. По моему уже сильно больше года аптайма у самой железки и сервера из-за ключей перезагружать не приходилось.

          Какие версии прошивки и драйвера используете?

          ПС: Использовать удаленный USB с ЭЦП кажется мне не очень правильной идеей. Токен с ЭЦП на мой взгляд должен полностью контролироваться человеком которому эта ЭЦП принадлежит.
            0
            У меня их 4. Одна глючит, и по ощущению из-за какого то ключа. Глюк заключается в периодическом зависании раз в 4-5 месяцев без видимой причины. Сброс только по питанию.

            У одной аптайм уже годы. Остальные обновлял, включая ту которая глючит.

            А в общем хорошая железяка. Мне нравится. Авторизации на доступ к группе ключей, к сожалению нет, но если сервер захватил ключ, то к нему более никто уже подключиться не может.
        0
        А можно в личку отечественного производителя закинуть? Тоже есть потребность
          0
          Поддерживаю
            0
            Поддерживаю. Странным выглядит решение не публиковать наименования производителей.
              +1
              Написал со всеми наименованиями и картинками, публикация не прошла модерацию. Сочли рекламой. Потом просто убрал все фото и названия. Все стало нормально.
                0
                Теперь добавьте все фото и названия.
            0
            Так же буду весьма признателен за информацию о производителе
            +2
            С юридической стороны, насколько допустимо использование ЭЦП в таком хабе? Когда работал в бюджете и вычитывал регламент использования ЭЦП выданных Федеральным Казначейством там было сказано, что ЭЦП должна быть либо при пользователе, либо в сейфе, и она не должна быть подключена к устройству в том время, когда она не используется по прямому назначению.
              –1
              Этот «USB switch» может быть в сейфе в момент работы :-)
                0
                В информационной безопасности есть такая штука как «air gap» оно же «воздушный зазор» означающее что сеть физически изолирована.
                С вашим подходом там можно вайфай бридж поставить и говорить что «воздушный зазор» есть. :-)
            0
            Подозреваю, что в статье разговор идет об оборудовании фирмы Distkontrol. Судя по описанию данного оборудования, они используют програмный комплекс VirtualHere со своим Web-конфигуратором.
              +3
              Вроде что-то написали а по сути инфы ноль. Всё зарубежное дорогое и плохое а всё отечественное дешевое и хорошее, и ведь не проверишь.
                +2
                Начали за здравие, закончили за упокой…

                Ни используемых ключей, ни производителей
                  0
                  А разве сама идея централизованного использования ключей ЭП не противоречит в корне 378 приказу ФСБ?
                    0
                    Способствует выполнению как минимум 50% пунктов приказа. В целом то в приказе речь про персональные данные. Касательно ЭЦП — защита, учет, хранение, доступ требуют централизации, а не бросить и забыть.
                    +2
                    С технической точки зрения USBoverIP — норм вещь.

                    С точки зрения практической ИБ тут полно вопросов:
                    1. Перехват ключей во время передачи. (качество «шифрования» передаваемых данных подобными железками порой вызывает большие вопросы).
                    2. Несанкционированное использование ключей во время их «хранения в USB хабе» (case: админ вытащил ключ ЭП и подписал платежку в банк).
                    и многое другое… если интересно угрозы ИБ подобной системы можно посмотреть в публикации.

                    Единственным более менее безопасным вариантом эксплуатации подобного решения — использования токенов с неизвлекаемым ключом в режиме неизвлекаемого ключа (более подробно тут).

                    С юридической точки зрения тут вопросов очень много. В некоторых случаях подобное решение вообще не допустимо (внимательно читать договоры об ЭДО).

                    Единственным правильным вариантом с точки зрения ИБ/юридизма будет использование HSM, о чем писали выше. От себя еще раз добавлю — не размещайте ключи ЭП от клиент-банка в подобной системе.
                      0
                      А можно в личку названия отечественного решения и примеры ключей, с которыми всё завелось? Я даже могу в комментах это выложить, и вроде не реклама и аналогичных вопросов вам больше не будет.
                        0
                        Брали управляемый USB over IP концентратор на 64 USB порта (DistKontrolUSB-64)
                        Используем ключи:
                        JaCarta-2 SE
                        JaCarta LT
                        eToken PRO
                        RuToken S
                        RuToken Lite
                        ESMART Token USB 64K
                        AMICON VPNLDR 1.5
                        HWDSSL DEVICE

                        Guardant Stealth
                        HASP4, HASP HL
                        Sentinel HL

                        Флешки, диски и камеры (не буду перечислять типы)

                        Еще ряд ключей и смарт-карт сейчас не подключены, типы не переписывал, но проблем не возникло. Для теста подключал один модем и WiFi карточку ASUS, работали.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое