Как стать автором
Обновить

USB over IP: удалённое администрирование

Время на прочтение 5 мин
Количество просмотров 16K
Всего голосов 15: ↑11 и ↓4 +7
Комментарии 23

Комментарии 23

Один маленький нюанс - Digi официально сертифицирована Aladdin. Я с ней работал лет 10 назад, под 1с, очень надежная штука. Мы их прикупили в конечном итоге чуть ли не с десяток - часть ушло для виртуалок клиент-банков для бухов. У буха стояла только коробка digi, а виртуалка получала ключики нужные.

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

Ну счёт тут скорее как обобщенный пример.

Не у всех сбер, не у всех отделение есть в шаговой доступности. Довольно кропное ООО по нашим меркам, наличии у них не бывает, счёт открыт в банке у которого ближайшее отделение в 250км от нас (выгодные условия по кредитованию, и обслуживание самое дешёвое) и довеском там довольно прилично стоит провести операцию операционистом. Там и фиксированная ставка за набор платёжки и прочего + процент за подтверждение операции. Как итог официальный токен в обращении буха и копия контейнера в сейфе.

Не проще с точки зрения админа УКЭП перенести с USB токенов в реестр/папку и не париться?
Один хрен 99% что КриптоПро (1% что VipNet)
С одной стороны — да. Тем более что контейнеры для ЭДО создаются экспортируемые(в отличии от ЭД2, которые не экспортируемые, плюс требуют сертифицированный носитель), и их можно(технически) откопировать везде где они требуются.

С другой стороны, с 1 июля(Электронная подпись: что изменится с 1 июля 2021 года и позже) подпись должна будет выпускаться на физическое лицо(а не на сотрудника):
С 1 января 2022 года сотрудники организаций и уполномоченные лица должны использовать свою личную подпись и для рабочих, и для личных документов (пп. 2 п.1 ст. 17.2 и п. 2 ст. 17.3 476-ФЗ).


Т.о. с точки зрения сотрудника с ЭЦП(если он не дурак), такая подпись должна быть защищена, т.е. выпущена на токене(пароль только у владельца ЭЦП) и неэкспортируема, ибо может использоваться не только для подписания документов от имени организации(по электронной доверенности подписанной гендиром), но и для личного имущества(привет продажам квартир?). По крайней мере я бы свою ЭЦП отпускать в относительно неконтролируемый доступ не стал.

Как быть в такой ситуации, если непосредственно документооборот выполняется не через вэбморду Диадока, на через API сервисом на сервере(интеграция с корпоративной системой)? Вот если честно, пока без понятия :(.

Большинство банковских(платежных) токенов не копируемые, в реестр или в папку на обычной или виртуальной флешке не засунуть

Путем перевыпуска все копируемые как выяснилось

У меня некоторые банки либо не дают выбирать контейнер средствами криптопро, имеют свои системы шифрования, либо в этом выборе реестр отсутствует, либо сохранить возможно только туда, где был прошлый сертификат. Это именно при перевыпуске.

Так что банк банку рознь. Часто средний бизнес работает с банками, которые по техническому оснащению и удобству максимум где-то в середине-конце нулевых еще живут, но дают выгодные условия.

Именно, не понятно зачем в маленьких компаниях мудрить usb over ip. Проходили это знаем, схема не стабильная, с точки зрения отказоустойчевости не подходит для аутсорса, требует внимания из за частых сбоев. В моем понимание сбой раз в месяц уже ни куда не годиться.

А для hasp использую, hasp License Manager. Поселить его можно на компьютере бухгалтера или на сервере. Довольно точно можно настроить каким машинам давать каким нет. Или транслировать на всю подсеть. Стабильно работает. Была проблема с зависшими лицензиями но она тоже легко решается.

Итог: Автор потратил несколько месяцев на решение проблемы, которую можно решить за пару дней, другим способом.

поскольку в небольших организациях все ключи по сути являются общими

Если это утверждение верно, не проще ли бы было скопировать ключи с токена в реестр и на этом закончить решение проблемы?

Не все ключи одинаково экспортируемые в реестр :) Есть такие которые кроме как с ЭЦП больше ни как не работаю.

текст неприятно напоминает статью с рекламой курсов devops'ов
тот же копирайтер писал? или правда есть методичка для написания этих правдоподобных (для заказчика, принимающего задание у копирайтера) success stories?

Согласен. Автор явно не в теме. Не умаляя достоинств описываемого отечественного продукта, проблемы описаны явно надуманные. ЭЦП для отчетности сейчас редко пишутся на носители, чаще сразу в реестр.

Пример про отчетность у автора зря приведен. Насколько я понял из статьи - проблема в оплатах, а токены для оплаты почти всегда не копируемые и их нельзя закинуть в реестр. У многих банков даже контейнер не просматривается через криптопро.

За концентратор на 4 порта мой мелкий клиент заплатит 26 тыс. рублей

Была похожая задача. Удивился, что специализированные решения на порядок дороже стандартного raspberry pi. Пара часов настроить загрузку по сети (зажмотился на sd) и поднятие сервисов.
Те же 4 usb за 40$, да ещё и по wifi можно гнать.

а что использовали в качестве софта?
ЕМНИП писали, что имеющееся опенсорсное «не фонтан»

В linux>=3.17 usbip включён в mainline, что говорит о достаточном качестве. Под винду — мб есть подводные камни, не проверял. github.com/cezanne/usbip-win выглядит не production-ready, но и не покинутым.

так обычно именно винде и нужно отдавать устройства

Пробовал еще до того, как usbip в мейнлайн зашел. Ключи нужны клиентской винде, с этим есть трудности. Не было стабильности работы и некоторые виды ключей не прокидывались.

Железка из статьи тоже не идеальна, у нее случаются уходы некоторых портов в защиту, которые лечатся только обесточиванием оной. Но из альтернатив эта штука лучшая по цене/качеству/удобству.

Imho для мелкого бизнеса проще выпустить N ключей для банков (а чаще ВТОРОЙ ) и M ключей экспортировать в реестр.

А с 1 июля 2021 просто сходить в налоговую и бесплатно выпустить ЭЦП.

Вариант, который проверен и работает: ключи втыкаются в сервер, возможно, через обычный копеечный USB-hub, на сервере настраивается удалённый доступ для тех, кому надо подписывать что-то ключами - обычно это интернет-банки и сервисы отчётности, настраиваются сертификаты и обновление списков отзыва - и нет проблем с ключами.

Вам просто очень повезло. у нас 60% ключей не работает если их напрямую к серверу RDP подключаем, только если они в локальный комп подключены с которого к RDP подключаются... Есть конечно вариант отдельную физическую машину поднимать и к ней через консольный доступ подключаться, но это доставляет некоторым клиентам определённые неудобства. Именно не RDP подключение. А так виртуалок поднял, настроил им доступы, и все работают. В добавок, у нас тут люди понабрали сберовских ключей которые "очень безопасные", а я теперь расхлебывай. На самом деле там очень много особенностей с ними, на мучался знатно пока всех настроил и оптимизировал работу... Но это уже целая отдельная тема, возможно на праздниках что-нибудь накидаю.

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории