» » Информационная безопасность аппаратных решений USB over IP

 

Информационная безопасность аппаратных решений USB over IP

Автор: admin от 15-04-2019, 11:35, посмотрело: 26

Недавно поделился опытом при поиске решения для организации централизованного доступа к ключам электронной защиты в нашей организации. В комментариях были поднят серьезный вопрос информационной безопасности аппаратных решений USB over IP, который и нас весьма беспокоит.



Итак, сначала все же определимся с исходными условиями.




  • Большое количество ключей электронной защиты.

  • Доступ к ним необходим из различных географических мест.

  • Рассматриваем только аппаратные решения USB over IP и пытаемся обезопасить это решение принятием дополнительных организационных и технических мер (вопрос альтернатив пока не рассматриваем).

  • В рамках статьи не буду полностью расписывать рассматриваемые нами модели угрозы (многое можно посмотреть в публикации), но тезисно остановлюсь на двух моментах. Исключаем из модели социальную инженерию и противоправные действия самих пользователей. Рассматриваем возможности несанкционированного доступа к USB устройствам из любой из сетей не имея штатных учетных данных.



Информационная безопасность аппаратных решений USB over IP



Для обеспечения безопасности доступа к USB устройствам приняты организационные и технические меры:



1. Организационные меры безопасности.



Управляемый USB over IP концентратор установлен в качественно закрывающийся на ключ серверный шкаф. Физический доступ к нему упорядочен (СКД в само помещение, видеонаблюдение, ключи и права доступа у строго ограниченного круга лиц).



Все используемые в организации USB устройства условно разделены на 3 группы:




  • Критичные. Финансовые ЭЦП – используются в соответствии с рекомендациями банков (не через USB over IP)

  • Важные. ЭЦП для торговых площадок, услуг, ЭДО, отчетности и т.д., ряд ключей для ПО — используются с применением управляемого USB over IP концентратора.

  • Не критичные. Ряд ключей для ПО, камеры, ряд флешек и дисков с не критичной информацией, USB модемы — используются с применением управляемого USB over IP концентратора.



2. Технические меры безопасности.



Сетевой доступ к управляемому USB over IP концентратору предоставляется только внутри изолированной подсети. Доступ в изолированную подсеть предоставляется:




  • с фермы терминальных серверов,

  • по VPN (сертификат и пароль) ограниченному количеству компьютеров и ноутбуков, по VPN им выдаются постоянные адреса,

  • по VPN туннелям, соединяющим региональные офисы.



На самом управляемом USB over IP концентраторе DistKontrolUSB с использованием его штатных средств настроены функции:




  • Для доступа к USB устройствам USB over IP концентратора используется шифрование (на концентраторе включено шифрование SSL), хотя возможно это уже и лишнее.

  • Настроено «ограничение доступа к USB устройствам по IP адресу». В зависимости от IP адреса пользователю предоставляется или нет доступ к назначенным USB устройствам.

  • Настроено «Ограничение доступа к USB порту по логину и паролю». Соответственно пользователям назначены права на доступ к USB устройствам.

  • «Ограничение доступа к USB устройству по логину и паролю» решили не использовать, т.к. все USB ключи подключены к USB over IP концентратору стационарно и из порта в порт не переставляются. Для нас логичнее предоставлять доступ пользователям к USB порту с установленным в него на длительное время устройством USB.

  • Физическое включение и выключение USB портов осуществляется:




    • Для ключей от софта и ЭДО — с помощью планировщика задач и назначенных заданий концентратора (ряд ключей запрограммировали на включение в 9.00 и отключение в 18.00, ряд с 13.00 до 16.00);

    • Для ключей от торговых площадок и ряда софта – имеющими разрешение пользователями через WEB интерфейс;

    • Камеры, ряд флешек и дисков с не критичной информацией – включены всегда.




Предполагаем, что такая организация доступа к USB устройствам обеспечивает их безопасное использование:




  • из региональных офисов (условно NET №1 …… NET № N),

  • для ограниченного ряда компьютеров и ноутбуков подключающих USB устройства через глобальную сеть,

  • для пользователей, опубликованных на терминальных серверах приложений.



В комментариях хотелось бы услышать конкретные практические меры, повышающие информационную безопасность предоставления глобального доступа к USB устройствам.

Источник: Хабр / Интересные публикации

Категория: Программирование

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Введите два слова, показанных на изображении: *