Zip File, мамкины хацкеры и папкины сисадмины. Те из вас, кто ещё совсем недавно относился или же до сих пор относится к категории эникеев, сто процентов сталкивались с ситуацией, когда в конторе, находящейся за три девять земель, внезапно отваливается ключ от Сбера или зависает 1эсовский HASP раздающий лицухи. И вот ты, уже проклиная всех и вся спешишь в душный офис покидая объятия своего уютного домика, чтобы тупо переткнуть USBкей в кабинете главбуха. Но, к сожалению, не всегда простое сунь-вынь приводит к должному результату.
Порою до кучи требуется перезагрузить машинку с глюченным виндовсом и параллельно испить чайковского с агрессивно настроенной тётечкой обосновывая по какому ряду причин ты потревожил её жвачное существование. Решив проблему и вернувшись домой, ты плюхаешься в кресло и думаешь, как спрашивается всего этого можно было бы избежать? Каким образом можно физически защитить ключи от кривых рук белых воротничков?
Выклянчить отдельный сервер с набором вместительных USBх и спрятать его в коморке за бронированной дверью? Вариант. Только вот как их потом прокидывать пользователям? Ведь большая часть ключей защиты – это составные устройства, которые попросту невозможно прокинуть удаленно програмными методами, т.к. при эмулировании устройства срабатывает защита и ключ банально не определяется.
Такие ключи априори невозможно прокинуть любыми программными способами. Да и вообще, есть ряд специфических кеев, по типу банк-клиентов, работающих по принципу одного раза. Внутренне это почти такие же составные устройства, однако пользоваться ими можно только единожды, после чего необходимо извлечь устройство из ПК до следующей необходимости использования.
Потом вы снова его подключаете, в нем отрабатывает первый каскад USB, как правило это виртуальный CD-ROM, переключающий на второй каскад, где уже, собственно, и отрабатывает средство крипто защиты. Такими устройствами в принципе очень напряжно пользоваться, т.к. они работают, по сути, один раз на всю операцию, и для последующих действий требуют физического переподключения в порт.
В общем, не натыкаешься. Да и в целом, использование USB портов юзверями это большой головняк как для админов, так и для безопасников. Поэтому, по хорошему, их нужно блочить на уровне биоса. А в идеале, выкорчёвывать коннекторы с материнки, чтоб уж наверняка. Но в таком случае всё ещё остаётся открытым вопрос, что делать с ключами защиты и как предоставить к ним доступ большому количеству пользователей?
Как ни странно, несмотря на актуальность проблемы, реально рабочих решений даже в 2020 году на рынке немного. Американские USBхабы DIGI Anywhere, немецкие myUTN и наша отечественная линейка DistKontrolUSB. Говоря откровенно, с творением дойчландовцев за всю свою сисадминскую деятельность, я ещё не сталкивался ни разу, а вот Anywhereпару раз ковырял на одном из объектов и работала эта железка мягко скажем не айс.
Поэтому, когда ко мне обратились ребята из ДистКонтрол с предложением сделать обзор на их аппарат, я сначала очень скептически отнёсся к этому делу и прямо заявил менеджеру, что скорее всего засру их продукт, т.к. он вероятно такой же кривой как и детище Пиндосских собратьев. Однако, меня буквально заверили, что этот IPHUBне полнейшая шляпа и данная отечественная разработка действительно лучше других забугорных решений подходит для пользования в наших российских реалий.
Что ж, давайте проверим, так ли это на самом деле и действительно ли в вопросе безопасного совместного использования USB-портов ДистКонтролу на сегодняшний день нет равных. Погнали.
Шаг 1. Начнём мы с принципа работы данного комплекса. Судя по информации на офф. сайте, ДистКонтрол работает на аппаратном уровне. Следовательно, и пробрасывает эта железка не подключенные к ней устройства, а именно порты.
Поэтому на уровне пользователя мы будем видеть эту историю так, будто в комп напрямую вставили USB-накопитель. Для того, чтобы это стало возможно, нам предлагают скачать клиентское приложение. Благо оно тут есть как под Винду, так и под Linux с Mac’ом.
Шаг 2. После загрузки клиент может работать как в роли стандартного приложения, так и в качестве службы. Службой пользоваться само собой гораздо удобнее, т.к. она запускается в фоне и не требует входа пользователя в систему.
Шаг 3. В случае, когда Хаб находится в пределах локальной сети – все устройства отобразятся автоматически. Если же вы, как и я, будете работать с сервером удалённо, необходимо предварительно ввести внешние данные в виде белого IP и порта для его подключения. Давайте сделаем это.
Шаг 4. И посмотрим какие устройства у нас активны в данный момент. Понятное дело, что, будучи пользователем гадать какая флешка или ключ в каком порту находится неудобно. Поэтому давайте заглянем в админку и наведём порядок в этом портовом хаосе.
Шаг 5. После авторизации заходим в раздел USB-портов, где, собственно, переименовываем необходимые выходы в понятный каждому офисному работнику вид. Сохраняем внесённые изменения. И до кучи ребутаем службу, дабы настройки на клиентах применились уже сейчас.
Шаг 6. Проверяем с клиента. Действительно, изменения применились. Давайте попробуем подключить флеху. Ждёмс.
Шаг 7. Устройство определилось и доступно в проводнике.
Шаг 8. И всё это конечно же хорошо, но согласитесь, как-то не безопасно. Зашёл в туалет офиса, воткнул кабель, проходящий рядом с толчком в сеть, поставил приложуху, кликнул пару раз мыхой и вот ты уже имеешь доступ ко всем ключам. Не солидный какой-то подход. Давайте посмотрим, что предлагают нам разработчики в качестве защиты от внешних вмешательств подобного рода. А предлагают они нам достаточно много вариантов защиты. Начнём с генерации уникального SSL-сертификата. Для этого переходим в соответствующий раздел и заполняем стандартную форму.
Шаг 9. Далее нужно перейти в раздел Безопасных соединений и активировать защищённое соединение с использованием сертификата. Выберем принудительное использование, чтоб уж наверняка.
Шаг 10. Теперь остаётся только зашифровать USBтрафик в разделе настроек портов для клиентского приложения.
Шаг 11. И в принципе можно потихоньку переходить к настройкам брэндмауэра и разграничению прав пользователей. Наша задача сделать так, чтобы никто кроме определённых сотрудников, которые по долгу службы пользуются ключами не могли видеть Хаб как устройство в сети. Переходим во вкладку сеть – брэндмауэр и создаём соответствующее правило.
Шаг 12. Т.к. я ярый сторонник резервирования отдельных статичных IPшников за каждым юзверем с последующим занесением их в соответствующий журнал, разграничивать будем по адресам. Ищем соответствующий пункт меню в разделе «Управление правами доступа» и вносим новый IPшник клиента в систему попутно запрещая ему переименовывать и отключать всё на свете.
Шаг 13. Помимо этого, следует предоставить пользователям права на отводимые им порты. Повторюсь, именно порты, а не сами устройства, т.к. предпочтительнее использовать ограничение именно по портам. Это связано с тем, что такие ключи, как Сбер и JaCartaвыполнены не в соответствии с общепринятой спецификацией USB 2.0. По факту у них просто на просто отсутствует серийный номер. Либо он есть, но не является уникальным. Отсюда появляется проблема невозможности идентифицировать данные ключи, как отдельные устройства. И хоть на работу это, по сути, никак не влияет, однако при ограничении доступа по USB-устройствам, доступ у пользователя появится сразу ко всем подобным ключам, что само-собой несёт в себе мало позитивного отклика для админа. Поэтому резать будем исключительно по портам.
Шаг 14. Давайте попробуем добавить SSL на клиенте.
Шаг 15. И повторно попробовать подключиться к одному из устройств, не предназначенных для нашего пользователя. Система ясное дело выкидывает ошибку.
Шаг 16. А теперь повторим попытку входа в наши ворота... Всё гуд. Работает как часы.
Таким вот нехитрым способом подключаем сертификаты всем нуждающимся в шаре сотрудникам и радуемся жизни с зашифрованным трафиком. А если ещё добавить к этой схеме вариант, при котором они будут работать исключительно через VPNку, да на виртуальных машинах. Мм. Вообще конфетка получится.
Единственный нюанс, который меня смущает во всём этом деле, заключается в том, что авторизация при запуске клиента не предусмотрена, а следовательно все пользователи с клиентской приложухой видят полный список подключённых устройств, даже если прав для доступа у них нет. Но, это опять же, не совсем минус, ибо сотрудники видят в реальном времени кем из работников в данный момент занят ключ и благодаря этому можно избежать возникновения конфликтов при совместном использовании.
Что ж, друзья. В целом, я признаться не ожидал, что данная железка окажется настолько функциональной и при этом лишённой багов, встречающихся у конкурентов. В DistKontrolUSB есть куча различных функций для облегчения жизни, как админам, так и простым пользователям, регулярно работающим с ключами. Например, можно настроить принудительное отключение пользователей по времени.
Или вообще делегировать отдельным работникам права на порты, чтоб при необходимости они самостоятельно могли управлять питанием своих устройств и не задалбывали вас с этим вопросом. Касательно управления питания USB портов. Исходя из инфы, расписанной в технической документации, питание рвётся по шине +5V.
Что, по сути, равносильно физическому отключению, так как питание на них не поступает. Так что проблем с устройствами, отрабатывающими единожды не будет. Более подробно о других возможностях данного комплекса вы можете почитать на офф. сайте (https://clck.ru/SLdhv). Тут во всех подробностях расписано и про скрипты, и про планировщик, и про мониторинг с уведомлениями на E-mail.
Не удивительно, что этими хабами пользуются компании из топа голубых фишек нашей страны. Я тут правда не увидел в списке представительства Северсталь. Нужно будет порекомендовать ребятам по старой дружбе. Думаю, там то уж точно оценят подобный функционал вкупе с надёжностью. Ну а у меня на сегодня всё. В заключении по традиции хотелось бы пожелать всем удачи, успеха и самое главное, возможности работать с качественным оборудованием.
Берегите себя и свои сети, разводите жадных начальников на полезные штуки. Ведь, такие вещи, как DistKontrolUSB могут сэкономить уйму времени и бюджета, затрачиваемого на покупку дополнительных ключиков, а сэкономленные средства, по итогу, можно пустить прямиком на вашу зарплату. Так что не стесняйтесь, пользуйтесь благами отечественных разработчиков, и будет вам счастье. С вами, как обычно, был Денчик. Увидимся к комментах, камрады. Всем пока.