Мы с женой уже несколько лет работаем дистанционно. Не потому что ковид и самоизоляция. Мы путешествовать любим, а «удалёнка» позволяет совмещать приятное с полезным.
С недавнего времени «рабочую» часть нашего багажа пришлось пополнить аппаратными ключами доступа. Токенами сегодня защищают не только банковские сервисы и торговые площадки, но даже корпоративные системы документооборота. В теории всё это должно выглядеть замечательно, но на практике решение одних проблем всегда приводит к появлению других.
Токены в путешествиях
Токен — штука миниатюрная и поэтому легко теряемая. В условиях дома или офиса это не особенно критично. В конце концов, если этот ключ кто-то куда-то засунул, то можно перерыть всё пространство и, в конце концов, найти пропажу. В путешествиях такое не проходит.
Представьте, что вы уже объехали 3-4 города, останавливались, где в гостиницах, где на частных квартирах. Разумеется, везде вы вынимали из рюкзаков комплект токенов, используя только те, что были необходимы для работы. И вдруг выясняется, что одного ключа не хватает. Куда он мог запропаститься — загадка, ответа на которую найти практически невозможно. Скорее всего, где-то упал и под стол закатился.
Разве что обзванивать все места временного проживания и интересоваться, не нашли ли во время уборки такую маленькую штучку. Если повезёт, то менять все планы и возвращаться назад. Удовольствие, сами понимаете, никакое. К тому же, доступ к каким-либо ресурсам нужен прямо сейчас, а не через несколько часов.
Оставить токены дома
Первое, что приходит на ум — как-то соединить легко теряемое с не теряемым в единую конструкцию. Сделать это, кстати, не так сложно, если на ноутбуке есть специальный разъем Kensington lock. Берётся замок, трос заменяется на прочный гибкий шнур так, чтобы висящие на нём токены можно было вставить в USB-порт. Схема достаточно надёжная, правда болтающаяся сбоку связка ключей постоянно за что-то цепляется и это сильно раздражает.
Есть более продвинутый вариант. Не брать с собой токены, но получить к ним доступ в любое время, позволяет технология USB over IP. Если вкратце, то суть её сводится к замене аппаратного ключа обычным паролем. Сами ключи при этом подключены к устройству, которое находится дома.
Конечно, с точки зрения ИБ — это шаг назад. Но не стоит забывать, что безопасность — категория системная, включающая в себя много чего помимо конфиденциальности, целостности и доступности данных. Поэтому надо считать вероятности реализации различных угроз и их возможные последствия. Причём, с привязкой к деньгам.
Если путешествующий дистанционщик потеряет токен и не сможет вовремя сделать свою работу, то он потеряет не только оплату за её выполнение. Вероятнее всего, дальнейшие перспективы его сотрудничества с разочарованным работодателем окажутся весьма невесёлыми.
Взлом USB over IP — штука тоже весьма неприятная. Но вероятность реализации этого события можно минимизировать, включая девайс только на время его использования. Делается это просто при помощи «умной» розетки — в этом случае злоумышленнику потребуется получить доступ к двум разным устройствам, не связанных явно друг с другом. Иными словами, провести дорогостоящую целевую атаку, результат которой вряд ли оправдает затраты.
Вот и получается, что с учётом всех обстоятельств в нашем случае цепочка паролей эффективней аппаратного ключа. Если, конечно, руководствоваться не догмами, а здравым смыслом.
Почему DistKontrolUSB?
Прежде всего, мы определились с необходимым количеством портов. В настоящее время у нас имеется 8 ключей. Со временем их наверняка станет больше. Чтобы чувствовать себя более-менее спокойно решили искать устройство в границах 12-20 портов. При этом программное решение по понятным причинам нас не устраивало — держать дома сервер совсем не хочется.
На рынке есть несколько готовых аппаратных решений, основанных на технологии USB over IP. Мы выбирали между Digi AnywhereUSB на 14 портов, SEH dongleserver ProMAX на 20 портов и DistKontrolUSB на 16 портов. Поскольку речь идёт о домашнем офисе, то самый главный вопрос — это деньги. Тратить-то придётся не казённые, а свои.
Получилась вот такая картина (возможно, профессиональные маркетологи смогли бы купить это дешевле, но мы в области закупок ИТ-оборудования не специалисты):
Устройство | Digi AnywhereUSB | SEH dongleserver ProMAX | DistKontrolUSB | DistKontrolUSB |
Количество портов | 14 | 20 | 16 | 64 |
Общая стоимость | 162 000 руб. | 184 400 руб. | 67 800 руб. | 127 800 руб. |
Стоимость в пересчёте на 1 порт | 11 571 руб. | 9 220 руб. | 4 237 руб. | 1 996 руб. |
Правда, потребуются дополнительные расходы на «белый» адрес, без которого невозможно получить доступ к концентратору из любой точки мира. Но по сравнению со стоимостью основного оборудования это уже копейки.
Собственно говоря, после сравнения цен выбор завершился сам собой. Впоследствии мы только уточняли некоторые детали, но это уже ни на что не влияло.
Лично мне очень понравился дизайн SEH с прозрачной защитной крышкой. На что жена резонно заметила, что разница в цене составляет почти шубу. А она не готова менять шубу на красоту стоящей на комоде железки. К тому же, защитный кожух у DistKontrolUSB тоже есть. Причём не пластиковый на «зацепочках», а металлический на винтах.
Впрочем, был и серьёзный вопрос, не имеющий отношения к цене — совместимость концентратора с ключами. Но он решился наиболее простым из всех возможных способов. До офиса производителя нам час езды на машине. Созвонились, приехали, воткнули все токены и убедились в их работоспособности.
Советы по эксплуатации
Мало приобрести устройство, надо его правильно использовать. Вот несколько практических советов по эксплуатации DistKontrolUSB-16 в составе домашнего офиса.
1. Дополнительно защитите концентратор DistKontrolUSB «умной» розеткой, управляемой дистанционно через интернет. Это позволит вам включать устройство только тогда, когда ключ нужен для работы. Параноидальный вариант — подключить эту розетку к отдельному автомату, который включается по звонку соседу. Только учтите, что сосед может куда-то отъехать.
2. Даже ненадолго покидая гостиничный номер или съёмную квартиру обязательно выключайте ноутбук. Для входа в систему используйте сложный пароль. Для хранения сложного пароля можно использовать адресную книгу смартфона, записав его как название организации какого-либо контакта: реального или вымышленного. Бумажный листок для этой цели не подходит — его очень легко потерять.
3. Вернувшись домой, не вынимайте ключи из концентратора. Пусть там будет их постоянное место. Только закройте к нему доступ из «внешки» — пока вы работаете из домашней сети нет смысла в дополнительном риске.
4. Если дома есть или иногда бывают маленькие дети, защитите ключи специальным металлическим кожухом, который делает невозможным физический контакт с подключенными токенами. Детишки вряд ли устоят перед соблазном потрогать эти блестящие штучки, а потом их куда-нибудь засунут или просто поломают.
5. Регулярно просматривайте журнал концентратора, в котором содержится вся информация о подключениях и отключениях портов и ключей, а так же о попытках ввода неверного пароля. Если обнаружится подозрительная запись, смените пароли доступа.
6. Даже если концентратор используют всего два человека, администрировать устройство должен кто-то один. Иначе рано или поздно проявит себя эффект «семи нянек».
