Ищу аналог USB-свистка

  • Автор темы Автор темы mihmih
  • Дата начала Дата начала
M

mihmih

Well-Known Member
Задача: Необходимо шифровать RDP-сессию (гл. бух подключается к терминальному серверу из дома). Гарантии, что домашний комп глбуха не затроянен - нет, поэтому всякие kerio-vpn и прочие ПАРОЛЬНЫЕ решения не пригодны.

Насколько я понимаю ФПСУ клиент в виде USB-свистка без серверного железа не работает, но все-таки спрошу - точно нельзя использовать без серверной части?
(Например свисток в сервере и у клиентов)

Есть ли какие "железные" решения (алладиновским токенам нужен домен - а у меня его нет и не будет, увы)?

SSH-туннелирование на сертификатах тоже ненадежно (ключи легко утянуть).

Пока проблема решается ограничением по IP-адресу клиента, но хотелось бы что-либо более серьезное...
 
<r><QUOTE author="mihmih"><s>
mihmih написал(а):
</s>Задача: Необходимо шифровать RDP-сессию (гл. бух подключается к терминальному серверу из дома). Гарантии, что домашний комп глбуха не затроянен - нет, поэтому всякие kerio-vpn и прочие ПАРОЛЬНЫЕ решения не пригодны.
<e>
Нажмите для раскрытия...
</e></QUOTE>

Во-первых: RDP протокол, сам по себе, изначально исользует шифрование.

Во-вторых: Если нет гарантии, что домашний комп глбуха не затроянен - любые решения непригодны, так как нет гарантии, что в системе отсутствую трояны-кейлогеры и любой ввод пароля к удаленной системе может привести к компрометации удаленной системы.</r>
 
> Если нет гарантии, что домашний комп глбуха не затроянен - любые решения непригодны

Загрузочный CD-R с преднастроенной ОС и клиентом, имхо, достаточно надежное решение.
 
Я имел в виду, чтоб хакер, даже зная пароль не мог войти в систему без "железной" штучки.
И чтоб бухгалтре вообще не вводил пароля (чтоб потом не было предъяв со стороны бухгалтера - типа вы всяких вирусов-шмирусов понасатвили и мой пароль как-то узнали).

Доступ к серверу только по "брелку" - потеряла брелок - отвечай! тут уже не съедешь на том что "я в ваших компьютерах слабо понимаю"...

P.S. А совет сменить буха не поможет - блат например или родственные связи, я как админ думаю чтоб ответственность переложить (вернее не допустить возложения на свои плечи).
 
>Гарантии, что домашний комп глбуха не затроянен - нет, поэтому всякие kerio-vpn и прочие ПАРОЛЬНЫЕ решения не пригодны.

Организуя УД с домашнего ПК сотрудника, вы уже нарушаете регламент договора с банком.

Аппаратная защита не является достаточным основанием вашей задачи, ибо НСД к АЗ в домашних условиях осуществляется не сложнее, чем к записанному куда нибудь паролю.

Регламент признает притензии только при неизменности значимых компонентов должным образом установленного ПО (читайте акты, формируемые при установке!) и верном закрытом ключе подписанта. Соответственно, единственный "правильный" способ реализации - дополнительные АРМ на служебных ноутбуках отв. сотрудников со своим ключами, которые они хранят под свою ответственность.

---

Но возвращаясь к вашей "проблеме" и предлагаемому пути решения - откуда "хакер" возмет пароль на проверенной и в принципе некомпрометируемой программно, в силу рид-онли носителя, системе? Варианты с модифицированным БИОС и аппаратным перехватом (о, ужас!) отметаем в силу их нетривиальной практической реализуемости (и аппаратный ключ, кстати, в таком варианте так же не поможет).

Проверяете сформированный загрузочный носитель на наличие закладок (есть множество организаций, осуществляющих такую услугу; если есть возможность привлечь пару системных программистов - можно составить акт проверки собственными силами), вычисляете значение хеш-функции и скрепляете результат актом. Сам подписант тут совершенно ненужен.
+ акт передачи носителя и инструкция, под подпись ответственного лица.
 
Наверное я не очень умею выражать свои мысли, попробую подробнее:
можно ли использовать VPN-key производства амикона "не по прямому назначению", т.е. шифровать трафик не между клиентом и банком, а между мной и моим же сервером? (без покупки серверной части ФПСУ?)
И если нет, то нет ли в продаже готовых аналогичных решений?
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху