Нет необходимости говорить, насколько небезопасно оставлять банковские ключи (токены) в офисе, их нужно всегда держать при себе, но и с другой стороны, раз вы решились сделать свой офис переносным, то без этого решения не обойтись. Но чтобы успокоить и заверить вас, что все будет хорошо, будем использовать двухфакторную авторизацию для подключения к токен-серверу или даже конкретного токена, а сам токен-сервер разместим в надежном и безопасном месте, например, в серверной.

Вторым плюсом будет, все флэшки/токены/устройства станут мультидоступны. Это значит, что передав пароль для подключения к токен-серверу или отдельному токену своему бухгалтеру, или даже всей бухгалтерии, мы как бы передали физический ключ.

Принцип работы следующий: токен-сервер с USB-устройствами из точки A через шифрованный тунель перенаправляется в любые точки BCDE... Рассмотрим на примере.

Дано:

1. Десять ключей JaCarta/Рутокен/eToken + USB-флэшка + внешний HDD
2. Сотрудник (один или несколько) — ПК Бухгалтера, ноутбук руководителя
3. Помещение под токен-сервер
4. Роутер для создания VPN-туннеля от сотрудника до токен-сервера

Задача:

Сделать офис переносным и доступным по требованию.

Решение:

Есть два рабочих решения: аппаратное и программное. Последнее нам больше импонирует, используем его уже несколько лет, поэтому для него более подробное описание.

Аппаратное:

Рис. 1. AnywhereUSB — бывает на 2/4/14 портов или ее аналог USB over Ethernet

Достоинства:

• работает без ПК
• возможность интегрировать в серверную стойку
• низкое энергопотребление

Недостатки:

• дорого, цена за 24 порта более 2500$

Программное:

Рис. 2. USB Network Gate — удалённый доступ к USB устройствам по сети

Порядок действий:

1. Заказываем у нас настройку токен-сервера
2. Приобретаем программное обеспечение USB Network Gate
3. С помощью роутеров или связка ПК-РОУТЕР устанавливаем между ними шифрованный туннель, чтобы они были в одной подсети
4. На токен-сервере расшариваем USB-устройства
5. На клиенте прописываем адрес сервера, выбираем одно или сразу несколько устройств, с какими хотите работать в данный момент

При следующей загрузке (или случайной перезагрузки) как токен-сервера, так и клиента, все автоматом подцепится. Если у вас много USB-устройств, то для удобства в навигации можно использовать файлы cmd, так как приложение поддерживает командную строку.

Рис. 3. Пример навигации для удаленного доступа к USB-устройствам

У Вас токен с двухфакторной аутентификацией на основе технологии RSA SecurID? Есть решение! Все, кто приобрел токен-сервер, уже знают об этом.

Рис. 4. Токен с 2FA RSA SecurID