USB через IP: тест российского сетевого USB-концентратора
Привет! Я Воробьев Михаил, R&D-специалист «Тринити». Мы в отделе исследований и разработок постоянно тестируем множество программно-аппаратных комплексов, которые применяем в работе компании. Когда попадается что-то интересное, очень хочется об этом написать.
Вот и недавно я протестировал один отечественный USB-хаб, который решает проблему утери токенов, обеспечивая доступ к USB-устройствам по сети. Публикую результаты теста.
В теории
Что это такое
Официально ПАК называется «Система дистанционного подключения устройств с USB-интерфейсом NIO-EUSB4ep» или Сетевой USB-концентратор, мы его называем просто USB-IP хаб.
Этот хаб разработала отечественная компания NIO-Electronix, которая позиционирует его как российский аналог таких популярных сетевых USB-концентраторов, как Digi AnywhereUSB и SEH myUTN. Его суть заключается в том, чтобы иметь доступ к USB-устройствам через сеть.
На практике
Принцип работы
Основной принцип работы хаба — это инкапсуляция USB-трафика в TCP/IP, таким образом к USB-устройству можно получить доступ везде, где есть интернет. С рабочего места доступ осуществляется через клиентскую программу, которая есть на Windows, Linux и MacOS.
Схема функциональной структуры NIO-EUSB (изображение с сайта производителя)
На рисунке выше можно увидеть, какие USB-устройства поддерживает хаб: веб-камера, принтер, флешка, токены, а также USB-ключи, о которых я и расскажу подробнее.
Применение
Одним из применений я вижу использование этого хаба для хранения USB-ключей в физически ограниченном месте (серверная, дата-центр) и управление доступом к нему. Это значительно упрощает контроль над ключами или решает проблему их потери, если кому доводилось конечно.
Из предложенных производителем вариантов применения наиболее резонными мне показались следующие:
при использовании USB-устройств удаленными филиалами и сотрудниками вне офиса;
для невыгружаемых ЭЦП на Рутокен и подобных токенах для ФНС;
при контроле использования USB-устройств;
на рабочих местах с запретом использования локальных USB-портов.
Как выглядит
Выглядит, как обычный чуть припухший хаб, но отличается тем, что работает от розетки и есть сетевой порт.
Спереди расположены порты USB и индикация работы устройства.
Сзади разъем и переключатель питания, сетевой порт и SD-карты (для прошивки).
Как работает
Подключаем устройство к питанию и сети, включаем, а на компьютере запускаем клиентскую программу — туда и добавляем хаб (при условии, конечно, что он доступен).
Если у хаба включен DHCP, то поиск его IP для рядового сотрудника превращается в квест, поэтому такими данными управляют в основном админы.
Через программу видно, какие USB-устройства подключены к хабу, и это устройство можно подключить себе или настроить его автоматическое подключение.
Когда флешка уже кем-то используется, другим пользователям перехватить ее не получится. Даже если ничего с ней не делать, отключить можно лишь административно.
Если интересны цифры, то у хаба интерфейсы USB 2, на флешку копировал образ через Wi-Fi, скорость вышла в среднем 2–3 MB/s.
Когда установлен пароль на порт, при попытке воспользоваться флешкой нет возможности вписать логин. То есть список пользователей с пустыми паролями в настройках — это некий белый список.
Настройки
Хаб управляется через web-интерфейс на порту 8000, т. е. в моем случае адрес будет следующий http://10.40.5.79:8000/ (не https), из коробки заводские логин-пароль: root admin.
В качестве начальной страницы открывается Dashboard с основной информацией.
Далее пройдемся по остальным настройкам.
Settings: Имя хоста и цвет интерфейса.
Users: На этой странице можно создавать/удалять пользователей и настраивать их права.
Terminal: Можно открыть командную строку и управлять системой через консоль.
В Events можно посмотреть и узнать лог работы концентратора. Тут видно, как я пытался пробиться через пароль на 4 порту…
…, а также настроить оповещения на почту
Firmware: Здесь можно чекнуть версию прошивки, обновить, скачать и/или загрузить конфиг.
Network: Сетевые настройки cамые базовые, можно настроить интерфейсы, имя хоста, адреса DNS.
NIO-EUSB Mgmt: Тут управляются порты (выкл/вкл, сброс, установка пароля и так далее). Следует уточнить, что имя пользователя чувствительно к регистру, User ≠ user.
Во вкладке USB server — настройки, связанные с серверной частью. Про лицензию не знаю, но TCP порт должен совпадать с настройками на клиентской части.
Во вкладке Admin ACL черный список настраивается по IP адресам и диапазонам, насчет Rename информации нет.
Во вкладке Client можно скачать клиентские дистрибутивы, которые запускаются на ПК пользователя.
Остальные настройки в целом не сильно содержательные.
Результаты тестирования
Все работает, не отваливается и держит нагрузки. С подписанием множества документов подряд ЭЦП-ключом тоже проблем не было.
Однако этот хаб не понимает воткнутый в него телефон, даже если он в режиме передачи данных. В программе он виден, но подключить и скопировать на него данные не получится. Хаб будет только заряжать телефон.
Нельзя подключить одну флешку одновременно к нескольким пользователям.К примеру, если флешка или ключ уже подключены у бухгалтера, то никакие другие сотрудники компании уже не смогут переподключить их на себя. Но в крайнем случае, если кто-то забыл про ключ и до него не достучаться, её может отключить админ.
Для остального есть руководство пользователя.
У NIO-EUSB есть даже свой телеграм-канал с обновлениями прошивок и новостями. Классно, что у нас есть такие производства.
