ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Crash Master Да какой там публичный дом? Обычная сетка. Откуда только фобия такая, что кто-то там левый в и-нет полезет? Если, конечно, там не 9600 канал. Единственный бардак -- это: Цитата: винтукей+Wingate на шлюзовой машине. Кесарю -- кесарево... Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 22:29 29-09-2002

Crash Master Windows Master Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Цитата: Обычная сетка Я говорил не совсем о сети, а об организации. Цитата: Представим ситуацию: юзверь строит комп с двумя сетевухами, воткает туды девайс, ставит каскадный прокси или что-то вроде него, и выпускает в инет хоть всех подряд Цитата: Если юзверь подключит ВМЕСТО авторизованного компа другой, а эл.ключ будет использовать с авторизованного? И так далее. У нас бы уже за такие дела, юзера за ноги повесили. А там все нормально. Кто даст гарантии, что завтра такой юзер не пойдет и отключит сервак и подключит свою машину к раутеру в инет? ---------- Народная примета: Если сисадмин в 08.00 утpа на pаботе, значит он там ночевал... Всего записей: 4900 | Зарегистр. 15-12-2001 | Отправлено: 22:38 29-09-2002

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Если юзверь подключит ВМЕСТО авторизованного компа другой, а эл.ключ будет использовать с авторизованного? А пофиг, с точки зрения доступа к и-нету. Юзверь-то тот же самый. А вот с других точек зрения -- это уже другой комп, другой адрес и т.д., т.е. такая ситуация в принципе легко отлавливается. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 23:07 29-09-2002

Crash Master Windows Master Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Имелось в виду не именно это, а ситуация в целом. Сетка, можно сказать, без надзора. ---------- Народная примета: Если сисадмин в 08.00 утpа на pаботе, значит он там ночевал... Всего записей: 4900 | Зарегистр. 15-12-2001 | Отправлено: 23:12 29-09-2002

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Имелось в виду не именно это, а ситуация в целом. Сетка, можно сказать, без надзора. Дык, вот тут-то как раз и вылезает на свет преимущество централизованного решения aka прокси с авторизацией. Ибо на рабочих станциях можно железку заменить или вытащить, а можно и саму машину в целом, как выясняется А вот как заменить сервер так, чтобы администратор этого не заметил? Вот-вот... Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 23:21 29-09-2002

Neo1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору [offtop] Вот это да, только отошел, а накидали-то [/offtop] Это есть хорошо. Немного поясню задачу. Организация - закрытая, соответственно нужно обрубить выход в инет. Опасность подключения другого компа в том, что юзверь сможет пользоваться неограниченными привилегиями на нем (доступ к носителям, организация дополнительных сервисов и пр.). Фобия не моя, а отдела безопасности . Сетка разбросана на нескольких удаленных зданиях (порядка 600 пк), так что в живую отследить достаточно сложно, только по логам. Авторизация на проксе есть (НТ-ная). Понравилась мысль про фильтр ИП/МАК, только вот не врублюсь, как это. Всего записей: 51 | Зарегистр. 25-09-2002 | Отправлено: 11:06 03-10-2002 | Исправлено: Neo1, 11:07 03-10-2002

Zlobny_John Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Опасность подключения другого компа в том, что юзверь сможет пользоваться неограниченными привилегиями на нем (доступ к носителям, организация дополнительных сервисов и пр.).     Я пытался решить такую проблему , заменив все хабы и свичи на cisco и включив режим security на портах . В этом случае каждый порт свича работает только с тем mac-адресом , который был первым на порту на момент включения режима . Если какая-то падла подключит другой комп , поменяет сетевуху , или подменит mac - порт встанет в disable до вмешательства администратора .     фильтр ip-mac штука сложная . первое что приходит вголову (и кажется единственное) - поставить free-bsd , у нее есть возможность замораживания arp - таблицы . Таблицу придется прописывать руками . короче для большой сети - гемор .   думаю тебе помогут свичи с security плюс прокси с авторизацией . Всего записей: 1280 | Зарегистр. 04-01-2002 | Отправлено: 12:36 03-10-2002

EndoR Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору А зачем такие меры предосторожности? У меня тоже все привязано - ip к mac. Параллельно работает прога, которая смотрит на предмет возникновения новый адресов или изменения старых.   Добавлено Цитата: думаю тебе помогут свичи с security совершенно верно. Например cisco 2950 ---------- Fear is an efficient tool of management. Всего записей: 1159 | Зарегистр. 24-01-2002 | Отправлено: 15:35 03-10-2002

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Вообще странно, что в режимной организации возможна неавторизованная замена железа или пронос своего компа на территорию. ... Тут мне такая мысль в голову пришла -- а что, если, скажем, отделить некий защищаемый ресурс (сервер, шлюз интернета и т.д.) от прочей потенциально опасной сети интеллектуальным езернет мостом? Т.е. стоит между двумя сегментами сети (защищаемым и открытым) такой компик с 2 сетевушками и с тем же линуксом на борту, но не простой, а настроенный как бридж с брэндмауэром. Т.к. это бридж, он не будет заметен пользователям, а т.к. там еще и брэндмауэр, то можно фильтровать всякие левые подключения. Плюс еще много чего можно организовать, пакеты нюхать, например, логи внеплановой активности вести и т.д. Всяко дешевле кучи кисок будет.   Цитата: Сетка разбросана на нескольких удаленных зданиях (порядка 600 пк) Читаю: ... порядка 600 парсек (!). Задумываюсь... Эко вас пораскидало-то! Потом догоняю, что речь про PC.   Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 20:37 03-10-2002

Zlobny_John Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Тут мне такая мысль в голову пришла -- а что, если, скажем, отделить некий защищаемый ресурс (сервер, шлюз интернета и т.д.) от прочей потенциально опасной сети интеллектуальным езернет мостом?   шлюз отделять смысла нет , чаще всего на нем установлено что-то типа firewall. Ну или за ним . Есть конечно организацие , которые в интернет неприкрытими ходят - но долго не живут ввиду естественного отбора . Или умнеют .     По поводу второй части - есть такая технология . Называется DMZ (де-милитаризованная зона).   Выглядит так - фаервол с тремя картами - одна в интернет , вторая в локалку , третья в DMZ . В DMZ обычно Web , FTP сервера , RAS серверы и все такое . Но это все для защиты от атак извне . От внутрисетевых не покатит .     А тачку в режиме бриджа - геморрой . Гораздо проще лишний HUB поставить в нужное место и в него тачку с анализатором пакетов . Он и покажет кто с кем сношения вел сетевые . Всего записей: 1280 | Зарегистр. 04-01-2002 | Отправлено: 22:08 03-10-2002

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Zlobny_John Цитата: шлюз отделять смысла нет , чаще всего на нем установлено что-то типа firewall Этот файрволл защищает обычно от "снаружи". Но я и не настаиваю на отделении шлюза. Шлюз был лишь одним из вариантов защищаемых ресурсов, помнишь? Цитата: отделить некий защищаемый ресурс (сервер, шлюз интернета и т.д.) На самом деле изначально стояла такая задача: Цитата: в организации параллельно существует две физически не связанные сетки: с выходом в Инет и без оного. оного. Необходимо: реализовать (очень желательно на хардварном уровне) невозможность несанкционированного подключения компов к сети с выходом в Инет. На самом деле, как я понял, речь идет о 2 сегментах сети: с выходом в и-нет (доверенный) и без оного (потенциально опасный). Так вот, я считаю, что вариант с бриджем между этими подсетями будет оптимальным. Цитата: А тачку в режиме бриджа - геморрой . Гораздо проще лишний HUB поставить в нужное место и в него тачку с анализатором пакетов . Он и покажет кто с кем сношения вел сетевые. Установить такую тачку знающему человеку не составит труда. Предлагаемый тобой комп с анализатором пакетов -- это ведь тоже комп. Т.е. тут выгоды (по деньгам) нет никакой, т.к. он необходим в обоих случаях. К тому же анализатор может лишь протоколировать какое-то действие, а бридж+файрволл может и протоколировать и, что гораздо важнее, блокировать его. Плюс ко всему такой бридж полностью прозрачен для пользователей, т.е. как будто его и нет в сети. Плюс он работает как коммутатор между сегментами сетей, т.е. в потенциально опасном сегменте нельзя будет снифать траффик из доверяемого сегмента и наоборот, чего нельзя добиться в твоем варианте. Плюс на нем можно организовать какие угодно правила фильтрации пакетов. Например, не пропускать DHCP запросы между подсетями, чтобы иметь возможность установить 2 DHCP сервера в обоих подсетях с неперекрывающимися диапазонами и все же иметь при этом общую сеть со свободным доступом к общим ресурсам (netbios). Или блокировать весь интернет-траффик для закрытого сегмента (снимается лишняя нагрузка со шлюза). Да мало ли чего придумать можно. В общем, мне это решение кажется необычайно гибким и расширяемым и в то же время дешевым (относительно хоть той же киски).   Добавлено http://www.linuxdocs.ru/HOWTO/mini/html/Bridge+Firewall.html и вообще весь http://www.linuxdocs.ru/HOWTO/mini/index-B.html на предмет мостов. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 22:38 03-10-2002

Neo1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Цитата: Вообще странно, что в режимной организации возможна неавторизованная замена железа или пронос своего компа на территорию. Проносить не надо, их немерено. Предполагается, что у сотрудника(ов) несколько ПК: один включен в сеть с выходом в инет, другой(ие) в корпоративную ЛВС.     Добавлено ooptimum Цитата: На самом деле, как я понял, речь идет о 2 сегментах сети: с выходом в и-нет (доверенный) и без оного (потенциально опасный). Так вот, я считаю, что вариант с бриджем между этими подсетями будет оптимальным.   Эти две сети ФИЗИЧЕСКИ НЕ СВЯЗАНЫ, и соответственно, ничего м/у ними устанавливать не надо! Сеть с выходом в инет защищена снаружи каскадными проксями: сначала сквид (защита), затем вингейт (внутренняя авторизация и учет).     Добавлено Zlobny_John Цитата: Я пытался решить такую проблему , заменив все хабы и свичи на cisco и включив режим security на портах . В этом случае каждый порт свича работает только с тем mac-адресом , который был первым на порту на момент включения режима . Если какая-то падла подключит другой комп , поменяет сетевуху , или подменит mac - порт встанет в disable до вмешательства администратора   А вот это мне очень нравится.     Добавлено Сеть с выходом в инет будет состоять из порядка 20 машин, так что поставить 2950-24 не составит труда. Афигительно. Но вопрос: а несколько МАК-ов привязать к одному порту возможно? И еще: как энта фиговина разберет, первоначальный комп подключен, или другой с этим же МАК-ом? (ситуация: выключил ПК1, поставил на ПК2 МАК1, включил ПК2)     Добавлено [offtop] сорри за кучу добавлений, злобные админы сквида поставили ограничение на размер POST [/offtop] Всего записей: 51 | Зарегистр. 25-09-2002 | Отправлено: 08:13 04-10-2002

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Neo1 Ну че ты так раскричался? Тут люди тебе помочь пытаются, помнишь? Ну не связаны твои сети, ладно. Но ведь я писал, что таким бриджем можно и интернет-гейт от остальной сети отделять. Хочешь пользовать киску -- имеешь полное право. Просто выбор из нескольких вариантов всегда лучше одного. На мой взгляд. Цитата: как энта фиговина разберет, первоначальный комп подключен, или другой с этим же МАК-ом? А никак. Нету механизма такого.   Может в таком случае тебя какое-нибудь терминальное решение устроит? Т.е. к и-нету будет только терминальный сервер подключен. Секьюрность -- то, что доктор прописал. И никакой головной боли с заменой сетевух, маков и прочего... Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 09:39 04-10-2002

Zlobny_John Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:  Но вопрос: а несколько МАК-ов привязать к одному порту возможно? И еще: как энта фиговина разберет, первоначальный комп подключен, или другой с этим же МАК-ом? (ситуация: выключил ПК1, поставил на ПК2 МАК1, включил ПК2)     несколько помоему можно . по крайней мере у 3СОМ можно было . Но надо уточнять . Вопрос - нафига ? несколько МАС это означает наличие хаба ?   ента хреновина ясен пень не разберет . И никакая не разберет подключенную тачку с тем-же IP и МАК .     можно еще ввести на интернетовскую сеть систему хардварной авторизации пароля . Не таблетки , а например пластиковые карты с микрочипом . тогда юзеру хитрому придется еще и ридер с софтом переставлять на другую тачку Всего записей: 1280 | Зарегистр. 04-01-2002 | Отправлено: 12:24 04-10-2002

Neo1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Цитата: Ну че ты так раскричался?   Ладно,ладно, сорри, конечно. Насчет множества решений согласен. Терминальное решение - в принципе, тоже интересно. А как ты себе это представляешь? То есть в точке доступа установить MS TS, настроить у пользователей клиентов, а доступ к проксе сделать только с TS? А есть ли в TS возможность определять, какие машины подключать? Трафик, насколько я знаю, невелик (пару моделей строил). Но придется ставить дополнительный комп под TS , не пускать же их на проксю.     Добавлено Zlobny_John Цитата: Вопрос - нафига ? несколько МАС это означает наличие хаба ? Да, именно так, для удешевления подключений (в удаленных точках м.б. несколько ПК). Всего записей: 51 | Зарегистр. 25-09-2002 | Отправлено: 08:06 07-10-2002

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: в точке доступа установить MS TS, настроить у пользователей клиентов, а доступ к проксе сделать только с TS? Именно. Цитата: А есть ли в TS возможность определять, какие машины подключать? Не знаю, я TS не использую. Скорее всего должно быть что-то. К тому же, imho, это на уровне домена можно решить. Например, для и-нета завести отдельных пользователей и разрешить им заходить в сеть только с определенных машин. Кстати, а зачем тебе это ограничение. Ведь и-нет будет только на TS, следовательно, локальные дисководы тут никак заюзать нельзя. И потом, на одном M$ свет клином не сошелся. Можно какой-нибудь линукс/*BSD с X-ами использовать, а на клиентах хоть тот же X-Win32 или любой другой X-сервер. Можно также посмотреть на LTSP. В общем, есть из чего выбрать.   Добавлено Блин, только сейчас осенило! А почему тебе просто не сделать так, как я выше написал? Т.е. завести пользователей для и-нета с разрешениями заходе с узкого круга машин? На проксе авторизацию MTLM прописать и все. IE даже не будет пароль спрашивать в этом случае, а просто отсылать на прокси данные пользователя, с которыми он в домен вошел. В этом случае, если даже сетевуху поменять/переставить и т.д. ничего не меняется -- SIDы компов рулят. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 08:21 07-10-2002 | Исправлено: ooptimum, 08:35 07-10-2002

E hero Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Т.е. завести пользователей для и-нета с разрешениями заходе с узкого круга машин? На проксе авторизацию MTLM прописать и все А если юзвери с другого компа под чужим логином зайдут? Всего записей: 50 | Зарегистр. 26-09-2002 | Отправлено: 20:16 07-10-2002

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: А если юзвери с другого компа под чужим логином зайдут? И ничго не произойдет. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 21:52 07-10-2002

Neo1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Цитата: . В этом случае, если даже сетевуху поменять/переставить и т.д. ничего не меняется -- SIDы компов рулят Нука, нука..А ведь точно. Авторизация НТЛМ - значит вин9х не пройдут? А сиды действительно уникальны. Да и не сможет юзверь не узнать, не поменять сид. А разрешения по машинам у меня уже есть в вингате. Нет, там по нетбиос именам . Но путь действительно дельный. Сенкс. Надо только найти, как провести правильную авторизацию по СИДам. Всего записей: 51 | Зарегистр. 25-09-2002 | Отправлено: 08:11 09-10-2002

0le Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Neo1 Цитата: Надо только найти, как провести правильную авторизацию по СИДам.   А ненадо ничего искать Доменконтроллер(ы) это автоматом "просекают".   Have a nice CPS! Всего записей: 630 | Зарегистр. 30-05-2002 | Отправлено: 08:46 09-10-2002

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » HARDWARE-Авторизация подсоединения к сети

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование