Neo1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть такая проблема:   в организации параллельно существует две физически не связанные сетки: с выходом в Инет и без оного. Необходимо: реализовать (очень желательно на хардварном уровне) невозможность несанкционированного подключения компов к сети с выходом в Инет. Данная ЛВС реализована на оптике, витой, коммутаторе и единственном выходе через проксю (винтукей+Wingate).   Могет, есть у кого какие мысли? Всего записей: 51 | Зарегистр. 25-09-2002 | Отправлено: 12:34 29-09-2002 | Исправлено: lynx, 02:05 04-10-2002

Crash Master Windows Master Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Neo1 Можно использовать Smart Card, токены. http://www.esafe.com/etoken/default.asp?cf=tl ---------- Народная примета: Если сисадмин в 08.00 утpа на pаботе, значит он там ночевал... Всего записей: 4900 | Зарегистр. 15-12-2001 | Отправлено: 12:47 29-09-2002

Neo1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Crash Master Рассматривал. Но, похоже, подобный девайс можно воткнуть в любой комп? Представим ситуацию: юзверь строит комп с двумя сетевухами, воткает туды девайс, ставит каскадный прокси или что-то вроде него, и выпускает в инет хоть всех подряд . Всего записей: 51 | Зарегистр. 25-09-2002 | Отправлено: 15:45 29-09-2002

Crash Master Windows Master Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Neo1 Тогда нужно вешать замки на машины... ---------- Народная примета: Если сисадмин в 08.00 утpа на pаботе, значит он там ночевал... Всего записей: 4900 | Зарегистр. 15-12-2001 | Отправлено: 16:14 29-09-2002

Neo1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В том-то и загвоздк: на КАКОЙ комп вешать замок? Если юзверь подключит ВМЕСТО авторизованного компа другой, а эл.ключ будет использовать с авторизованного? Впрочем, может, есть внутрикорпусные эл.ключи? Вообще весь этот путь с эл.ключами не нравится моему начальству (. А что-либо еще в голову не приходит. Всего записей: 51 | Зарегистр. 25-09-2002 | Отправлено: 16:21 29-09-2002

Neo1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Начитался тут всякой лабуды по сабжу, вывод плачевный. Похоже, самый действенный способ - обнаружение подмены (тем или иным способом) и административные наказания провинившихся (в смысле, бюрократические). Только вот при каждом таком "промахе" будет доставаться и мне   Добавлено Akama Согласен . Похоже, однако, надо пересмотреть требования по безопасности. Всего записей: 51 | Зарегистр. 25-09-2002 | Отправлено: 16:25 29-09-2002

Crash Master Windows Master Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Neo1 Цитата: Если юзверь подключит ВМЕСТО авторизованного компа другой, а эл.ключ будет использовать с авторизованного? А это еще как? Ведь все настраивается так, что токен должен быть в машине при логине, если ты залогинился с ним, как ты сможешь подменить машину? ---------- Народная примета: Если сисадмин в 08.00 утpа на pаботе, значит он там ночевал... Всего записей: 4900 | Зарегистр. 15-12-2001 | Отправлено: 16:32 29-09-2002

Neo1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Неее. Похоже, я совсем углубился. Это ж, юзверь должен знать, как обмануть все эти преграды. По поводу токенов - я имел в виду, что у юзверя имеется ДВА компа. Один из них - авторизованный, опечатанный, и подключенный. Другой - неподключенный, неопечатанный, и делать с ним он может что угодно. Допустим, он устанавливает в него две сетевухи, устанавливает винь98, или не знаю там чего, главное, чтобы доступ к прокси без авторизации компа в домене получить, вставляет и настраивает использование эл. ключа - и в путь! Всего записей: 51 | Зарегистр. 25-09-2002 | Отправлено: 16:50 29-09-2002

E hero Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Neo1 1 - Так у тебя ж в пркси лог по доступу есть, - можно обращения   отследить   2 - Попробуй в прокси настроить IP фильтр так, чтоб со второй сетки у юзверей не было доступа   3 - Никогда не пробовал такого сделать, но читал, что можно написать таблицу статического соответствия MAC (ethernet) адресов и IP адресов - и если юзверь поменяет сетевуху, то у него изменится и MAC адрес сетевухи, а значит у каждой сетевухи будет всегда один и тот же IP и юзверь не сможет поменять IP так, чтобы он подходил под твой фильтр.   Всего записей: 50 | Зарегистр. 26-09-2002 | Отправлено: 17:14 29-09-2002

Crash Master Windows Master Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору E hero Вот тут правильно, ставится DHCP с двумя скопами, в одном правильные натройки выдаются по МАС резервациям, а всем остальным левые адреса. Neo1 Вот только проблема у тебя останется, так как можно добавить еще одну сетевуху в рабочую машину. А вообще я в шоке, у вас там все похоже на сеть в городском парке, в котором инет по цене золота и каждый ходит со своим компом и подключается где и когда хочет. Сорри за оффтоп. ---------- Народная примета: Если сисадмин в 08.00 утpа на pаботе, значит он там ночевал... Всего записей: 4900 | Зарегистр. 15-12-2001 | Отправлено: 17:25 29-09-2002

E hero Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Neo1 А ка это сделать - на тебе линк - покопайся там, точно не помню где читал, но что-то связанное с IP сетями http://www.citforum.ru Crash Master Цитата: ставится DHCP с двумя скопами Точно, но с DHCP у него потом проблемы будут, он же там потом в IP адресах не разгребется, - там четкий контроль нужен. Всего записей: 50 | Зарегистр. 26-09-2002 | Отправлено: 17:42 29-09-2002

Crash Master Windows Master Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору E hero Цитата: но с DHCP у него потом проблемы будут Какие проблемы? Нужно только включить все нужные машины, записать МАС-и и настроить резервирование. После этого нужно будет трогать DHCP только в случае замены сетевухи или добавления сашины.   Топик про DHCP (что-то похожее) был где-то в этом разделе. ---------- Народная примета: Если сисадмин в 08.00 утpа на pаботе, значит он там ночевал... Всего записей: 4900 | Зарегистр. 15-12-2001 | Отправлено: 17:55 29-09-2002

snop local root Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Crash Master MAC достаточно легко подменить. Так что никакого толку от резервации по маку не будет ---------- Русский Mambo уже здесь Всего записей: 1591 | Зарегистр. 27-04-2002 | Отправлено: 19:22 29-09-2002 | Исправлено: snop, 19:23 29-09-2002

Crash Master Windows Master Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору snop Cломать можно все, нужно только желание. Тем более в такой сетке, где каждый делает что хочет. Вопрос в том, будет ли кто-то это делать, какие у него знания, как далеко он готов пойти. Но так как весь шум только из-за подключения к интернету.... Neo1 Может поставить терминал? ---------- Народная примета: Если сисадмин в 08.00 утpа на pаботе, значит он там ночевал... Всего записей: 4900 | Зарегистр. 15-12-2001 | Отправлено: 19:30 29-09-2002

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Не, народ, а нафига изобретать велосипед? Авторизацию на прокси поставить не судьба, что ли? NAT на шлюзе выключить, всех пускать через прокси. У меня так и сделано. Так хоть заподключайся к сети, если пароля не знаешь -- далеко не уедешь. Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 19:57 29-09-2002

Crash Master Windows Master Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum И что будет если кто-то поставит у себя на машине еще один прокси, который авторизировавшись будет тянуть и радавать инет с твоего прокси? ---------- Народная примета: Если сисадмин в 08.00 утpа на pаботе, значит он там ночевал... Всего записей: 4900 | Зарегистр. 15-12-2001 | Отправлено: 20:02 29-09-2002

ooptimum Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Crash Master А я логи читать умею. И если такая байда случится, то я сделаю серьезное внушение... внутрипопочно. И потом, у меня юзеры ничего ставить не могут -- прав у них нет. Кроме того, все завязано на домен. Я могу сделать авторизацию только через NTLM, т.е. юзеры и знать-то не будут, что их кто-то авторизует, а если и будут, то не смогут ввести пароль тети Маши, бо самому Васе Пупкину заподло заходить в домен под ее аккаунтом, да если и захочет, то не сможет со своей машины. И т.д. Да, чуть не забыл. Напомни мне, какой есть прокси, умеющий авторизоваться по NTLM? От M$? Я честно не знаю (бо не юзаю его) -- а он умеет сам авторизоваться так на другом прокси? Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 20:28 29-09-2002 | Исправлено: ooptimum, 20:31 29-09-2002

Crash Master Windows Master Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ooptimum Все ок, но это у тебя... Почитай что пишет Neo1 о сетке, там просто публичный дом.... ---------- Народная примета: Если сисадмин в 08.00 утpа на pаботе, значит он там ночевал... Всего записей: 4900 | Зарегистр. 15-12-2001 | Отправлено: 20:33 29-09-2002

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » HARDWARE-Авторизация подсоединения к сети

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование