
![]() |
|
|
![]() |
![]() |
|
Страницы: (2) [1] 2 ( Перейти к первому непрочитанному сообщению ) | ![]() ![]() ![]() |
Колючий |
20.06.2008 - 11:42 (ссылка на это сообщение)
|
![]() Младший научный сотрудник ![]() ![]() ![]() ![]() Профиль Группа: Пользователи Сообщений: 413 Регистрация: 28.09.2006 Репутация: 23 Место учебы: закончил политех ![]() |
Диспозиция:
- имеется одноранговая сеть, через рабочую группу. - нужно поставить файл-сервер под управлением ХР, доступ к нему должны иметь все компьютеры этой сети, пока без ограничений. ВОПРОС: как исключить возможность подключения в эту сеть стороннего компьютера(ноутбука) вместо имеющегося? Я пока вижу вариант: Как-то использовать МАС адреса сетевых карт компьютеров. Как? И какие ещё варианты есть? |
Lazar 200 wpm |
20.06.2008 - 11:54 (ссылка на это сообщение)
|
||
![]() Уважаемый Генеральный обогатитель форума ![]() ![]() ![]() ![]() ![]() ![]() ![]() Профиль Группа: Пользователи Сообщений: 3992 Регистрация: 18.04.2006 Репутация: 297 Место учебы: OSTU Outcasted aspirant ![]() |
Ну и что? Пусть подключаиццо сколько угодно. Выбрось из NTFSpermissions папок на этом файл-сервере группу "Все" нах, создай локальную группу пользователей этой папки (самую корневую) и включи в нее всех пользователей (аккаунты) которые у тебя в сети присуццтвуют. Им и разреши, что там - чтение, запись, что тебе еще нужно. Память моя уже не та, но кааца через группы пользователей и пермишены оно эффективнее будет, чем поморочь с МАС адресами которые можно перешить прямо из винды. |
||
Ленивый Вычислитель |
20.06.2008 - 14:52 (ссылка на это сообщение)
|
||
![]() Уважаемый Борец за ИТ-цивилизацию ![]() Профиль Группа: V.I.P персона Сообщений: 3343 Регистрация: 19.04.2005 Репутация: 297 Место учебы: ОрелГТУ ![]() |
это не так-то просто в сети из рабочей группы ? Колючий Тебе придётся как-то устраивать аутентификацию и авторизацию. Аутентификация пользователей возможно, если ты на этом компьютере создашь учётные записи всех пользователей в сети с теми же паролями, тогда аутентификация будет идти прозрачно. Авторизация - объединяешь все эти аккоунты в группу и даёшь только ей доступ на файловую шару. Учти, что у WinXP есть ограничение на 10 одновременных входящих соединений. Вариант с ограничением доступа по MAC-адресами доступен только на недешёвом сетефом оборудовании, кроме того, MAC-адрем меняется в два счёта. Варианты доменной аутентификации, IPSec, доступ в сеть по сертификатам 802.1x не рассматриваем в силу одноранговости и XP. |
||
Lazar 200 wpm |
20.06.2008 - 15:26 (ссылка на это сообщение)
|
||
![]() Уважаемый Генеральный обогатитель форума ![]() ![]() ![]() ![]() ![]() ![]() ![]() Профиль Группа: Пользователи Сообщений: 3992 Регистрация: 18.04.2006 Репутация: 297 Место учебы: OSTU Outcasted aspirant ![]() |
так человек изначально не ищет легких путей. ![]() В принципе я имел ввиду как раз то, что ты ниже отписал - "на то ты и пилот", чтобы все подробности указывать. ![]() |
||
Колючий |
20.06.2008 - 17:15 (ссылка на это сообщение)
|
![]() Младший научный сотрудник ![]() ![]() ![]() ![]() Профиль Группа: Пользователи Сообщений: 413 Регистрация: 28.09.2006 Репутация: 23 Место учебы: закончил политех ![]() |
ПОЯСНЮ ПРОБЛЕМУ на примере:
человек приносит НЕИЗВЕСТНЫЙ ноутбук, настраивает в нем рабочую группу, или ip для домена и входит в сеть со своими пароль/логин вместо РОДНОГО своего компьютера (стационарного), просто втыкая патчкорд. как этого избежать, с меньшими затратами?? |
дед_мажор |
21.06.2008 - 02:17 (ссылка на это сообщение)
|
||
![]() Уважаемый крутой перец ![]() Профиль Группа: Декан Сообщений: 2405 Регистрация: 11.11.2005 Репутация: 156 Место учебы: да ![]() |
на сетевом уровне никак, если к имеющемуся компьютеру кроме тебя кто-то имеет полный доступ. он может заменить его на любое другое оборудование, которое снаружи для всех сетевых протоколов будет будет выглядеть абсолютно идентично. решай проблему на социальном уровне, ага. служба безопасности и все такое. |
||
Колючий |
21.06.2008 - 07:49 (ссылка на это сообщение)
|
![]() Младший научный сотрудник ![]() ![]() ![]() ![]() Профиль Группа: Пользователи Сообщений: 413 Регистрация: 28.09.2006 Репутация: 23 Место учебы: закончил политех ![]() |
эхххххххххххх
тогда вопрос под углом "иллюзия безопасности", т.е. уровень подготовки ЧУЖАКА несколько ниже админа: какими средствами можно сделать привязку для входа в сеть компьютера? вот пришла мысль: генерится пара ключей, один из которых хранится на компьютере в неизвестном-недоступном месте. то есть отличия чужака будет заключаться в отсутствии этого ключа ым? |
Колючий |
21.06.2008 - 07:50 (ссылка на это сообщение)
|
![]() Младший научный сотрудник ![]() ![]() ![]() ![]() Профиль Группа: Пользователи Сообщений: 413 Регистрация: 28.09.2006 Репутация: 23 Место учебы: закончил политех ![]() |
дед_мажор, это как раз и подразумевается
я понимаю, что это бред - и крах всей СБ. |
дед_мажор |
21.06.2008 - 16:15 (ссылка на это сообщение)
|
||
![]() Уважаемый крутой перец ![]() Профиль Группа: Декан Сообщений: 2405 Регистрация: 11.11.2005 Репутация: 156 Место учебы: да ![]() |
если речь уже зашла про "иллюзию" безопасности — то ниже подготовка разве что только у секретарши. и вообще при чем тут безопасность? какая нахрен разница, откуда и с какого устройства работает пользователь, если он авторизован? |
||
Ленивый Вычислитель |
21.06.2008 - 18:02 (ссылка на это сообщение)
|
||||||||||
![]() Уважаемый Борец за ИТ-цивилизацию ![]() Профиль Группа: V.I.P персона Сообщений: 3343 Регистрация: 19.04.2005 Репутация: 297 Место учебы: ОрелГТУ ![]() |
Безопасность и затраты - это несколько противоположные приоритеты.
Теоретически взломать можно всё. Но практически эту задачу можно сделать очень сложной. "Полный доступ" можно ограничить, опломбировать системные блоки, запретить запуск любого ПО кроме проверенного и подписанного, зашифровать диски BitLocker'ом, внедрить IPSec или сетевую аутентификацию на 802.1x. Это техническая сторона вопроса и она достаточно проработана. Но главное - разработай в организации политику безопасности, меры как и кем она будет отслеживаться и реальные меры, которые будут применяться к нарушителям.
Никогда на это не расчитывай. Это самовнушение, а не безопасность.
Эта идея реализована в IPSec и 802.1x. Для их внедрения тебе потребуется инфраструктура открытых ключей, а во втором случе ещё и сетевое оборудование, поддерживающее этот стандарт. В твой проект с WinXP в роли единственного сервера это не укладывается ![]()
не путайте авторизацию с аутентификацией ![]() |
||||||||||
su27 |
22.06.2008 - 14:03 (ссылка на это сообщение)
|
![]() Младший научный сотрудник ![]() Профиль Группа: Декан Сообщений: 263 Регистрация: 8.12.2006 Репутация: 30 Место учебы: институт ![]() |
мдя уж.... проблема. ничего кроме как перечисленного выше посоветовать не могу.
только стоять рядом и по рукам бить, чтобы не подключались |
Колючий |
22.06.2008 - 20:05 (ссылка на это сообщение)
|
![]() Младший научный сотрудник ![]() ![]() ![]() ![]() Профиль Группа: Пользователи Сообщений: 413 Регистрация: 28.09.2006 Репутация: 23 Место учебы: закончил политех ![]() |
вот пришла какая идея:
отслеживать состояние машины в сети/не в сети. и если тачка была отключена от сети, то ее блокировать - пока админ не придет разблокировать. правда есть загвоздка - тачки надо на ночь выключать.... |
дед_мажор |
25.06.2008 - 10:13 (ссылка на это сообщение)
|
||
![]() Уважаемый крутой перец ![]() Профиль Группа: Декан Сообщений: 2405 Регистрация: 11.11.2005 Репутация: 156 Место учебы: да ![]() |
перечитай еще раз вопрос. там разве не написано «авторизация»? специально для тебя и всех остальных, кто путает авторизацию с аутентификацией, переформулирую вопрос: если я авторизован получить доступ к ресурсу со своего компа, то какая нахрен этому ресурсу разница — если я этот комп <i>заменю</i> на другой (<i>физически</i>) и точно также пройду аутентификацию? я в этом не вижу никакой проблемы, а раз нет проблемы, или она в чем-то другом, то вы занимаетесь пустословием и суходрочкой. |
||
Ленивый Вычислитель |
25.06.2008 - 11:55 (ссылка на это сообщение)
|
||
![]() Уважаемый Борец за ИТ-цивилизацию ![]() Профиль Группа: V.I.P персона Сообщений: 3343 Регистрация: 19.04.2005 Репутация: 297 Место учебы: ОрелГТУ ![]() |
Ну например, что компьютеры могут тоже иметь свои учётные записи с ключами, а пользователи могут быть ограничены для входа только на строго-определённые компьютеры. Да я понимаю, что при прямом физическом доступе к компьютеру, возможности его безнаказанно разбирать и собирать весь день, ты сможешь его склонировать. Но если у организации в целях есть реальное (а не бумажное) обеспечение безопасности, то эту возможность можно затруднить, сделать контролируемой и наказуемой. |
||
Egor100 |
25.06.2008 - 22:29 (ссылка на это сообщение)
|
![]() Кандидат наук ![]() ![]() ![]() ![]() ![]() Профиль Группа: Пользователи Сообщений: 848 Регистрация: 18.02.2006 Репутация: 16 Место учебы: ОрелГТУ ![]() |
Граждане, предохраняйтесь! Презеравтив между патчкордом и сетевухой избавить вас от всех проблем - вы подключены, но никакая зараза не пройдет!
|
дед_мажор |
25.06.2008 - 23:54 (ссылка на это сообщение)
|
||
![]() Уважаемый крутой перец ![]() Профиль Группа: Декан Сообщений: 2405 Регистрация: 11.11.2005 Репутация: 156 Место учебы: да ![]() |
какая ресурсу нахрен разница, если я скопирую этот ключ на другой аналогичный компьютер? у меня есть доступ к ключу — я им владею, могу распоряжаться как хочу. |
||
Ленивый Вычислитель |
26.06.2008 - 08:46 (ссылка на это сообщение)
|
![]() Уважаемый Борец за ИТ-цивилизацию ![]() Профиль Группа: V.I.P персона Сообщений: 3343 Регистрация: 19.04.2005 Репутация: 297 Место учебы: ОрелГТУ ![]() |
дед_мажор
А кто это тебе сказал, что у пользователя есть доступ к системным данным? Или у тебя как в хакерских фильмах, сотрудник будет вскрывать под камерами опломбированный системник, дублировать жёсткий диск, а потом ночами дома расшифровывать битлокерный диск, стараясь успеть, пока ключи не сменились ? ха-ха-ха !!! ![]() Не, Деда, давай сразу оговоримся, мы с тобой разговариваем про мелкую контору с 10 компьютерами, или современную крупную организацию с мерами по обеспечению всех аспектов информационной безопасности ? |
дед_мажор |
26.06.2008 - 09:01 (ссылка на это сообщение)
|
||||||
![]() Уважаемый крутой перец ![]() Профиль Группа: Декан Сообщений: 2405 Регистрация: 11.11.2005 Репутация: 156 Место учебы: да ![]() |
учись читать внимательнее:
от невнимательных советчиков, решающий воображаемые проблемы — еще больше проблем, да. |
||||||
Ленивый Вычислитель |
26.06.2008 - 09:36 (ссылка на это сообщение)
|
![]() Уважаемый Борец за ИТ-цивилизацию ![]() Профиль Группа: V.I.P персона Сообщений: 3343 Регистрация: 19.04.2005 Репутация: 297 Место учебы: ОрелГТУ ![]() |
дед_мажор
Уболтал, чертяка языкастый ![]() |
Lazar 200 wpm |
26.06.2008 - 11:22 (ссылка на это сообщение)
|
![]() Уважаемый Генеральный обогатитель форума ![]() ![]() ![]() ![]() ![]() ![]() ![]() Профиль Группа: Пользователи Сообщений: 3992 Регистрация: 18.04.2006 Репутация: 297 Место учебы: OSTU Outcasted aspirant ![]() |
Сижу перечитываю и чета мну это напоминает.
Потом вспомнил че - Булгакова. "Звездную сыпь", когда мужичок у дохтору пытался какое-нибудь полоскание для глотки выпросить, в то время как доктор ему объяснял что глотка - это лишь второстепенное проявление сифилиса, а тот все "мне бы полоскание, от глотки, а то глотку вон обложило". Здесь тоже чета похожее - как бы не меняя структуру сети, не вкладывая ни копейки денег, ни проводя меж сотрудниками никакого инструктажа придумать бы какое чудо среццтво, которое бы из трактора нам сделало истребитель-перехватчик подводного базирования. ![]() |
![]() |
![]() ![]() ![]() |