Библиотека
Дневники
Фотогалереи
Легкий форум
Архив
Поиск
Здравствуйте Гость (Вход|Регистрация)   
Студенческий форум
 
 


Страницы: (2) [1] 2  ( Перейти к первому непрочитанному сообщению ) Ответ в темуСоздание новой темыСоздание опроса

> Проблема безопасности, Нужна консультация

Колючий
Быстрая цитата




Младший научный сотрудник
****

Профиль
Группа: Пользователи
Сообщений: 413
Регистрация: 28.09.2006
Репутация: 23

Место учебы: закончил политех


Диспозиция:
- имеется одноранговая сеть, через рабочую группу.
- нужно поставить файл-сервер под управлением ХР, доступ к нему должны иметь все компьютеры этой сети, пока без ограничений.
ВОПРОС: как исключить возможность подключения в эту сеть стороннего компьютера(ноутбука) вместо имеющегося?


Я пока вижу вариант:
Как-то использовать МАС адреса сетевых карт компьютеров.
Как? И какие ещё варианты есть?
PMПисьмо на e-mail пользователю
Top
Lazar 200 wpm
Быстрая цитата




Уважаемый Генеральный обогатитель форума
*******

Профиль
Группа: Пользователи
Сообщений: 3992
Регистрация: 18.04.2006
Репутация: 297

Место учебы: OSTU Outcasted aspirant


Цитата
- нужно поставить файл-сервер под управлением ХР, доступ к нему должны иметь все компьютеры этой сети, пока без ограничений.
ВОПРОС: как исключить возможность подключения в эту сеть стороннего компьютера(ноутбука) вместо имеющегося?

Ну и что? Пусть подключаиццо сколько угодно. Выбрось из NTFSpermissions папок на этом файл-сервере группу "Все" нах, создай локальную группу пользователей этой папки (самую корневую) и включи в нее всех пользователей (аккаунты) которые у тебя в сети присуццтвуют. Им и разреши, что там - чтение, запись, что тебе еще нужно.
Память моя уже не та, но кааца через группы пользователей и пермишены оно эффективнее будет, чем поморочь с МАС адресами которые можно перешить прямо из винды.
PMПисьмо на e-mail пользователю
Top
Ленивый Вычислитель
Быстрая цитата




Уважаемый Борец за ИТ-цивилизацию
Group Icon

Профиль
Группа: V.I.P персона
Сообщений: 3343
Регистрация: 19.04.2005
Репутация: 297

Место учебы: ОрелГТУ


Цитата (Lazar 200 wpm)
пользователей (аккаунты) которые у тебя в сети присуццтвуют

это не так-то просто в сети из рабочей группы ?

Колючий
Тебе придётся как-то устраивать аутентификацию и авторизацию. Аутентификация пользователей возможно, если ты на этом компьютере создашь учётные записи всех пользователей в сети с теми же паролями, тогда аутентификация будет идти прозрачно. Авторизация - объединяешь все эти аккоунты в группу и даёшь только ей доступ на файловую шару.

Учти, что у WinXP есть ограничение на 10 одновременных входящих соединений.

Вариант с ограничением доступа по MAC-адресами доступен только на недешёвом сетефом оборудовании, кроме того, MAC-адрем меняется в два счёта.
Варианты доменной аутентификации, IPSec, доступ в сеть по сертификатам 802.1x не рассматриваем в силу одноранговости и XP.
PMПисьмо на e-mail пользователю
Top
Lazar 200 wpm
Быстрая цитата




Уважаемый Генеральный обогатитель форума
*******

Профиль
Группа: Пользователи
Сообщений: 3992
Регистрация: 18.04.2006
Репутация: 297

Место учебы: OSTU Outcasted aspirant


Цитата
Цитата (Lazar 200 wpm)
пользователей (аккаунты) которые у тебя в сети присуццтвуют

это не так-то просто в сети из рабочей группы ?

так человек изначально не ищет легких путей. wink.gif
В принципе я имел ввиду как раз то, что ты ниже отписал - "на то ты и пилот", чтобы все подробности указывать. smile.gif
PMПисьмо на e-mail пользователю
Top
Колючий
Быстрая цитата




Младший научный сотрудник
****

Профиль
Группа: Пользователи
Сообщений: 413
Регистрация: 28.09.2006
Репутация: 23

Место учебы: закончил политех


ПОЯСНЮ ПРОБЛЕМУ на примере:

человек приносит НЕИЗВЕСТНЫЙ ноутбук, настраивает в нем рабочую группу, или ip для домена и входит в сеть со своими пароль/логин вместо РОДНОГО своего компьютера (стационарного), просто втыкая патчкорд.

как этого избежать, с меньшими затратами??
PMПисьмо на e-mail пользователю
Top
дед_мажор
Быстрая цитата




Уважаемый крутой перец
Group Icon

Профиль
Группа: Декан
Сообщений: 2405
Регистрация: 11.11.2005
Репутация: 156

Место учебы: да


Цитата (Колючий)
как исключить возможность подключения в эту сеть стороннего компьютера(ноутбука) вместо имеющегося?

на сетевом уровне никак, если к имеющемуся компьютеру кроме тебя кто-то имеет полный доступ.
он может заменить его на любое другое оборудование, которое снаружи для всех сетевых протоколов будет будет выглядеть абсолютно идентично.

решай проблему на социальном уровне, ага.
служба безопасности и все такое.
PMПисьмо на e-mail пользователю
Top
Колючий
Быстрая цитата




Младший научный сотрудник
****

Профиль
Группа: Пользователи
Сообщений: 413
Регистрация: 28.09.2006
Репутация: 23

Место учебы: закончил политех


эхххххххххххх
тогда вопрос под углом "иллюзия безопасности", т.е. уровень подготовки ЧУЖАКА несколько ниже админа:

какими средствами можно сделать привязку для входа в сеть компьютера?


вот пришла мысль:
генерится пара ключей, один из которых хранится на компьютере в неизвестном-недоступном месте. то есть отличия чужака будет заключаться в отсутствии этого ключа
ым?
PMПисьмо на e-mail пользователю
Top
Колючий
Быстрая цитата




Младший научный сотрудник
****

Профиль
Группа: Пользователи
Сообщений: 413
Регистрация: 28.09.2006
Репутация: 23

Место учебы: закончил политех


дед_мажор, это как раз и подразумевается
я понимаю, что это бред - и крах всей СБ.
PMПисьмо на e-mail пользователю
Top
дед_мажор
Быстрая цитата




Уважаемый крутой перец
Group Icon

Профиль
Группа: Декан
Сообщений: 2405
Регистрация: 11.11.2005
Репутация: 156

Место учебы: да


Цитата (Колючий)
уровень подготовки ЧУЖАКА несколько ниже админа

если речь уже зашла про "иллюзию" безопасности — то ниже подготовка разве что только у секретарши.

и вообще при чем тут безопасность?

какая нахрен разница, откуда и с какого устройства работает пользователь, если он авторизован?
PMПисьмо на e-mail пользователю
Top
Ленивый Вычислитель
Быстрая цитата




Уважаемый Борец за ИТ-цивилизацию
Group Icon

Профиль
Группа: V.I.P персона
Сообщений: 3343
Регистрация: 19.04.2005
Репутация: 297

Место учебы: ОрелГТУ


Цитата (Колючий)
человек приносит НЕИЗВЕСТНЫЙ ноутбук, настраивает в нем рабочую группу, или ip для домена и входит в сеть со своими пароль/логин вместо РОДНОГО своего компьютера (стационарного), просто втыкая патчкорд.
как этого избежать, с меньшими затратами??


Безопасность и затраты - это несколько противоположные приоритеты.

Цитата (дед_мажор)
на сетевом уровне никак, если к имеющемуся компьютеру кроме тебя кто-то имеет полный доступ.
он может заменить его на любое другое оборудование, которое снаружи для всех сетевых протоколов будет будет выглядеть абсолютно идентично.


Теоретически взломать можно всё. Но практически эту задачу можно сделать очень сложной. "Полный доступ" можно ограничить, опломбировать системные блоки, запретить запуск любого ПО кроме проверенного и подписанного, зашифровать диски BitLocker'ом, внедрить IPSec или сетевую аутентификацию на 802.1x. Это техническая сторона вопроса и она достаточно проработана. Но главное - разработай в организации политику безопасности, меры как и кем она будет отслеживаться и реальные меры, которые будут применяться к нарушителям.

Цитата (Колючий)
тогда вопрос под углом "иллюзия безопасности", т.е. уровень подготовки ЧУЖАКА несколько ниже админа:


Никогда на это не расчитывай. Это самовнушение, а не безопасность.

Цитата (Колючий)
генерится пара ключей, один из которых хранится на компьютере в неизвестном-недоступном месте. то есть отличия чужака будет заключаться в отсутствии этого ключа
ым?


Эта идея реализована в IPSec и 802.1x. Для их внедрения тебе потребуется инфраструктура открытых ключей, а во втором случе ещё и сетевое оборудование, поддерживающее этот стандарт. В твой проект с WinXP в роли единственного сервера это не укладывается smile.gif

Цитата (дед_мажор)
какая нахрен разница, откуда и с какого устройства работает пользователь, если он авторизован?

не путайте авторизацию с аутентификацией smile.gif
PMПисьмо на e-mail пользователю
Top
su27
Быстрая цитата




Младший научный сотрудник
Group Icon

Профиль
Группа: Декан
Сообщений: 263
Регистрация: 8.12.2006
Репутация: 30

Место учебы: институт


мдя уж.... проблема. ничего кроме как перечисленного выше посоветовать не могу.
только стоять рядом и по рукам бить, чтобы не подключались
PMПисьмо на e-mail пользователюICQ
Top
Колючий
Быстрая цитата




Младший научный сотрудник
****

Профиль
Группа: Пользователи
Сообщений: 413
Регистрация: 28.09.2006
Репутация: 23

Место учебы: закончил политех


вот пришла какая идея:
отслеживать состояние машины в сети/не в сети. и если тачка была отключена от сети, то ее блокировать - пока админ не придет разблокировать.

правда есть загвоздка - тачки надо на ночь выключать....
PMПисьмо на e-mail пользователю
Top
дед_мажор
Быстрая цитата




Уважаемый крутой перец
Group Icon

Профиль
Группа: Декан
Сообщений: 2405
Регистрация: 11.11.2005
Репутация: 156

Место учебы: да


Цитата (Ленивый Вычислитель)
не путайте авторизацию с аутентификацией

перечитай еще раз вопрос. там разве не написано «авторизация»?

специально для тебя и всех остальных, кто путает авторизацию с аутентификацией, переформулирую вопрос:
если я авторизован получить доступ к ресурсу со своего компа, то какая нахрен этому ресурсу разница — если я этот комп <i>заменю</i> на другой (<i>физически</i>) и точно также пройду аутентификацию?

я в этом не вижу никакой проблемы, а раз нет проблемы, или она в чем-то другом, то вы занимаетесь пустословием и суходрочкой.
PMПисьмо на e-mail пользователю
Top
Ленивый Вычислитель
Быстрая цитата




Уважаемый Борец за ИТ-цивилизацию
Group Icon

Профиль
Группа: V.I.P персона
Сообщений: 3343
Регистрация: 19.04.2005
Репутация: 297

Место учебы: ОрелГТУ


Цитата (дед_мажор)
если я авторизован получить доступ к ресурсу со своего компа, то какая нахрен этому ресурсу разница — если я этот комп <i>заменю</i> на другой (<i>физически</i>) и точно также пройду аутентификацию?

Ну например, что компьютеры могут тоже иметь свои учётные записи с ключами, а пользователи могут быть ограничены для входа только на строго-определённые компьютеры. Да я понимаю, что при прямом физическом доступе к компьютеру, возможности его безнаказанно разбирать и собирать весь день, ты сможешь его склонировать.
Но если у организации в целях есть реальное (а не бумажное) обеспечение безопасности, то эту возможность можно затруднить, сделать контролируемой и наказуемой.
PMПисьмо на e-mail пользователю
Top
Egor100
Быстрая цитата




Кандидат наук
*****

Профиль
Группа: Пользователи
Сообщений: 848
Регистрация: 18.02.2006
Репутация: 16

Место учебы: ОрелГТУ


Граждане, предохраняйтесь! Презеравтив между патчкордом и сетевухой избавить вас от всех проблем - вы подключены, но никакая зараза не пройдет!
PMПисьмо на e-mail пользователюICQ
Top
дед_мажор
Быстрая цитата




Уважаемый крутой перец
Group Icon

Профиль
Группа: Декан
Сообщений: 2405
Регистрация: 11.11.2005
Репутация: 156

Место учебы: да


Цитата (Ленивый Вычислитель)
Ну например, что компьютеры могут тоже иметь свои учётные записи с ключами

какая ресурсу нахрен разница, если я скопирую этот ключ на другой аналогичный компьютер? у меня есть доступ к ключу — я им владею, могу распоряжаться как хочу.
PMПисьмо на e-mail пользователю
Top
Ленивый Вычислитель
Быстрая цитата




Уважаемый Борец за ИТ-цивилизацию
Group Icon

Профиль
Группа: V.I.P персона
Сообщений: 3343
Регистрация: 19.04.2005
Репутация: 297

Место учебы: ОрелГТУ


дед_мажор
А кто это тебе сказал, что у пользователя есть доступ к системным данным? Или у тебя как в хакерских фильмах, сотрудник будет вскрывать под камерами опломбированный системник, дублировать жёсткий диск, а потом ночами дома расшифровывать битлокерный диск, стараясь успеть, пока ключи не сменились ? ха-ха-ха !!! fool.gif

Не, Деда, давай сразу оговоримся, мы с тобой разговариваем про мелкую контору с 10 компьютерами, или современную крупную организацию с мерами по обеспечению всех аспектов информационной безопасности ?
PMПисьмо на e-mail пользователю
Top
дед_мажор
Быстрая цитата




Уважаемый крутой перец
Group Icon

Профиль
Группа: Декан
Сообщений: 2405
Регистрация: 11.11.2005
Репутация: 156

Место учебы: да


Цитата (Ленивый Вычислитель)
А кто это тебе сказал, что у пользователя есть доступ к системным данным?


учись читать внимательнее:

Цитата (дед_мажор)
если к имеющемуся компьютеру кроме тебя кто-то имеет полный доступ.

Цитата (Колючий)
дед_мажор, это как раз и подразумевается


от невнимательных советчиков, решающий воображаемые проблемы — еще больше проблем, да.
PMПисьмо на e-mail пользователю
Top
Ленивый Вычислитель
Быстрая цитата




Уважаемый Борец за ИТ-цивилизацию
Group Icon

Профиль
Группа: V.I.P персона
Сообщений: 3343
Регистрация: 19.04.2005
Репутация: 297

Место учебы: ОрелГТУ


дед_мажор
Уболтал, чертяка языкастый smile.gif
PMПисьмо на e-mail пользователю
Top
Lazar 200 wpm
Быстрая цитата




Уважаемый Генеральный обогатитель форума
*******

Профиль
Группа: Пользователи
Сообщений: 3992
Регистрация: 18.04.2006
Репутация: 297

Место учебы: OSTU Outcasted aspirant


Сижу перечитываю и чета мну это напоминает.
Потом вспомнил че - Булгакова. "Звездную сыпь", когда мужичок у дохтору пытался какое-нибудь полоскание для глотки выпросить, в то время как доктор ему объяснял что глотка - это лишь второстепенное проявление сифилиса, а тот все "мне бы полоскание, от глотки, а то глотку вон обложило".
Здесь тоже чета похожее - как бы не меняя структуру сети, не вкладывая ни копейки денег, ни проводя меж сотрудниками никакого инструктажа придумать бы какое чудо среццтво, которое бы из трактора нам сделало истребитель-перехватчик подводного базирования. sad1.gif
PMПисьмо на e-mail пользователю
Top
  Быстрый ответ
Информация о Госте
Введите Ваше имя
Кнопки кодов
 
Для вставки цитаты, выделите нужный текст и
НАЖМИТЕ СЮДА
Введите сообщение
Смайлики
:o  :D  :rolleyes:  :cry2: 
:unsure:  :cry:  :angry:  :bleh: 
:dev:  :flowers:  :fool:  :old: 
:shook:  :angel:  :wor:  :rotfl: 
:kov:  :chair:  :friends:  :wub: 
       
Показать всё


 
Опции сообщения  Включить смайлики?
 Включить подпись?
 Использовать AJAX?

Опции темыСтраницы: (2) [1] 2  Ответ в темуСоздание новой темыСоздание опроса

 

Студенческий клуб ostudent.ru и его создатели не несут ответственности за достоверность самостоятельно размещаемой посетителями сайта информации и не могут подтвердить или опровергнуть её.

Этот сайт защищен «Site Guard»