Диспозиция:
- имеется одноранговая сеть, через рабочую группу.
- нужно поставить файл-сервер под управлением ХР, доступ к нему должны иметь все компьютеры этой сети, пока без ограничений.
ВОПРОС: как исключить возможность подключения в эту сеть стороннего компьютера(ноутбука) вместо имеющегося?
Я пока вижу вариант:
Как-то использовать МАС адреса сетевых карт компьютеров.
Как? И какие ещё варианты есть?
Полная Версия: Проблема безопасности
| Цитата |
| - нужно поставить файл-сервер под управлением ХР, доступ к нему должны иметь все компьютеры этой сети, пока без ограничений. ВОПРОС: как исключить возможность подключения в эту сеть стороннего компьютера(ноутбука) вместо имеющегося? |
Ну и что? Пусть подключаиццо сколько угодно. Выбрось из NTFSpermissions папок на этом файл-сервере группу "Все" нах, создай локальную группу пользователей этой папки (самую корневую) и включи в нее всех пользователей (аккаунты) которые у тебя в сети присуццтвуют. Им и разреши, что там - чтение, запись, что тебе еще нужно.
Память моя уже не та, но кааца через группы пользователей и пермишены оно эффективнее будет, чем поморочь с МАС адресами которые можно перешить прямо из винды.
| Цитата (Lazar 200 wpm) |
| пользователей (аккаунты) которые у тебя в сети присуццтвуют |
это не так-то просто в сети из рабочей группы ?
Колючий
Тебе придётся как-то устраивать аутентификацию и авторизацию. Аутентификация пользователей возможно, если ты на этом компьютере создашь учётные записи всех пользователей в сети с теми же паролями, тогда аутентификация будет идти прозрачно. Авторизация - объединяешь все эти аккоунты в группу и даёшь только ей доступ на файловую шару.
Учти, что у WinXP есть ограничение на 10 одновременных входящих соединений.
Вариант с ограничением доступа по MAC-адресами доступен только на недешёвом сетефом оборудовании, кроме того, MAC-адрем меняется в два счёта.
Варианты доменной аутентификации, IPSec, доступ в сеть по сертификатам 802.1x не рассматриваем в силу одноранговости и XP.
| Цитата |
| Цитата (Lazar 200 wpm) пользователей (аккаунты) которые у тебя в сети присуццтвуют это не так-то просто в сети из рабочей группы ? |
так человек изначально не ищет легких путей.
В принципе я имел ввиду как раз то, что ты ниже отписал - "на то ты и пилот", чтобы все подробности указывать.
ПОЯСНЮ ПРОБЛЕМУ на примере:
человек приносит НЕИЗВЕСТНЫЙ ноутбук, настраивает в нем рабочую группу, или ip для домена и входит в сеть со своими пароль/логин вместо РОДНОГО своего компьютера (стационарного), просто втыкая патчкорд.
как этого избежать, с меньшими затратами??
человек приносит НЕИЗВЕСТНЫЙ ноутбук, настраивает в нем рабочую группу, или ip для домена и входит в сеть со своими пароль/логин вместо РОДНОГО своего компьютера (стационарного), просто втыкая патчкорд.
как этого избежать, с меньшими затратами??
| Цитата (Колючий) |
| как исключить возможность подключения в эту сеть стороннего компьютера(ноутбука) вместо имеющегося? |
на сетевом уровне никак, если к имеющемуся компьютеру кроме тебя кто-то имеет полный доступ.
он может заменить его на любое другое оборудование, которое снаружи для всех сетевых протоколов будет будет выглядеть абсолютно идентично.
решай проблему на социальном уровне, ага.
служба безопасности и все такое.
эхххххххххххх
тогда вопрос под углом "иллюзия безопасности", т.е. уровень подготовки ЧУЖАКА несколько ниже админа:
какими средствами можно сделать привязку для входа в сеть компьютера?
вот пришла мысль:
генерится пара ключей, один из которых хранится на компьютере в неизвестном-недоступном месте. то есть отличия чужака будет заключаться в отсутствии этого ключа
ым?
тогда вопрос под углом "иллюзия безопасности", т.е. уровень подготовки ЧУЖАКА несколько ниже админа:
какими средствами можно сделать привязку для входа в сеть компьютера?
вот пришла мысль:
генерится пара ключей, один из которых хранится на компьютере в неизвестном-недоступном месте. то есть отличия чужака будет заключаться в отсутствии этого ключа
ым?
дед_мажор, это как раз и подразумевается
я понимаю, что это бред - и крах всей СБ.
я понимаю, что это бред - и крах всей СБ.
| Цитата (Колючий) |
| уровень подготовки ЧУЖАКА несколько ниже админа |
если речь уже зашла про "иллюзию" безопасности — то ниже подготовка разве что только у секретарши.
и вообще при чем тут безопасность?
какая нахрен разница, откуда и с какого устройства работает пользователь, если он авторизован?
| Цитата (Колючий) |
| человек приносит НЕИЗВЕСТНЫЙ ноутбук, настраивает в нем рабочую группу, или ip для домена и входит в сеть со своими пароль/логин вместо РОДНОГО своего компьютера (стационарного), просто втыкая патчкорд. как этого избежать, с меньшими затратами?? |
Безопасность и затраты - это несколько противоположные приоритеты.
| Цитата (дед_мажор) |
| на сетевом уровне никак, если к имеющемуся компьютеру кроме тебя кто-то имеет полный доступ. он может заменить его на любое другое оборудование, которое снаружи для всех сетевых протоколов будет будет выглядеть абсолютно идентично. |
Теоретически взломать можно всё. Но практически эту задачу можно сделать очень сложной. "Полный доступ" можно ограничить, опломбировать системные блоки, запретить запуск любого ПО кроме проверенного и подписанного, зашифровать диски BitLocker'ом, внедрить IPSec или сетевую аутентификацию на 802.1x. Это техническая сторона вопроса и она достаточно проработана. Но главное - разработай в организации политику безопасности, меры как и кем она будет отслеживаться и реальные меры, которые будут применяться к нарушителям.
| Цитата (Колючий) |
| тогда вопрос под углом "иллюзия безопасности", т.е. уровень подготовки ЧУЖАКА несколько ниже админа: |
Никогда на это не расчитывай. Это самовнушение, а не безопасность.
| Цитата (Колючий) |
| генерится пара ключей, один из которых хранится на компьютере в неизвестном-недоступном месте. то есть отличия чужака будет заключаться в отсутствии этого ключа ым? |
Эта идея реализована в IPSec и 802.1x. Для их внедрения тебе потребуется инфраструктура открытых ключей, а во втором случе ещё и сетевое оборудование, поддерживающее этот стандарт. В твой проект с WinXP в роли единственного сервера это не укладывается
| Цитата (дед_мажор) |
| какая нахрен разница, откуда и с какого устройства работает пользователь, если он авторизован? |
не путайте авторизацию с аутентификацией
мдя уж.... проблема. ничего кроме как перечисленного выше посоветовать не могу.
только стоять рядом и по рукам бить, чтобы не подключались
только стоять рядом и по рукам бить, чтобы не подключались
вот пришла какая идея:
отслеживать состояние машины в сети/не в сети. и если тачка была отключена от сети, то ее блокировать - пока админ не придет разблокировать.
правда есть загвоздка - тачки надо на ночь выключать....
отслеживать состояние машины в сети/не в сети. и если тачка была отключена от сети, то ее блокировать - пока админ не придет разблокировать.
правда есть загвоздка - тачки надо на ночь выключать....
| Цитата (Ленивый Вычислитель) |
| не путайте авторизацию с аутентификацией |
перечитай еще раз вопрос. там разве не написано «авторизация»?
специально для тебя и всех остальных, кто путает авторизацию с аутентификацией, переформулирую вопрос:
если я авторизован получить доступ к ресурсу со своего компа, то какая нахрен этому ресурсу разница — если я этот комп <i>заменю</i> на другой (<i>физически</i>) и точно также пройду аутентификацию?
я в этом не вижу никакой проблемы, а раз нет проблемы, или она в чем-то другом, то вы занимаетесь пустословием и суходрочкой.
| Цитата (дед_мажор) |
| если я авторизован получить доступ к ресурсу со своего компа, то какая нахрен этому ресурсу разница — если я этот комп <i>заменю</i> на другой (<i>физически</i>) и точно также пройду аутентификацию? |
Ну например, что компьютеры могут тоже иметь свои учётные записи с ключами, а пользователи могут быть ограничены для входа только на строго-определённые компьютеры. Да я понимаю, что при прямом физическом доступе к компьютеру, возможности его безнаказанно разбирать и собирать весь день, ты сможешь его склонировать.
Но если у организации в целях есть реальное (а не бумажное) обеспечение безопасности, то эту возможность можно затруднить, сделать контролируемой и наказуемой.
Граждане, предохраняйтесь! Презеравтив между патчкордом и сетевухой избавить вас от всех проблем - вы подключены, но никакая зараза не пройдет!
| Цитата (Ленивый Вычислитель) |
| Ну например, что компьютеры могут тоже иметь свои учётные записи с ключами |
какая ресурсу нахрен разница, если я скопирую этот ключ на другой аналогичный компьютер? у меня есть доступ к ключу — я им владею, могу распоряжаться как хочу.
дед_мажор
А кто это тебе сказал, что у пользователя есть доступ к системным данным? Или у тебя как в хакерских фильмах, сотрудник будет вскрывать под камерами опломбированный системник, дублировать жёсткий диск, а потом ночами дома расшифровывать битлокерный диск, стараясь успеть, пока ключи не сменились ? ха-ха-ха !!!
Не, Деда, давай сразу оговоримся, мы с тобой разговариваем про мелкую контору с 10 компьютерами, или современную крупную организацию с мерами по обеспечению всех аспектов информационной безопасности ?
А кто это тебе сказал, что у пользователя есть доступ к системным данным? Или у тебя как в хакерских фильмах, сотрудник будет вскрывать под камерами опломбированный системник, дублировать жёсткий диск, а потом ночами дома расшифровывать битлокерный диск, стараясь успеть, пока ключи не сменились ? ха-ха-ха !!!
Не, Деда, давай сразу оговоримся, мы с тобой разговариваем про мелкую контору с 10 компьютерами, или современную крупную организацию с мерами по обеспечению всех аспектов информационной безопасности ?
| Цитата (Ленивый Вычислитель) |
| А кто это тебе сказал, что у пользователя есть доступ к системным данным? |
учись читать внимательнее:
| Цитата (дед_мажор) |
| если к имеющемуся компьютеру кроме тебя кто-то имеет полный доступ. |
| Цитата (Колючий) |
| дед_мажор, это как раз и подразумевается |
от невнимательных советчиков, решающий воображаемые проблемы — еще больше проблем, да.
дед_мажор
Уболтал, чертяка языкастый
Уболтал, чертяка языкастый
Сижу перечитываю и чета мну это напоминает.
Потом вспомнил че - Булгакова. "Звездную сыпь", когда мужичок у дохтору пытался какое-нибудь полоскание для глотки выпросить, в то время как доктор ему объяснял что глотка - это лишь второстепенное проявление сифилиса, а тот все "мне бы полоскание, от глотки, а то глотку вон обложило".
Здесь тоже чета похожее - как бы не меняя структуру сети, не вкладывая ни копейки денег, ни проводя меж сотрудниками никакого инструктажа придумать бы какое чудо среццтво, которое бы из трактора нам сделало истребитель-перехватчик подводного базирования.
Потом вспомнил че - Булгакова. "Звездную сыпь", когда мужичок у дохтору пытался какое-нибудь полоскание для глотки выпросить, в то время как доктор ему объяснял что глотка - это лишь второстепенное проявление сифилиса, а тот все "мне бы полоскание, от глотки, а то глотку вон обложило".
Здесь тоже чета похожее - как бы не меняя структуру сети, не вкладывая ни копейки денег, ни проводя меж сотрудниками никакого инструктажа придумать бы какое чудо среццтво, которое бы из трактора нам сделало истребитель-перехватчик подводного базирования.
ну типа того, перехватчик....
это к вопросу о неблагонадежных сотрудниках
это к вопросу о неблагонадежных сотрудниках
Здесь расположена полная версия этой страницы.