Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Чт Окт 12 2006 20:53 Заголовок сообщения: Подмена паролей |
|
|
Доброго времени суток!!!
Есть Корпорация и Фирма в ней! Есть локальная сеть, есть свой прокси для интернета! Сеть одноранговая.
Есть корпоративный сервер, на котором лежат конфигурации некоторых фирм в 1С. Также есть и своя бухгалтерия не на 1С, которая работает в нашей локальной сети. Корпоративный сервер подключен к центральному свичу. Я хочу подключить корпоративный сервер через компьютер (т.е. сделать пограничный комп), потому как я незнаю второй конец локальной сети и получается что с этого второго конца можно попадать в сеть. А это нехорошо с точки зрения безопасности (т.е. фирма невсегда хочет чтобы со стороны корпоративного сервера мог кто-то заходить в сеть).
Да еще, для того чтобы юзер мог работать с конфигурацией 1С, которая лежит на корпоративном сервере, нужно чтобы совпадали учетные записи пользователей.
Для того чтобы из одной сети попадать в другую через пограничный комп это нужно четез нат делать? или это всеже нужно маршрутизацию вруки?
Да, и если они будут например в разных подсетях (10.х.х.х) и 192.168.1.х то это получается только НАТ или с помошью маршрутизации тоже возможно? ну и как собственно говоря лучше?
Да и собственно говоря самый важный вопрос:
Как сделать так чтобы пароли различались? Поясню:
Допустим у меня получится организовать все это счастье через пограничный комп, то для того чтобы войти в корпоративный сервер, пароли на клиенской машине и сервере должны совпадать, правильно же? Тогда получается если известен пароль на сервере, можно прийти в нерабочее допустим время, открыть офис и на клиенской машине ввести пароль тот который на сервере и войти в машину, и таким образом получить доступ к информации, поскольку все располагаются в одном здании, просто на разных этажах. Вот собственно говоря и вопрос, как это реализовать? т.е. получается можно сказать подмена пароля на пограничном компе.
Мда, наверное лихо завернул но все же что думаете по этому поводу?
Заранее благодарен _________________ Best regards |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пт Окт 13 2006 09:00 Заголовок сообщения: |
|
|
Цитата: | Мда, наверное лихо завернул |
Да, лиховато, немного не понял. Поясни.
1. Ты хочешь разделить сети между собой?
2. В качестве шлюза между сетями использовать комп.
3. тебе нужно, что бы все пользователи имели доступ к серверу или нет? Если да, то логин и пароль если нет, то фиг им.
4. Если нужен доступ из первой сетки во вторую, но не наоборот, то решается фаерволлом и маршрутизацией.
В общем конкретизируй, что есть и что надо.
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Пт Окт 13 2006 12:03 Заголовок сообщения: |
|
|
Попытаюсь пояснить:
1 я хочу разделить сети между собой
2 хочу вкачестве шлюза между сетями использовать комп
3 мне нужно чтобы все пользователи через шлюз имели доступ к серверу
4 Нужен доступ из моей локалки через шлюз в локалку где располагается сервер, НО НЕ НАОБОРОТ
И самое главное, попытаюсь лучше наверное на пальцах рассказать:
Есть сервер в другой локалке к которому доступ через шлюз (назовем его СЕРВЕР_555)
Есть моя локалка, ну и соответственно мой шлюз (назовем его ШЛЮЗ_555)
И также есть клиентские машины (назовем их КЛИЕНТ111, КЛИЕНТ222, КЛИЕНТ333 и т.д.)
Для того чтобы из компа КЛИЕНТ111 получить доступ к СЕРВЕР_555 нужно чтобы на сервере СЕРВЕР_555 былы допустим учетная запись с именем "ПУПКИН" и пароль допустим у него "КАМАЗ", и на КЛИЕНТ111 должна быть учетная запись с именем "ПУПКИН" и пароль "КАМАЗ".
Проблема в том что когда админ компа СЕРВЕР_555 из другой сети будет создавать учетную запись с именем "ПУПКИН" и пароль "КАМАЗ", то естественно он ее получается будет ЗНАТЬ и сможет зайти в офис где стоит КЛИЕНТ111 и ввести логин: "ПУПКИН" и пароль: "КАМАЗ". А я нехочу чтобы другой админ тоже мог не через сеть а просто зайти в офис сесть за КЛИЕНТ111 и получить доступ к моей сети. И вот получается, если я поменяю пароль "КАМАЗ" на учетке "ПУПКИН" допустим на пароль "БЕЛАЗ" (чтобы другой админ немог сесть за КЛИЕНТ111 и войти в него. Короче нужно чтобы мой юзер садился за КЛИЕНТ111 вводил имя "ПУПКИН" пароль "БЕЛАЗ" и
через шлюз получал доступ к СЕРВЕР_555. т.е. для того чтобы попасть в СЕРВЕР_555 нужно чтобы пароль "БЕЛАЗ" при проходе через шлюз менялся на "КАМАЗ". Я незнаю как это правильно назвать, может есть другое решение, может типа у одной учетной записи чтоы было два пароля и соответственно в одной локалке для аутентификации юзер вводит один пароль в другой локалке для этой же учетки другой пароль, но только чтобы в каждой из локалок можно было войти только по одному паролю
Тоесть отгородить мою сеть и со стороны шлюза (чтобы из другой сети никто немог попасть в мою сеть) и также чтобы админ сервера с другой сети если даже зайдет в офис и сядет за клиенский комп в моей локалке немог войти в комп. Ну сами понимаете какбы логично получается что если учетные записи одинаковые то под этой учеткой можно зайти в двух сетях, ну типа если через шлюз доступ закрыт то кто мешает просто зайти в офис в нерабочее время и сесть за комп, или например если допустим пользователь просто гдето выйдет по делам и машина будет свободна и таким образом получить доступ? _________________ Best regards |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пт Окт 13 2006 12:59 Заголовок сообщения: |
|
|
Постараемся разобраться
С первыми 3 пунктами все ясно 3, тут собственно и говорить особо не о чем.
Цитата: | 4. Нужен доступ из моей локалки через шлюз в локалку где располагается сервер, НО НЕ НАОБОРОТ |
Создаешь себе учетку, создаешь учетку на сервере. Пароль никому не говоришь. Ты с этой учетки ходишь куда надо, кроме тебя этого никто не сделает.
В чем проблема то?
Цитата: | Проблема в том что когда админ компа СЕРВЕР_555 из другой сети будет создавать учетную запись с именем "ПУПКИН" и пароль "КАМАЗ", то естественно он ее получается будет ЗНАТЬ и сможет зайти в офис где стоит КЛИЕНТ111 и ввести логин: "ПУПКИН" и пароль: "КАМАЗ". |
Админ по определению НЕ ДОЛЖЕН ЗНАТЬ НИ ЧЬИХ ПАРОЛЕЙ, КРОМЕ СВОЕГО Всегда и везде, так ему легче спится!!!!
Есть прекрасная галочка "Требовать смены пароля при первой загрузке"
таким образом у клиента пароль уже не КАМАЗ, а запорожец
Клиент 111 вводит свой пароль, который кроме него никто не знает, и если этот пароль оказывается сброшенным, то это БО-О-О-ЛьШОЕ ЧП.
Опять же в чем проблема то? _________________ Errare humanum est |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Пт Окт 13 2006 14:21 Заголовок сообщения: |
|
|
grf писал(а): | Создаешь себе учетку, создаешь учетку на сервере. Пароль никому не говоришь. Ты с этой учетки ходишь куда надо, кроме тебя этого никто не сделает.
В чем проблема то? |
Проблема в том что СЕРВЕР_555 не я администрирую, им другие люди занимаются. И для того чтобы мой юзер (а их скажем так человек 10) мог получить доступ к СЕРВЕР_555 я админу СЕРВЕР_555 говорю логин и пароль своих же юзеров. Проблема в том чтобы ТОТ АДМИН но не мои юзеры когда сядет за комп моего юзера немог войти под той учеткой, которую я же ему и сказал. Корень проблемы в том что СЕРВЕР_555 это сервер корпорации, а моя локальная сеть это сеть нашей фирмы, которая входит в эту корпорацию. В интересах моей фирмы чтобы админ СЕРВЕР_555(админ корпорации) немог получить доступ к информации фирмы.
Тут получается такая ситуация:
Корпорация хочет мониторить дела фирмы, а фирма нехочет чтобы ее мониторили. т.е. вот такие вот отношения между фирмой и корпорацией. Это может быть даже стандартные отношения... Вот из-за этого собственно говоря и весь сырбор
grf писал(а): | Есть прекрасная галочка "Требовать смены пароля при первой загрузке"
таким образом у клиента пароль уже не КАМАЗ, а запорожец
Клиент 111 вводит свой пароль, который кроме него никто не знает, и если этот пароль оказывается сброшенным, то это БО-О-О-ЛьШОЕ ЧП.
Опять же в чем проблема то? |
Проблема не втом чтобы пароль сменить, проблема в том, что если этот пароль будет изменен, то он не будет совпадать с паролем который находится на СЕРВЕР_555, и соответственно доступа к нему небудет
Вот собственно говоря и нужно:
Нужно чтобы пароли для учетки на СЕРВЕР_555 и на клиенте не совпадали и главное чтобы у клиента еще и был доступ к СЕРВЕР_555
Я так понимаю что при прохождении через шлюзовой комп, комп подменял пароли чтобы получить доступ к СЕРВЕР_555?
или какие еще могут быть варианты? _________________ Best regards |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пт Окт 13 2006 14:33 Заголовок сообщения: |
|
|
наконецто понял , сорри за мою тормознутость
вариант:
на сервере создается одна учетка, на локальном компе другая, при попытке доступа к серваку он спрашивает логин пароль, вбиваешь их и имеешь счастье.
Варианты с AD не предлагать? _________________ Errare humanum est |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пт Окт 13 2006 14:35 Заголовок сообщения: |
|
|
собственно сервер терминалов не предлагать? _________________ Errare humanum est |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пт Окт 13 2006 14:38 Заголовок сообщения: |
|
|
Групповая политика-параметры безопасности-локальные политики-назначение прав пользователя-доступ к компьютеру по сети
тебя не спасут?
Или имеется физический доступ к компам ненужных людей?
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пт Окт 13 2006 14:46 Заголовок сообщения: |
|
|
ну или фаерволл, чтобы 1С пускал, а все остальное нет _________________ Errare humanum est |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Пт Окт 13 2006 15:15 Заголовок сообщения: |
|
|
Это как бы и есть корень проблемы, да, имеется физический доступ к компам ненужных людей _________________ Best regards |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пт Окт 13 2006 16:48 Заголовок сообщения: |
|
|
тогда это нарисованное на стене слово не влезать!
Вынуть винт на время ни что не помешает.
Подключаешь сетевой диск. в ХР, мой компьютер-сервис-подключить сетевой диск, подключение под другим именем, вводишь логин пароль серака и имеешь счастье.
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Пн Окт 16 2006 10:00 Заголовок сообщения: |
|
|
grf писал(а): | Подключаешь сетевой диск. в ХР, мой компьютер-сервис-подключить сетевой диск, подключение под другим именем, вводишь логин пароль серака и имеешь счастье.
|
grf спасибо за дельный совет, это как раз то что мне нужно.
Слушай, а под win2000 и под win98 как такой же вариант организовать? _________________ Best regards |
|
Вернуться к началу |
|
|
Простой парень
Зарегистрирован: 22.12.2003 Сообщения: 46 Откуда: Ростов
|
Добавлено: Чт Ноя 02 2006 20:21 Заголовок сообщения: |
|
|
>> Слушай, а под win2000 и под win98 как такой же вариант организовать?
Под Win2000 точно также _________________ Привет всем! |
|
Вернуться к началу |
|
|
Dmitry_Karpov
Зарегистрирован: 23.02.2006 Сообщения: 212 Откуда: Москва, Матвеевское
|
Добавлено: Пт Ноя 10 2006 01:52 Заголовок сообщения: |
|
|
Я в упор не понимаю проблемы.
Чтобы закрыть компы фирмы от вторжения из корпоративной сетИ надо поставить нечто фильтрующее между сетями. VLAN тут не годится - она либо полностью закрывает один комп от другого, либо плностью открывает. Нужен IP-FireWall (пакетный фильтр), который для TCP и UDP понимает номера портов, а для TCP ещё и октрытие сессии; дальнейшее зависит от правильности драйверов для устройств /dev/hands и /dev/mind.
А вот NAT может и не спасти, т.к. если с той стороны грамотно настроить роутинг, то пакеты свободно войдут в твою сеть. Сам по себе NAT не защищает - защиищает то, что в Интернете нет роутинга для IP-номеров типа 192.168.*.*!
Выделение фирмы в отдельную сеть, отгороженную от корпоративной сетИ роутером, требует грамоной настройки роутинга в корпоративной сетИ (хотя бы на тех машинах, куда нужен доступ). Правда, можно сделать это прозрачно с помощью ARP-махинаций. Короче, на http://DmitryKarpov.nm.ru есть статья про роутинг.
Про совпадение учётных записей я ничего не понял - что с чем должно совпадать? Допустим, можно требовать совпадения имён юзеров для локального входа в машину и для сетевого входа на сервер (хотя для NT-based систем при цеплянии share можно указывать имя юзера); но совпадение пароля никому не нужно. Впрочем, это ещё надо экспериментально проверить.
Кстати, если можно придти в нерабочее время, то можно развинтить комп, вставить свой хард с Линуксом, смонтировать диск с Windows и слить все файлы. И пароля знать не надо. _________________ Хочу в Хогвардс преподавателем информатики. |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Пт Ноя 10 2006 16:43 Заголовок сообщения: |
|
|
Dmitry_Karpov писал(а): |
Кстати, если можно придти в нерабочее время, то можно развинтить комп, вставить свой хард с Линуксом, смонтировать диск с Windows и слить все файлы. И пароля знать не надо.
|
А как тогда с этим бороться? _________________ Best regards |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пт Ноя 10 2006 17:09 Заголовок сообщения: |
|
|
Ограничить физический доступ к компу.
Как?
сторонние разработчики позаботились. Запирают на замок. Пломбирование. разные ухщрения с замками, тросиками и пр.
Поищи в инете.
Когда я работал в одной конторе, там шеф кого-то боялся, кого не говорил , а я оттуда быстро свалил, поэтому не узнал, какая то фирма ставила на харды магнитную систему, хард вставлялся в коробку с медными катушками, если снять корпус, или просто приподнять, шевельнуть системный блок, магнитный импульс и вся инфа стерта. То же по тревожной кнопке и радиобрелку. Фирма гарантировала. Обошлось что-то около 700-1000$ за комп. Два файл сервера таким образом защищал.
_________________ Errare humanum est |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Пт Ноя 10 2006 18:38 Заголовок сообщения: |
|
|
А если использовать шифрованную файловую систему, это поможет? _________________ Best regards |
|
Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006 Сообщения: 1649 Откуда: Rus\23
|
Добавлено: Сб Ноя 11 2006 12:53 Заголовок сообщения: |
|
|
Постил,как-бы не раз.
Если русский человек что-то захочет ... )))
он сделает.
Инфа может быть недоступной только в одном случае. Мобил рек
всегда носить с собой.
И сразу,не заходя никуда, домой... LOL _________________ В тёмной комнате завсегда имеются тёмные грабли. |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Пн Ноя 13 2006 10:56 Заголовок сообщения: |
|
|
San_dok писал(а): | Если русский человек что-то захочет ... )))
он сделает.
|
Ты хочешь сказать что так просто взять и расшифровать шифрованную файловую систему????? _________________ Best regards |
|
Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005 Сообщения: 1242 Откуда: Москва
|
Добавлено: Пн Ноя 13 2006 11:00 Заголовок сообщения: |
|
|
Не так просто.
Опломбируй компы, бумага, клей и твоя подпись. нарушение пломбы - вызывай ментов
Ну и желательно так же соответствующие официальное распоряжение руководства. _________________ Errare humanum est |
|
Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006 Сообщения: 1649 Откуда: Rus\23
|
Добавлено: Пн Ноя 13 2006 11:11 Заголовок сообщения: |
|
|
VeL писал(а): | San_dok писал(а): | Если русский человек что-то захочет ... )))
он сделает.
|
Ты хочешь сказать что так просто взять и расшифровать шифрованную файловую систему????? |
А кто тебе говорит за "просто".
Нет конечно. Вопрос трудоемкий и длительный конечно.
Всё зависит как бы от инфы. Если имеет смысл, то и передушатся, и в очередь встанут А если нет, то и сам будешь винт в руки совать, а оный нафиг никому не нужен. _________________ В тёмной комнате завсегда имеются тёмные грабли. |
|
Вернуться к началу |
|
|
Denjs
Зарегистрирован: 29.08.2003 Сообщения: 137
|
Добавлено: Пн Ноя 13 2006 15:41 Заголовок сообщения: |
|
|
VeL писал(а): | Dmitry_Karpov писал(а): |
Кстати, если можно придти в нерабочее время, то можно развинтить комп, вставить свой хард с Линуксом, смонтировать диск с Windows и слить все файлы. И пароля знать не надо.
|
А как тогда с этим бороться? |
имхо никак. )))
различными административными мерами.
можно попробовать шифрование диска ... но это надежда на то что слитые данные просто не расшифруются.
Но на шифрование можно что-то придумать с записью на флешку или отсылкой по почте в рабочем сеанесе. и т.п.
Вообще в общем случае - для борьбы с загрузкой из-под совей ос - лучший варинат - эторабота в терминальном сеансе.. с запретом монтирования к терминальному сеансу локальных ресурсов, отсылки почты и т.п.
В идеале - когда сервер - наглухо опечатан в холодильнике в подвале (и способен пережить прямое попадание яд боеголовки малой мощности ))) ) а клинеты работают на пустых терминалах. |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Ср Ноя 15 2006 15:38 Заголовок сообщения: |
|
|
Denjs писал(а): |
Но на шифрование можно что-то придумать с записью на флешку или отсылкой по почте в рабочем сеанесе. и т.п.
|
несовсем понял, можете чуть подробнее объяснить эти варианты? _________________ Best regards |
|
Вернуться к началу |
|
|
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Пн Ноя 27 2006 21:17 Заголовок сообщения: |
|
|
grf писал(а): | Подключаешь сетевой диск. в ХР, мой компьютер-сервис-подключить сетевой диск, подключение под другим именем, вводишь логин пароль серака и имеешь счастье.
|
Вот столкнулся еще с одними граблями. Этот вариант меня полностью устраивает, но есть одно но, если таким образом указываешь путь к базе, все получается, Как быть если это 1С 8 версии и там на серваке настроен сервер приложений 1С? К серваку коннект получается, вводишь логин и пароль который есть на том серваке или подключаешь сетевой диск, когда запускаешь 1С она говорит:
Цитата: | Не найден интерфейс сервера 1С: Предприятия (80070005) |
_________________ Best regards |
|
Вернуться к началу |
|
|
|