Архив форумов ЦИТФорума

[VeL]

Доброго времени суток!!!

Есть Корпорация и Фирма в ней! Есть локальная сеть, есть свой прокси для интернета! Сеть одноранговая.
Есть корпоративный сервер, на котором лежат конфигурации некоторых фирм в 1С. Также есть и своя бухгалтерия не на 1С, которая работает в нашей локальной сети. Корпоративный сервер подключен к центральному свичу. Я хочу подключить корпоративный сервер через компьютер (т.е. сделать пограничный комп), потому как я незнаю второй конец локальной сети и получается что с этого второго конца можно попадать в сеть. А это нехорошо с точки зрения безопасности (т.е. фирма невсегда хочет чтобы со стороны корпоративного сервера мог кто-то заходить в сеть).

Да еще, для того чтобы юзер мог работать с конфигурацией 1С, которая лежит на корпоративном сервере, нужно чтобы совпадали учетные записи пользователей.

Для того чтобы из одной сети попадать в другую через пограничный комп это нужно четез нат делать? или это всеже нужно маршрутизацию вруки?
Да, и если они будут например в разных подсетях (10.х.х.х) и 192.168.1.х то это получается только НАТ или с помошью маршрутизации тоже возможно? ну и как собственно говоря лучше?

Да и собственно говоря самый важный вопрос:
Как сделать так чтобы пароли различались? Поясню:
Допустим у меня получится организовать все это счастье через пограничный комп, то для того чтобы войти в корпоративный сервер, пароли на клиенской машине и сервере должны совпадать, правильно же? Тогда получается если известен пароль на сервере, можно прийти в нерабочее допустим время, открыть офис и на клиенской машине ввести пароль тот который на сервере и войти в машину, и таким образом получить доступ к информации, поскольку все располагаются в одном здании, просто на разных этажах. Вот собственно говоря и вопрос, как это реализовать? т.е. получается можно сказать подмена пароля на пограничном компе.

Мда, наверное лихо завернул но все же что думаете по этому поводу?
Заранее благодарен
_________________
Best regards

[grf]

[VeL]

Попытаюсь пояснить:

1 я хочу разделить сети между собой
2 хочу вкачестве шлюза между сетями использовать комп
3 мне нужно чтобы все пользователи через шлюз имели доступ к серверу
4 Нужен доступ из моей локалки через шлюз в локалку где располагается сервер, НО НЕ НАОБОРОТ

И самое главное, попытаюсь лучше наверное на пальцах рассказать:

Есть сервер в другой локалке к которому доступ через шлюз (назовем его СЕРВЕР_555)
Есть моя локалка, ну и соответственно мой шлюз (назовем его ШЛЮЗ_555)
И также есть клиентские машины (назовем их КЛИЕНТ111, КЛИЕНТ222, КЛИЕНТ333 и т.д.)
Для того чтобы из компа КЛИЕНТ111 получить доступ к СЕРВЕР_555 нужно чтобы на сервере СЕРВЕР_555 былы допустим учетная запись с именем "ПУПКИН" и пароль допустим у него "КАМАЗ", и на КЛИЕНТ111 должна быть учетная запись с именем "ПУПКИН" и пароль "КАМАЗ".

Проблема в том что когда админ компа СЕРВЕР_555 из другой сети будет создавать учетную запись с именем "ПУПКИН" и пароль "КАМАЗ", то естественно он ее получается будет ЗНАТЬ и сможет зайти в офис где стоит КЛИЕНТ111 и ввести логин: "ПУПКИН" и пароль: "КАМАЗ". А я нехочу чтобы другой админ тоже мог не через сеть а просто зайти в офис сесть за КЛИЕНТ111 и получить доступ к моей сети. И вот получается, если я поменяю пароль "КАМАЗ" на учетке "ПУПКИН" допустим на пароль "БЕЛАЗ" (чтобы другой админ немог сесть за КЛИЕНТ111 и войти в него. Короче нужно чтобы мой юзер садился за КЛИЕНТ111 вводил имя "ПУПКИН" пароль "БЕЛАЗ" и
через шлюз получал доступ к СЕРВЕР_555. т.е. для того чтобы попасть в СЕРВЕР_555 нужно чтобы пароль "БЕЛАЗ" при проходе через шлюз менялся на "КАМАЗ". Я незнаю как это правильно назвать, может есть другое решение, может типа у одной учетной записи чтоы было два пароля и соответственно в одной локалке для аутентификации юзер вводит один пароль в другой локалке для этой же учетки другой пароль, но только чтобы в каждой из локалок можно было войти только по одному паролю

Тоесть отгородить мою сеть и со стороны шлюза (чтобы из другой сети никто немог попасть в мою сеть) и также чтобы админ сервера с другой сети если даже зайдет в офис и сядет за клиенский комп в моей локалке немог войти в комп. Ну сами понимаете какбы логично получается что если учетные записи одинаковые то под этой учеткой можно зайти в двух сетях, ну типа если через шлюз доступ закрыт то кто мешает просто зайти в офис в нерабочее время и сесть за комп, или например если допустим пользователь просто гдето выйдет по делам и машина будет свободна и таким образом получить доступ?
_________________
Best regards

[grf]

Постараемся разобраться
С первыми 3 пунктами все ясно 3, тут собственно и говорить особо не о чем.

[VeL]

[grf]

наконецто понял , сорри за мою тормознутость

вариант:
на сервере создается одна учетка, на локальном компе другая, при попытке доступа к серваку он спрашивает логин пароль, вбиваешь их и имеешь счастье.

Варианты с AD не предлагать?
_________________
Errare humanum est

[grf]

собственно сервер терминалов не предлагать?
_________________
Errare humanum est

[grf]

Групповая политика-параметры безопасности-локальные политики-назначение прав пользователя-доступ к компьютеру по сети
тебя не спасут?

Или имеется физический доступ к компам ненужных людей?

_________________
Errare humanum est

[grf]

ну или фаерволл, чтобы 1С пускал, а все остальное нет
_________________
Errare humanum est

[VeL]

Это как бы и есть корень проблемы, да, имеется физический доступ к компам ненужных людей
_________________
Best regards

[grf]

тогда это нарисованное на стене слово не влезать!
Вынуть винт на время ни что не помешает.

Подключаешь сетевой диск. в ХР, мой компьютер-сервис-подключить сетевой диск, подключение под другим именем, вводишь логин пароль серака и имеешь счастье.

_________________
Errare humanum est

[VeL]

[Простой парень]

>> Слушай, а под win2000 и под win98 как такой же вариант организовать?

Под Win2000 точно также
_________________
Привет всем!

[Dmitry_Karpov]

Я в упор не понимаю проблемы.

Чтобы закрыть компы фирмы от вторжения из корпоративной сетИ надо поставить нечто фильтрующее между сетями. VLAN тут не годится - она либо полностью закрывает один комп от другого, либо плностью открывает. Нужен IP-FireWall (пакетный фильтр), который для TCP и UDP понимает номера портов, а для TCP ещё и октрытие сессии; дальнейшее зависит от правильности драйверов для устройств /dev/hands и /dev/mind.
А вот NAT может и не спасти, т.к. если с той стороны грамотно настроить роутинг, то пакеты свободно войдут в твою сеть. Сам по себе NAT не защищает - защиищает то, что в Интернете нет роутинга для IP-номеров типа 192.168.*.*!

Выделение фирмы в отдельную сеть, отгороженную от корпоративной сетИ роутером, требует грамоной настройки роутинга в корпоративной сетИ (хотя бы на тех машинах, куда нужен доступ). Правда, можно сделать это прозрачно с помощью ARP-махинаций. Короче, на http://DmitryKarpov.nm.ru есть статья про роутинг.

Про совпадение учётных записей я ничего не понял - что с чем должно совпадать? Допустим, можно требовать совпадения имён юзеров для локального входа в машину и для сетевого входа на сервер (хотя для NT-based систем при цеплянии share можно указывать имя юзера); но совпадение пароля никому не нужно. Впрочем, это ещё надо экспериментально проверить.

Кстати, если можно придти в нерабочее время, то можно развинтить комп, вставить свой хард с Линуксом, смонтировать диск с Windows и слить все файлы. И пароля знать не надо.
_________________
Хочу в Хогвардс преподавателем информатики.

[VeL]

[grf]

Ограничить физический доступ к компу.
Как?
сторонние разработчики позаботились. Запирают на замок. Пломбирование. разные ухщрения с замками, тросиками и пр.
Поищи в инете.
Когда я работал в одной конторе, там шеф кого-то боялся, кого не говорил , а я оттуда быстро свалил, поэтому не узнал, какая то фирма ставила на харды магнитную систему, хард вставлялся в коробку с медными катушками, если снять корпус, или просто приподнять, шевельнуть системный блок, магнитный импульс и вся инфа стерта. То же по тревожной кнопке и радиобрелку. Фирма гарантировала. Обошлось что-то около 700-1000$ за комп. Два файл сервера таким образом защищал.

_________________
Errare humanum est

[VeL]

А если использовать шифрованную файловую систему, это поможет?
_________________
Best regards

[San_dok]

Постил,как-бы не раз.
Если русский человек что-то захочет ... )))
он сделает.
Инфа может быть недоступной только в одном случае. Мобил рек
всегда носить с собой.
И сразу,не заходя никуда, домой... LOL
_________________
В тёмной комнате завсегда имеются тёмные грабли.

[VeL]

[grf]

Не так просто.

Опломбируй компы, бумага, клей и твоя подпись. нарушение пломбы - вызывай ментов

Ну и желательно так же соответствующие официальное распоряжение руководства.
_________________
Errare humanum est

[San_dok]

[Denjs]

[VeL]

[VeL]