Архив форумов ЦИТФорума

[DSN]

Есть ли стандартное средство для шифрование внутреннего трафика всети, с использованием протокола TCP/IP ? только не VPN. что то вроде надстройки к протоколу.

[ALEX_SE]

Хм.
Это смотря что надо делать. На каком уровне шифровать. Вы же говорите про надстройку к протоколу, что я понимаю как протокол более высшего уровня. Многие протоколы шифруют данные, тот же SSH, SSL, и др. Операционка многие данные шифрует. Более того, многие устройства (например многие устройства xDSL) это делают. Что конкретно шифровать надо?

[DSN]

например хотелось бы зашифровать интернет трафик между шлюзом и др компами в сетке, ведь привязка к IP и MAC не спасет, да и не удобно, например нужно поработать с др компа в инете. А просто авторизация тоже не решит проблемы, всегда можно или пароль в сетке отловить или сесть на чужой трафик после авторизации. А шифрование могло бы решить такую проблему. Т.е. нужно шифрование как способ авторизации. Интересно что то подобное есть кроме VPN ?
Например драйвер влезающий между драйвером адаптера и драйвером протоколов верхнего уровня.

[ALEX_SE]

А что это даст? Разве это спасет от подмены IP/MAC адресов или подсмотра пароля?

[DSN]

адресов. А если авторизацию в сети и подсчет трафика и его выделение связать между собой, то это вообще было бы отлично. Почитал про VPN, до конца так и не понял, чтоб инет раздавался через него, надо "внешние" IP компам раздавать ?

[Dmitry.Karpov http://prof]

-

[Вася]

откуда у администраторов появляются признаки паранои? Могу только предположить: из-за "осознания собственного ВЕЛИЧИЯ".

[ALEX_SE]

Ничуть! Это появляется из-за нежелания администрации принимать меры к зарвавшимся всезнающим юзерам которые творят что хотят... А спрос идет с админа. Так же очень часто такое делается у интернет-провайдеров, потому как юзеры как я уже говорил некоторые зарвались хуже некуда... И не стесняясь меняют IP/MAC для работы за чужой счет например...

[Вася]

.. MAC менять. Да, знаете ли, если бы всяк человек, работающий за компом, мог бы это дело провернуть, то сколь бы легче было. Почему? Да потому, что уровень уже не тот и разговоры становятся осмысленными. А тут же приходится всё перегонять в Word, потому что привык человек к Word-у и нифига кроме Word-а не признаёт, и не хочет. И он, как я считаю, прав. Пусть работает с Word-ом, а моя задача, как начинающего "юзера" (по вашему разумению) помочь ему, а не запрещать, если вдруг он решил познакомиться ещё и с Exploler-ом.
А если бы он ещё научился адресацию менять, то я бы точно знал, что если он и сделает какую-нибудь неприятность, то эта неприятность будет понятной, разумной то есть.
Но, похоже, у Вас другие проблемы, мне вовсе неблизкие. Вам бы всё запретить, да лучше всего так, чтобы никто кроме вас же самих к компу подойти не смог. Это мне не нравится.

[ALEX_SE]

Фигня!
Вы сами только что ответили на свой вопрос. Цитирую "не признает и НЕ ХОЧЕТ". IMHO если чел не хочет то нефиг ему и помогать... Только трата времени. То что юзер решил познакомиться с експлорером - ничего страшного. Разговор о другом. Даже если он и научиться менять адресацию, что с того. Шлавное в этом деле - цель смены адресации! Если юзер идет вопреки общепринятой (и пусть даже установленной админом) политике - по башке таковому юзеру! И ничего тут плохого нет. Везде должен быть порядок... Если Вы привыкли работать в бардаке, в своей конторке где ценных данных 2 байта, не значит что все должны идти по Вашему пути! Благодаря Вашим советам люди потом могут очень здорово обжечься! Касаемо компа - Дома Вы с ним делайте что хотите. Но не на работе! Вам платят деньги за то, чтобы Вы делали свою работу! С использованием ресурсов фирмы - то есть компов. И фирма вправе устанавливать такие правила работы с ними, каковые она сама пожелает. Так что нефиг спорить... Вы не правы. IMHO права доступа должны быть типа "Запрещено все что не разрешено специально". Но в тоже время юзеры должны иметь возможность делать свою работу, не более того. И это нормально. И опять же хочу повторить - если 2-3 зарвавшихся юзера считают себя вправе спорить с интересами фирмы - они как правило остаются без работы. И это тоже нормально! Каждый должен делать свою работу! Так что думаю что разговор с Вами - пустая болтовня, Вы IMHO из тех "кому инет за порнуху закрыли" и теперь умничаете...

[Вася]

... Вы можете не отвечать, конечно, но не мог ли бы рассказать в какой фирме работают столь добропорядочные управители, что не проглядывают фривольно одетых (или венероподобноурождённых) дам хоть изредка?
Представьте себе, что я сейчас, разрывая на себе майку и, брызгая слюной, стучу кулаком себе в грудь и кричу: "Не рассказывайте мне, что Вы поститесь!"

[ALEX_SE]

Хм. Опять Вы всё наоборот говорите...
Насчет "хоть изредка" - да пускай глядят... это зависит от начальника подразделения.
А вот ПОСТОЯННОЕ занятие чем не попадя, забивание всего канала всяким хламом, попытки внедрить в фирму вирусы (в том числе и не специально, например через закачанную с хакерского сайта подобную прогу), переломать пароли кого не попадя и т.д. и т.п. - это тоже на Ваш взгляд нормально? Если да то жаль мне Вашего начальника...

[DSN]

есть программы позволяющие лазить в инет от чужого IP в сетке, причем ничего в форточках для этого менять не надо. А когда трафик на фирме лимитирован некоторым, то совсем бы не хотелось чтоб он во время раб. дня куда-то пропал.

[ALEX_SE]

Совершенно верно.
Такие программы есть, и не одна.
И мои как-то пытались ими пользоваться...
Правда оставались без инета когда я на мылу от arpwatch получать new station и flip flop ) Они на работу ходят не для того чтобы компы настраивать... им платят за другое.

Более того, в фирмах часто бывает так, что инет тебе предоставляется всегда, но вот если налазал сверх лимита - плати из своего кармана! И вот в этом случае с подобными горе-хакерами приходится бороться. Конечно, отследить их проблем не составляет, но этим приходится заниматься, а это время...

[Вася]

С чего бы это мне его жалеть? Он - мужик и пусть его какая-нибудь дама жалеет.
Только я недопонимаю с чего это вдруг Вы себя в начальники над людьми ставите? Чем Вы то лучше всех тех, кто пользуется сетью? Если Вы знаете как не надо делать - разъясняйте, показывайте, убеждайте, демонстрируйте. Но, я так понял, Вы этого делать не хотите, а ждёте пока кто-нибудь по незнанию глупость совершит и этой его ошибкой его и "прибьёте", "стуканёте" руководству, "на деньги поставите" (уж извините за жаргон, но так короче).
Вы подойдите ко мне ("юзеру" неразумному) и объясните подробненько, только без этого Вашего "свысока". Но Вам лень и проще навыдумывать тьму оправданий своему бездействию по предупреждению. А чтобы показать начальнику, что Вы отличный труженник - Вы будете сидеть тихо и поджидать пока "горе хакер" не нарвётся и наставите массу ловушек к тому в добавок. Да, он меньше в этом деле кумекает, но он не менее Вас, уважаемый, человек, а Вы на него капканы ставите. Или Вы мне ещё тут заявите, что любой кроме Вас - это не то, чтобы никто, но ещё и нечто?

[ALEX_SE]

-

[Dmitry.Karpov http://prof]

Паранойя - это что-то вроде мании преследования. Когда админ вынужден разбираться с кучей проблем, часть которых создается техникой, часть - его собственными ошибками, а часть - злонамеренными юзерами, тут самое место для паранойи; причем третий пункт - самый питательный для паранойи.

Есть фирма, у нее есть владелец, который и воплощает в себе интересы фирмы.
Есть дирекция фирмы, назначенная ее владельцем. Она воплощает волю фирмы. Она нанимвет работников и определяет, кому чем заниматься; кому что можно, а что нельзя.

Есть юзеры (сотрудники фирмы), которые заняты своей работой, и которым лень изучать компьютер (должен сказать, что компьютер - действительно неудобная вещь). К тому же некоторые юзеры пытаются разными способами обворовать фирму, в т.ч. и путем нецелевого использования далеко небесплатного трафика и нецелевого расходования оплаченного работодателем рабочего времени.

Есть сисадмин, которому поручено проводить политику фирмы в области использования компьютеров, локальной сетИ и Internet-доступа. Сисадмины (как и остальные работники) бывают хорошие и плохие...

Если руководство фирмы (владелец, дирекция) не устанавливают жесткие правила использования компьютерной и сетевой техники, то неизбежен конфликт между сисадином и юзерами. в этом случае нужно апелировать к руководству, а не устраивать междуусобные разборки.

[Вася]

...напоминает казарму. Ну, дух такой витает, что ли. Ать-два, ать-два... Вот вам и заявления типа "спрашивай как положено!", определение "кому и чем заниматься", деление людей на "хороших и плохих".
Это очень любопытно.
Я же полностью согласен, что начальник должен начальствовать, а иначе никакой он не начальник. Клерк должен... Вот, знаете ли, я что-то не очень понимаю: что должен клерк? Почему одного клерка не "построили", к "ногтю не прижали"? А может быть не одного? Про одного известно точно - самовольничал подлец и вместо того, чтобы заниматься работой чёрт знает что себе навыдумывал, а потом ещё и основы все чуть ли не сбил. Это же не есть правильно! Господа администраторы! С этим делом надо что-то делать срочно! Не приведи Господи ещё один "выскочит"!
Когда администратор начинает "судиться-рядиться" с пользователем, то есть обращаться к руководству организации, учреждения, конторы - грош цена тому администратору и гнать его надо в шею.

[ALEX_SE]

Хм.
Когда администратор начинает "судиться-рядиться" с пользователем, то есть обращаться к руководству организации, учреждения, конторы - грош цена тому администратору и гнать его надо в шею. - А что тут плохого??? Что по Вашему должен делать администратор!? Сидеть и молчать понимая что он обслуживает юзера??? И не обращать внимание на его выходки? Ерунда!
IMHO выражение "администратор обслуживает юзера" в корне неверное! Администратор прежде всего разрабатывает/внедряет и самое главное поддерживает корпоративную политику в области обработки информации! Теми средствами, которыми сам считает нужным, и которые установлены руководством, без ущерба другим. В процессе поддержки корпоративной политики периодически приходится отлаживать работу всех её частей, одна из которых пользователь. Тоесть помогать ему. Но это не значит что администратор только и нужен чтобы его обслуживать.

Так что все Ваши выражения IMHO касаются одного единственного частного случая, и флейм этот бесполезен. Больше чем уверен что не я ни кто другой на этом форуме не изменит своих действий по поддержанию корпоративной политики, в том числе и политике безопасности, начитавшись Ваших придирок...

Если сказать грубее - то обрисую общий случай. Я отвечаю за информацию и поддержку установленных правил её обработки, и мне пофиг что юзеру что-то не нравится. Он будет работать В ЧАСТИ РАБОТЫ С СЕТЬЮ И КОМПАМИ только так как это установлено в нормативных документах фирмы, и никак иначе, нравится ему это или нет. И это нормально!

ИМХО у юзера должен быть такой набор прав, который позволит ему делать СВОЮ работу, не более того. И это тоже нормально. Абсолютно тоже самое, каждый в своей обласи, делают люди других профессий, я об этом уже говорил... Но Вы почему-то не считаете это ненормальным.

[Вася]

Вы ведь больше знаете о том, что любому пользователю надо, чем он об этом знает сам. И Вам, как Вы справедливо подметили, должно быть всё равно, если кому-то что-то не нравится, неудобно, бесполезно. Ваша контора ведёт верную политику, где одна из частей, которую надо отлаживать - это пользователь, как Вы справедливо отметили.
Вы не в зоопарке случайно работаете? Или на конвейере, когда вокруг станки и ни одной души?
Вот такие конторки, которая Ваша, меня очень сильно интересуют. Там обитают очень мне нужные люди (или уже не люди, не знаю). У Вас там в сортирах правила пользования унитазами не развешиваются случайно?
А можно узнать название Вашего предприятия, где обитают такие администраторы?

[ALEX_SE]

Не утрируйте.
Подобные правила существуют в ЛЮБОЙ конторе где руководство хочет получить гарантию работоспособности IT, и сохранности/безопасности имеющейся информации...

Думаю со мной многие согласяться...

[Вася]

... в случае здорового и доброжелательного отношения друг к другу внутри коллектива. А все эти заморочки с шифрованием трафика... Нет, это любопытно, конечно, из чисто теоритических соображений. Но не проще ли причину сыскать такого углубленного применения IT технологий в масштабе какой-то отдельно взятой гражданской фирмы, да решить проблему возникновения?

[ALEX_SE]

А что делать с доброжелателями из других контор, Вы подумали? Что делать с троянцами, сниферами?

[Вася]

Вот Вы говорите, что пользователь вопросы не как положено задаёт. Почему? Ну, просматривая свои собственные вопросы, доложу Вам, что это происходит потому, что я мешаю всё в кучу и хочу на короткий вопрос получить как можно более подробный и точный ответ. Собственно, теперь я не очень-то вижу разницу между собой и Вами, после того, как Вам удалось задать вопрос удивительно похожий на вопрос от меня.
Теперь мне надо долго думать и попытаться понять: а кто же Вы есть такой на самом деле, если можете так же как и я? Знаете, я не буду долго думать, я решу для себя этот вопрос просто. Если я глупый и неразумный "юзер", то Вы точно такой же.
Что Вам сказать? Если в каждом из коллективов администраторы не будут глядеть на пользователя, словно на вошь, которую необходимо удавить. Если в каждом коллективе более или менее того будет нормальная обстановка, а не открытие сезона охоты на зайцев. Если администратор в каждом коллективе уразумеет, что только способствует возможности возникновения конфликта. Не пользователь, пользователь ни черта не разбирается ещё в этом всём. Так вот, когда администратор будет вылизывать подошвы моих (пользовательских) башмаков, то "доброжелатели" из других контор будут не актуальны. Администратор будет заниматься именно своим делом и не отвлекаться от них особенно. Опасна, как правило, причина не приходящая - это будет потом, опасна причина существующая.

[ALEX_SE]

-

[Dmitry.Karpov http://prof]

Казарма - это место, куда человека помещают принудительно (иногда на это соглашаются не очень умные люди и только за такие большие деньги, какие им больше нигде не заработать). А на работе человек обязан работать, ибо подписался (сам, добровольно) работать; и никто ему не позволит злоупотреблять выделенными для работы материальными ценностями. Ведь никто не даст клерку слить бензин из фирменной машины или взять ее на вечер покататься с подружкой - так почему же фирма должна давать ему бесплатный доступ в Internet по делам, не относящимся к работе? Сисадмин в этом случае ведет себя как любое лицо, которому фирма доверила принадлежащие ей материальные ценности и платит зарплату за их сохранность.

Хочу заметить, что администратора нанимает/увольняет руководство фирмы, и оно же дает ему мат.ценности для построения корпоративной информационной системы, а также назначает и платит ему зарплату. В этой ситуации админ должен обслуживать фирму, а не пользователей (сотрудников), которые имеют свои интересы, не всегда совпадаюие с потребностями фирмы...

Почему я беру на себя смелость учить юзеров, как задавать вопросы? Да потому, что я активно отвечаю на эти вопросы, и я хочу помочь вопрошающим; и я стараюсь научить людей более эффективно использовать мою помощь, которую я предоставляю бесплатно.

PS: Василий, pls, вместо того, чтобы тратить нервы и время на флейм, ппробуй понять, как работает экономика и кто кому чего должен - не в силу придуманных другими построений типа "и все должны мы неудержимо идти в последниий смертный бой" без указания, кому именно должны, а в силу подписанных им самим обязательств. И тогда все будет просто как математическая теорема, которую можно неопровержимо доказать.

[4u3u]

У меня только одно замечание.

Вы, господа, в своих рассуждениях взвалили всю махину задач отдела IT на одного мифического "администратора". Но это в корне неверно. Потому что задачи эти требуют сильно разнящейся подготовки. Возьмем две роли: поддержка пользователей (другими словами эникейщик) и, например, администратор IDS. Первый должен (кроме само собой разумеющегося тех. уровня) разговаривать с юзерами на их языке, холить их и лелеять, быть для них лучшим другом. Второй же - параноик по должности. Для него юзеры - всего лишь потенциальные дыры в системе безопасности.
А вот если его заставляют выполнять еще и обязанности первого - тут и возникают трения.

Мораль понятна: скупой (работодатель) платит дважды.

[ALEX_SE]

Думаю ты с одной стороны прав.
Но это себе часто могут позволить крупные конторы, в мелких, или где IT только развивается, обычно всё это взваливают на одного-двух человек.