Архив форумов ЦИТФорума

[platan]

Есть локальная одноранговая сеть, клиенты - Windows XP Home Edition. Есть сервер Windows 2000 AdvServer, на котором хранятся все документы. Юзеры при ображении к серверу вводят пароль и тогда работают с расшаренными папками. Какие способы защиты сервера от тех, кто не зная пароля хочет полазать и попортить че-то?

[and3008]

-

[Dmitry.Karpov http://prof]

1) Обеспечить физическую защиту сервера от любителей вбивать гвозди в жесткие диски и форматировать их на низком уровне.

2) Повязать юзеров, NetBIOS-имена машин, IP-номера и MAC-адреса чтобы затруднить подделку одного юзера под другого.

3) На FireWall обеспечить недоступность сервера из Internet.

4) Поставить защиту от вирусов.

5) Усановить на сервер Linux или FreeBSD, поверх запустить Самбу - будет гораздо прочнее, чем W'2000.

[platan]

Если можно, пункт 2 подробнее

[Dmitry.Karpov http://prof]

Привязку IP-номера к MAC-адресу делает ARP с ключем -s. Если машинам розданы статические IP-номера - это надо бы сделать; если IP-номера выдаются по DHCP, то их следует привязать к MAC-адресам и в DHCP, и в ARP. Впрочем, это довольно слабая защита.

Привязку юзеров к машинам (по их NetBIOS-именам) можно сделать через UserManager (я имею в виду ограничить право входа каждого юзера только теми машинами, на которых он действительно имеет право работать; привязка неоднозначна, а многовариантна).

Привязка NetBIOS-имен к IP-номерам и/или MAC-адресам в случае W'NT/2k/XP не очень нужна, т.к. привязать имена к конкретным экземплярам OS, инсталлированным на дисках, можно через включение машин в домен. Рекомендую организовать домен, если его еще нет.

PS: Это не отменяет остальные рекомендации, а дополняет их. Впрочем, некоторые из моих советов уходят в паранойю (каков вопрос, таков и ответ), а я сам у себя в сетИ никогда их не буду делать (по кр.мере, в полном объеме).

[I_one]

Ставим Nw5 или 6.
Ставим всем клиенты для Nw только с IPX.
Конфигурим любым мыслимым способом права доступа. Блокируем вход юзаря при нужном количестве неправельно введённых паролей.
Что получаем:
1. Бешенную производительнось
2. 3ащищённость.
3. Гарантию бесперебойной работы.
4. Отличный файловый сервер.

Вариант с W2k отбрасываем как класс по причине его заточенности под сервера приложений и тормознутости в априоре.
Samba - фактически тоже самое что и W2k + проблемы с блокировками.

[Dmitry.Karpov http://prof]

При оценке пригодности той или иной системы следует учитывать еще и распространенность этой системы, т.к. чем распространеннее система, тем проще найти документацию и советчиков. На первом месте идет всякие Windows; затем идут Linux и FreeBSD (у систем с открытым кодом больше дакументации и она лучше); а NW постепенно теряет рынок, так что я бы не советовал осваивать ее тому, кто раньше не имел с ней дЕла.

[and3008]

-

[platan]

Благодарен всем за советы. И опять спрашиваю...
привязал IP-MAC статически для всех машин на сервере. То же самое (arp -s 192.168.x.x xx-xx-xx-xx-xx-xx) нужно сделать на каждой машине? Есть способ быстрее?

[I_one]

Не вижу причин что бы не пойти по пройденной многими дороги. NetWare как файловый сервер показал себя отличнейшим образом. Понятное дело, что всё сейчас двигаеться в cторону клиент сервер, поэтому NetWare устарел. Но почему бы его не использовать под конкретное применение теб более форумов полно да и книжки на горбушке есть.

[and3008]

-

[Dmitry.Karpov http://prof]

Если в сетИ есть серверы с данными, к которым крайне нежелательно допустить посторонних, то на всех этих серверах желательно прописать соответсвия IP-MAC. Хотя, как уже говорилось, этот метод защиты создаст больше проблем для админа, чем для взломщика (трудоемкость отслеживания MAC-адресов велика, а заменить MAC не очень сложно).

На некоторых операйионках есть "публикация" ARP-записей, когда сервер отвечает на ARP-запрос не только п поводу своих IP-номеров, но и чужих; во FreeBSD это делают стандартный ARP-модуль в стеке протоколов, а также choparp (позволяет прозрачно вынести часть сетИ за роутер) и pppd (последний просто создает и уничтожает публикуемую ARP-запись в системе). Разница в том, что choparp может работать при нескольких Ethernet-интерфейсах но роутере, когда в разные сегменты сообщаются разные сведения о соотвествии IP-MAC; а публикуемая ARP-запись не только публикуется, но и работает как жестко прописанная ARP-запись на самОм роутере (и потому нормально работает при PPP-соединении). Фокус в том, что опубликованная ARP-запись войдет в конфликт с любой машиной, которая захочет захватить чужой IP-номер штатными средствами.

А вообще-то, задача решается в зависимости от уровня отвественности законных юзеров (именно на уровне юзеров и надо проводить разграничение доступа) и от степени секретности данных.