Как разделить доступ в локальной сети

[sanek-ham.livejournal.com]

Здравствуйте, подскажите мне, что я делаю не так и как мне помочь.
Есть элементарная задача. Она должна встречаться у каждого второго на постсоветских предприятиях. Но решения в интернете я не нахожу. Все решения сводятся по умолчанию к аутенификациям по логинам/пользователям и паролям. Ниже я объясню, почему это меня категорически не устраивает.
Есть локальная сеть предприятия. Обычная. Без всяких премудростей типа доменов и прочего. Все сидят в рабочих группах по отделам.
Есть наш отдел. Есть наши файлы с которыми мы все вместе работаем. Они располагаются на одном из наших компьютеров, который стоит у нас в отделе. Эдакий внутренний сервак-файлохранилище.
Задача: Разрешить доступ к расшареным папкам этого сервака только с компьютеров отдела. Необходимая степень безопасности -- средняя.

Так вот, тут-то мне со всех сторон и предлагается эта аутенификация. Меня она не устраивает, потому, что люди у нас в отделе в среднем и предпенсионном возрасте. Они не способны письмо в ворде написать одинаковым шрифтом и не понаставив двойных пробелов. Или нарисовать прямую линию в автокаде не разбив ее на фрагменты или сопрячь нормально две линии без разрыва. Так вот, эти люди будут разбираться, что такое и зачем нужен логин/пароль несколько лет. Все эти годы бумажки с этими логинами и паролями будут висеть прямо на мониторах. Любой смежник сможет их видеть. Бороться с этим будет невозможно. На замечания будет удивление в глазах и фраза "а ты нам ничего не говорил"... Объяснишь еще раз, но бумажки все равно висеть будут! Так вот, даже если я и победю эти бумажки, то для обеспечения хотя бы средней защищенности, раз в пару месяцев пароли надо бы менять. Менять потому, что они сами расскажут свои логины и пароли смежникам. Просто потому, что так проще показать какой-нибудь нужным им файл, который у нас на сервере, чем скопировать его по сети. При чем, об этом мне никто и ничего не скажет. И если поймаешь за руку, мы увидим удивленные глаза и фразу «Но ведь так проще!». Ну а смена паролей приведет опять к бумажкам на мониторах.
И я уверен, что это не единственная проблема будет. Поэтому: Никакой аутенификации. Ни за что... Никогда....

Лирическое отступление: Не понимаю, почему нельзя с помощью программных средств сделать элементарное: например я ставлю какую-нибудь программу на сервак и пользователям. САМ ввожу в нее какие-то цифры, типа пароля. Потом когда пользователь коннектится к серваку, сервак проверяет наличие запуска этой проги и правильность введенных в нее цифр и допускает к себе.
Или просто фильтр по мак-адресу....

В итоге я решаю это так:
1. Поставил Сервер 2003.
2. В "маршрутизации и удаленном доступе" в разделе "Подключение по локальной сети" включил "Фильтры входа" и "фильтры выхода" и прописал там только нужные IP с правилом "отбрасывать все пакеты кроме как с указанных IP"
3. Для повышения безопасности с низкой (IP подменит любой школьник) на подобие средней, в автозагрузку прописал небольшой bat с привязкой IP к MAC-адресам, типа:

echo off
arp.exe -s 198.200.7.1 6a-c0-43-13-96-1a
rem я
arp.exe -s 198.200.7.2 14-00-82-f1-13-e7
rem Петр петрович

и т.д.

Да, я знаю, что MAC меняется. Но меняется он не так легко как IP. В общем я оцениваю уровень обеспеченной безопасности удовлетворяющим соотношению интеллекта сотрудников по смене MAC-а и секретности информации на сервере.

Если это совсем коряво, то имейте ввиду, я нисколько не программист, я инженер и ничего в этих ваших компьютерах не понимаю. И решил задачу как смог. И актуальность задачи думаю высока для многих.

Ну и вот кто сможет предложить более простое и элегантное решение этой задачи?

Comments

[apashenko.livejournal.com]

Но меняется он не так легко как IP.
В точности так же легко.

Вернитесь к аутентификации. Каждому в автозагрузку батник, цепляющий сетевой диск. В батнике — логин и пароль. Вуаля.

[kratzky.livejournal.com]

батник - простое и красивое решение.
есть еще сложное решение для тех кто не запоминает пароли - аутентификация на основе сертификатов, но... уж больно много мороки.

[alex-djk1.livejournal.com]

Плюсую батники. И правильно, и относительно просто.

[sanek-ham.livejournal.com]

А это мысль! Спасибо.

[karpion.livejournal.com]

Да можно и сохранить пароль к сетевому ресурсу, не проблема.

А кража батника возможна?

[sanek-ham.livejournal.com]

Нет, доступ к компам только у нас.
Но есть нюанс. Если комп сломается (ну например видеокарта сломалась), я его отдаю в отдел где их ремонтируют. По идее они его отремонтировав и подключив к сетке получат доступ к серверу. Раньше я в таких случаях на сервере просто удалял на время этот IP из фильтров.
Тут придется блокировать учетную запись. Просто это значит, что каждому пользователю придется давать уникальный логин/пасс, а я уже думал всем поставить один и тот же.

[karpion.livejournal.com]

К отделу ремонта нет доверия? Это значит, что они могут подасадить вирус, который вытащит все файлы и передаст им? Ну-ну...

Тогда хранить батник где-то ещё. Например на флешке.

Или вывести ремонтников в отдельную подсеть, на отдельную карту сервера. Чтобы они не могли использовать доверенный IP-адрес.

Кстати. ремонтники могут взять себе любой IP-адрес.

PS: Доменная система предполагает возможность выдачи разрешений не только юзерам, но и компам.

[sanek-ham.livejournal.com]

не... не... понятно что ремонтники могут сунуть червя. Но они таким заниматься не будут. Но вот, чтобы они попадали на наш сервер вот так просто подключив к сетке комп, не хочется.
А то, что батник у них побывал, не беда... Просто после ремонта переписать батник на новый пароль и в серваке пароль подправить.

[karpion.livejournal.com]

Если вывести ремонтников в отдельную подсеть и правильно настроить фильтрацию по IP-адресам клиентов, то ремонтники не смогут воспользоваться чужим компом.

[pe4enbk.livejournal.com]

Оооо, вы прям как я. А главное, самокритика присутствует - самостоятельно разобраться с WinServ это таки нетривиальная задача для 99,99% людей.
Решение есть просто и элегантное, НО при усолвии, что компьютеры людей пароляться(то есть для входа в систему нужно ввести пароль)
Создаем на сервере пользователя с именем, идентичным логину и таким же паролем на компьютере человека, даем права на папку.
Все, авторизация автоматом. По идее, требует проверки :)
Степень защищенности низкая, но при оставлении привязки к IP нормально.
Можно еще делать через сертификаты Windows, это повысит безопасность до высокой, но эту тему я не рыл, гугл в помощь. Советую кстати перейти на 2008 - как по мне так он проще для дилетантов.

[aterentiev.livejournal.com]

>Создаем на сервере пользователя с именем, идентичным логину и таким же паролем на компьютере человека, даем права на папку.
>Все, авторизация автоматом. По идее, требует проверки :)

да, это замечательно работает
немного станет геморройно при смене паролей, но в принципе не смертельно при малом количестве юзеров

[sanek-ham.livejournal.com]

не пойдет. Пользователю при загрузке надо логиниться. А это противопоказано по причинам указанным в посте.

[pe4enbk.livejournal.com]

Ну собственно я и написал, это при условии, что юзеры приучены логиниться. Ну а без этого конечно бессмысленно, тогда батник - лучшее и простейшее решение. Я бы ради интереса покопал сертификаты, что из академического интереса :)
Кстати, если у вас семерки, то есть решение проще батников! Заводим юзеров, по штуке на комп, подходим к каждому компу, панель управления - учетные записи - диспетчер учетныых записей, и там добавляем адрес сервера, логин и пароль юзера на сервер для этого компа. Суть та же, что с батниками, но как по мне так элегентней. Возможно и в XP есть, даже скорее всего, но так навскидку не скажу.

[eperniyteatr.livejournal.com]

Выполните в CMD команду "control userpasswords2" и уберите галочку "Требовать ввод имени пользователя и пароля", затем введите имя и пароль пользователя, под которым автоматически будет логиниться Винда при загрузке.

[alex-djk1.livejournal.com]

Если хочется отделится от сети - выставьте ип/маску на сервере такой, чтобы он не попадал к остальным, а только к компутерам
внутри отдела.
Типо не 192.168.0.х/24, а 192.168.1.х/23. Так будет видно внутри комнаты сервер, и остальные ресурсы снаружи. Но защита тоже, в общем-то, от дурака.
Если сильно хочется создайте свой блекджек отдельную сетку за роутером. Наружу будет все видно, а вовнутрь - нет.
Но самый простой и правильный путь - аутентификация, как вам в первом коменте ответили.

[sanek-ham.livejournal.com]

При этом, боюсь наших пользователей не будет видно из общей сети. А это нужно.

[alex-djk1.livejournal.com]

Не туда комментарий написал про маски.
Пользователи снаружи увидят ваши компы в 192.168.0.х/24, но не увидят 192.168.1.х/23. А ваши компы увидят и пользователей и сервер.

[aterentiev.livejournal.com]

осторожнее с разными масками, перестанет работать broadcast, хз что поломается

[alex-djk1.livejournal.com]

Да не думаю, что что-нить этакое сломается. днс у них наверное на роутере, еще что-то? випресс чат может того. Он через броадкасты вроде работает.

[smartgrinder.livejournal.com]

Поднимаете самбу, которая смотрит в VPN, например. Поднять VPN с самоподписанными сертификатами десятиминутное дело же.

[dims12.livejournal.com]

Речь о Windows?

Я думаю, всё-таки надо сделать домен (виндузовый) -- он для этого и придуман.

Домен -- это авторизация на уровне компьютеров -- членов домена. Список пользователей и их пароли при этом хранятся на сервере, а не на компьютерах. Все люди у Вас будут входить без пароля или с автоматическим паролем, но их компьютеры будут членами домена, то есть, будут авторизованными (как компьютеры). На сервере Вы скажете, что доступ есть только у членов домена. Злоумышленник не сможет самовольно включить свой компьютер в домен, так как это может сделать только администратор домена (Вы), а у него будет сильный пароль.

Естественно, если злоумышленник физически сядет за компьютер в отделе, то он сможет залезть на сервер и скачать файлы на флешку.

[sanek-ham.livejournal.com]

1. Как реализуется автоматический пароль?
2. А увидят ли наши пользователи остальную сеть предприятия? И будет ли видеть остальная сеть предприятия наших пользователей?

[alex-djk1.livejournal.com]

Автоматический пароль:
echo password | net use x: \\server\share /user:server\username
Вписываете батник в авторан и вуаля, каждый раз при старте у вас появляется диск Х. Без пароля вы его не увидите.

[aterentiev.livejournal.com]

тильду в конце пароля не забудьте

[karpion.livejournal.com]

net use x: \\server\share /user:server\username password
работает не хуже.

[aterentiev.livejournal.com]

думаю, что под "автоматическим паролем" можно еще понять убранную галку "юзер должен ввести пароль при входе в систему" в control userpasswords2

[dims12.livejournal.com]

Не исключено, что без такой галки пользователя не будет пускать сеть Windows. Точно не уверен, всё могло измениться с тех пор, как я тут копал. Нужно что бы пользователь обязательно авторизовался, пусть и автоматически.

[dims12.livejournal.com]

1. Можно настроить Windows чтобы она сама вводила имя и пароль. Кстати, возможно, Вам подойдёт одно лишь это средство. В интернете можно найти инструкции, как это делать. Нужно внести изменения в реестр или настроить с помощью специальных программ. Ищите по словам "автоматический ввод пароля в домен Windows" или просто "автоматический ввод пароля в Windows".

2. Ваши пользователи увидят сеть предприятия и наоборот. Но возможны нюансы, поэтому конкретизируйте, что значит "видеть".

[sanek-ham.livejournal.com]

1. Да, автоматическая авторизация на загрузке думаю решит все мои проблемы. Спасибо. Покопаюсь в этом направлении.
2. Хотелось бы, чтобы не пострадало ничего. Но главное: чаты должны продолжить работать (comfort+). Интернет (они авторизируются в вебформе kerio win route firewall на сервере предприятия для доступа к инету). Ну и шары все должны быть взаимнодоступны.

[dims12.livejournal.com]

Веб не пострадает в любом случае. Доступ к шарам может пострадать, если система сочтёт, что пользователь не авторизован. Но я думаю, если он будет входить через автоматический ввод пароля, то будет норм.

[grizli-bear.livejournal.com]

лучше всего сделать домен

[karpion.livejournal.com]

Лучший коммент.
И ограничить юзеров по типу "такой юзер может входить только с такого компа".

[shkslj.livejournal.com]

Зачем менять пароли паоу раз в месяц? Кто сказал, что это способствует защищенности. В теории да пароль не подглядят, но у меня свое раб место и гикто не подглчдывает пароль, а вот пароли (и шоп последние три неповторялись) у большинства пользователей будут записаны на бумажках, в лючшем случае под подставкой к монитору.

[sanek-ham.livejournal.com]

У нас все хуже. Будут пароли висеть прямо на мониторах. До сих пор срываю логг/пассы от отделовских e-mail-ов. Ничего не помогает. Все равно вывешивают.

[shkslj.livejournal.com]

Незаморачивайтесь. Логин фамилия и инициалы, пароль день месяц год рождения. В вашем пансионате работать будет. А начальнику безопасности пароль из 18 букво цифр знаков и менять раз в неделю, пусть чувствует себя защищенным :)

[zhmroman.livejournal.com]

Для того, чтобы в расшаренную папку можно было заходить только с определенных компьютеров в сети, нужно на компьютере, где эта папка находится, завести пользователей с таким же логином/паролем, как на тех компах, с которых нужно иметь доступ. Затем в настройках безопасности этой папки разрешить доступ только нужным пользователям. Элементарно или я чего-то не понял?

[sanek-ham.livejournal.com]

я ж писал, нужно решение без логинов и паролей. Или, как выше подсказали, чтобы логины и пароли вводились автоматически. Главное, чтобы не впутывать в аутенификацию самих пользователей. У них комп должен просто загружаться ничего не спрашивая.

[zhmroman.livejournal.com]

control userpasswords2 - снять галочку "требовать ввод имени пользователя и пароля", и пользователь даже не узнает, что у него есть пароль.
Вообще странно, разобравшись с маршрутизацией и удаленным доступом, не разобраться с простыми штатными средствами разграничения доступа.

[sanek-ham.livejournal.com]

да я маршрутизацию то и не использую для собственно маршрутизации (как я понял). Я там просто нашел фильтры входа и выхода и понял что ими можно фильтровать по IP. Не сказал бы, что я разобрался с собственно маршрутизацией. Похоже просто тонким инструментом работаю как кувалдой :)