Как разделить доступ в локальной сети
Apr. 24th, 2013 04:26 pm![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
sanek-ham.livejournal.com posting in ![[community profile]](https://www.dreamwidth.org/img/silk/identity/community.png){kind=small}
useful_faqЗдравствуйте, подскажите мне, что я делаю не так и как мне помочь.
Есть элементарная задача. Она должна встречаться у каждого второго на постсоветских предприятиях. Но решения в интернете я не нахожу. Все решения сводятся по умолчанию к аутенификациям по логинам/пользователям и паролям. Ниже я объясню, почему это меня категорически не устраивает.
Есть локальная сеть предприятия. Обычная. Без всяких премудростей типа доменов и прочего. Все сидят в рабочих группах по отделам.
Есть наш отдел. Есть наши файлы с которыми мы все вместе работаем. Они располагаются на одном из наших компьютеров, который стоит у нас в отделе. Эдакий внутренний сервак-файлохранилище.
Задача: Разрешить доступ к расшареным папкам этого сервака только с компьютеров отдела. Необходимая степень безопасности -- средняя.
Так вот, тут-то мне со всех сторон и предлагается эта аутенификация. Меня она не устраивает, потому, что люди у нас в отделе в среднем и предпенсионном возрасте. Они не способны письмо в ворде написать одинаковым шрифтом и не понаставив двойных пробелов. Или нарисовать прямую линию в автокаде не разбив ее на фрагменты или сопрячь нормально две линии без разрыва. Так вот, эти люди будут разбираться, что такое и зачем нужен логин/пароль несколько лет. Все эти годы бумажки с этими логинами и паролями будут висеть прямо на мониторах. Любой смежник сможет их видеть. Бороться с этим будет невозможно. На замечания будет удивление в глазах и фраза "а ты нам ничего не говорил"... Объяснишь еще раз, но бумажки все равно висеть будут! Так вот, даже если я и победю эти бумажки, то для обеспечения хотя бы средней защищенности, раз в пару месяцев пароли надо бы менять. Менять потому, что они сами расскажут свои логины и пароли смежникам. Просто потому, что так проще показать какой-нибудь нужным им файл, который у нас на сервере, чем скопировать его по сети. При чем, об этом мне никто и ничего не скажет. И если поймаешь за руку, мы увидим удивленные глаза и фразу «Но ведь так проще!». Ну а смена паролей приведет опять к бумажкам на мониторах.
И я уверен, что это не единственная проблема будет. Поэтому: Никакой аутенификации. Ни за что... Никогда....
Лирическое отступление: Не понимаю, почему нельзя с помощью программных средств сделать элементарное: например я ставлю какую-нибудь программу на сервак и пользователям. САМ ввожу в нее какие-то цифры, типа пароля. Потом когда пользователь коннектится к серваку, сервак проверяет наличие запуска этой проги и правильность введенных в нее цифр и допускает к себе.
Или просто фильтр по мак-адресу....
В итоге я решаю это так:
1. Поставил Сервер 2003.
2. В "маршрутизации и удаленном доступе" в разделе "Подключение по локальной сети" включил "Фильтры входа" и "фильтры выхода" и прописал там только нужные IP с правилом "отбрасывать все пакеты кроме как с указанных IP"
3. Для повышения безопасности с низкой (IP подменит любой школьник) на подобие средней, в автозагрузку прописал небольшой bat с привязкой IP к MAC-адресам, типа:
echo off
arp.exe -s 198.200.7.1 6a-c0-43-13-96-1a
rem я
arp.exe -s 198.200.7.2 14-00-82-f1-13-e7
rem Петр петрович
и т.д.
Да, я знаю, что MAC меняется. Но меняется он не так легко как IP. В общем я оцениваю уровень обеспеченной безопасности удовлетворяющим соотношению интеллекта сотрудников по смене MAC-а и секретности информации на сервере.
Если это совсем коряво, то имейте ввиду, я нисколько не программист, я инженер и ничего в этих ваших компьютерах не понимаю. И решил задачу как смог. И актуальность задачи думаю высока для многих.
Ну и вот кто сможет предложить более простое и элегантное решение этой задачи?
Есть элементарная задача. Она должна встречаться у каждого второго на постсоветских предприятиях. Но решения в интернете я не нахожу. Все решения сводятся по умолчанию к аутенификациям по логинам/пользователям и паролям. Ниже я объясню, почему это меня категорически не устраивает.
Есть локальная сеть предприятия. Обычная. Без всяких премудростей типа доменов и прочего. Все сидят в рабочих группах по отделам.
Есть наш отдел. Есть наши файлы с которыми мы все вместе работаем. Они располагаются на одном из наших компьютеров, который стоит у нас в отделе. Эдакий внутренний сервак-файлохранилище.
Задача: Разрешить доступ к расшареным папкам этого сервака только с компьютеров отдела. Необходимая степень безопасности -- средняя.
Так вот, тут-то мне со всех сторон и предлагается эта аутенификация. Меня она не устраивает, потому, что люди у нас в отделе в среднем и предпенсионном возрасте. Они не способны письмо в ворде написать одинаковым шрифтом и не понаставив двойных пробелов. Или нарисовать прямую линию в автокаде не разбив ее на фрагменты или сопрячь нормально две линии без разрыва. Так вот, эти люди будут разбираться, что такое и зачем нужен логин/пароль несколько лет. Все эти годы бумажки с этими логинами и паролями будут висеть прямо на мониторах. Любой смежник сможет их видеть. Бороться с этим будет невозможно. На замечания будет удивление в глазах и фраза "а ты нам ничего не говорил"... Объяснишь еще раз, но бумажки все равно висеть будут! Так вот, даже если я и победю эти бумажки, то для обеспечения хотя бы средней защищенности, раз в пару месяцев пароли надо бы менять. Менять потому, что они сами расскажут свои логины и пароли смежникам. Просто потому, что так проще показать какой-нибудь нужным им файл, который у нас на сервере, чем скопировать его по сети. При чем, об этом мне никто и ничего не скажет. И если поймаешь за руку, мы увидим удивленные глаза и фразу «Но ведь так проще!». Ну а смена паролей приведет опять к бумажкам на мониторах.
И я уверен, что это не единственная проблема будет. Поэтому: Никакой аутенификации. Ни за что... Никогда....
Лирическое отступление: Не понимаю, почему нельзя с помощью программных средств сделать элементарное: например я ставлю какую-нибудь программу на сервак и пользователям. САМ ввожу в нее какие-то цифры, типа пароля. Потом когда пользователь коннектится к серваку, сервак проверяет наличие запуска этой проги и правильность введенных в нее цифр и допускает к себе.
Или просто фильтр по мак-адресу....
В итоге я решаю это так:
1. Поставил Сервер 2003.
2. В "маршрутизации и удаленном доступе" в разделе "Подключение по локальной сети" включил "Фильтры входа" и "фильтры выхода" и прописал там только нужные IP с правилом "отбрасывать все пакеты кроме как с указанных IP"
3. Для повышения безопасности с низкой (IP подменит любой школьник) на подобие средней, в автозагрузку прописал небольшой bat с привязкой IP к MAC-адресам, типа:
echo off
arp.exe -s 198.200.7.1 6a-c0-43-13-96-1a
rem я
arp.exe -s 198.200.7.2 14-00-82-f1-13-e7
rem Петр петрович
и т.д.
Да, я знаю, что MAC меняется. Но меняется он не так легко как IP. В общем я оцениваю уровень обеспеченной безопасности удовлетворяющим соотношению интеллекта сотрудников по смене MAC-а и секретности информации на сервере.
Если это совсем коряво, то имейте ввиду, я нисколько не программист, я инженер и ничего в этих ваших компьютерах не понимаю. И решил задачу как смог. И актуальность задачи думаю высока для многих.
Ну и вот кто сможет предложить более простое и элегантное решение этой задачи?
no subject
Date: 2013-04-24 04:25 pm (UTC)А кража батника возможна?
no subject
Date: 2013-04-24 04:59 pm (UTC)Но есть нюанс. Если комп сломается (ну например видеокарта сломалась), я его отдаю в отдел где их ремонтируют. По идее они его отремонтировав и подключив к сетке получат доступ к серверу. Раньше я в таких случаях на сервере просто удалял на время этот IP из фильтров.
Тут придется блокировать учетную запись. Просто это значит, что каждому пользователю придется давать уникальный логин/пасс, а я уже думал всем поставить один и тот же.
no subject
Date: 2013-04-24 05:43 pm (UTC)Тогда хранить батник где-то ещё. Например на флешке.
Или вывести ремонтников в отдельную подсеть, на отдельную карту сервера. Чтобы они не могли использовать доверенный IP-адрес.
Кстати. ремонтники могут взять себе любой IP-адрес.
PS: Доменная система предполагает возможность выдачи разрешений не только юзерам, но и компам.
no subject
Date: 2013-04-24 05:56 pm (UTC)А то, что батник у них побывал, не беда... Просто после ремонта переписать батник на новый пароль и в серваке пароль подправить.
no subject
Date: 2013-04-25 01:30 pm (UTC)