Секретность от NW: SecureWave Sanctuary & Sentinel 5

[Михаил Григорьев]

Есть такая штука как проверка подлинности при Ethernet или Беcпроводном подключении - IEEE 802.1x

Кратко мона почитать:
http://www.ccc.ru/magazine/depot/03_11/ ... l?0502.htm

Мы когда то знакомый ставил систему NetUP и на ней делал авторизацию 802.1x с EAP
В принципе никто не мешает поднять свой RADIUS-сервер с поддержкой протокол аутентификации EAP и все.

Вобщем нагуглить по этой теме мона много.

[Сергей Дубовский]

Как вариант (чисто концептуальный):
в логин скрипте проверять наличие что-нибудь специфичного и рукотворного на клиентском компе, самое простое наличие некоего глубоко зарытого файла или ключа реестра, сложнее серийник диска со сверкой с базой на сервере или еще чего из железа.
Если нетути, то сирена в админской и у шефа

Если Вася такой умный, что отключит отработку логин-скрипта, то еще добавить в логин скрипте создание некоего файла на сервере, в который, в том числе, писать дату логина.
И на какой то админской машине нон стоп проверять соотвествие даты посленего входа а NDS и даты в этом файле.

Лучше все эти действия в логин скрипте делать с помощью некоей самописной проги, чтобы Вася не смог все это прочитать в логин скрипте.

Понятно что все это кустарщина и обходится, но некоторый уровень защиты можно обеспечить подручными средствами.
802.1x конечно более полноценное решение (хотя я о нем только общее представление имею)

Еще хотел бы поделиться с коллегами, может кому поможет.

К вопросу о периодически возникающих обсуждениях про запрет флэшек, DeviceLock и т.п.
В новой версии Kaspersky for Workstation 8.0 появилась возможность ограничивать доступ к USB-девайсам, правда без разделения на чтение-запись, но зато с разделением по типам устройств (флэшки, диски, телефоны и т.д.) Централизованно рулится через админкит, как и все прочие настройки.
Так же там появилась фича типа родительского контроля (ограничения доступа к сайтам по категориям, именам, типам файлов, по времени), например можно закрыть почтовики, чаты, социальные сети и т.п.
Причем список таких ресурсов по категориям он обновляет и ведет сам. Можно задавать исключения.
Правда ограничения инета при доступе через прокси похоже не работают (детально не разбирался).
На данный моемнт ждоступны бета-версии
Вот эта вполне стабильная, на себе проверял.
ftp://ftp.kaspersky.com/beta/kavwinwork ... 1015ru.exe
Доступны еще 1050 (кривая, не советую) и 1057 (еще не пробовал)
http://downloads.kaspersky-labs.com/dev ... 1057ru.exe

Наверно к лету релиз выйдет...

[Timur Kazimirov]

Ну раз уж обсуждение пошло в разные стороны, то вот сегодня ссылочку надыбал http://securityvulns.ru/news/Microsoft/ ... torun.html
Может и пригодится кому.

[Boris Morozov]

провода и опечатать сетевые разъемы. Чтоб нельзя было проводок достать и переткнуть? Тем боле, что фигня все это. Против телефона, фотографирующего экран компа, это не поможет.
p.s. Николай, мы хоть и в одном Городке, но я сам себе начальник и смотрю и с той и с другой стороны. И решения поставленной задачи, кроме зоны с охраной и решетками не вижу.

[Сергей Дубовский]

Фиксация разъемов к сожалению не спасет, ибо можно перерезать, обжать новый rj-45 и подвесить удлиннитель.

А что касается фотографирования телефоном, так ведь все зависит от защищаемой инфы. Если это десяток-другой договоров на 3-х страницах, одно дело, а если какая-нибудь БД зотя бы на пару мегов, запаришься фоткать. Да и камеры наблюдения можно подвесить.

Кстати камеры наблюдения в этой ситуации в любом случае желательны. Но это уже к организационным мерам относится

[Boris Morozov]

с проводами. Сеть проводить в бетоне, как скрытую проводку. Розетка сетевая выходит прямо внутрь железного ящика. На вскрытие ящика датчики сигнализации. Короче Николай, это не в этот форум, а туда, где люди безопасность обсуждают (не компьютерную). Базу снять, кстати пару десятков мегов тоже реально. Заархивировал, открыл HEX редактором, листай и фоткай. Ну конечно понапрягаться надо. Еще и софтину какую для сборки и распознавания надыбать.
Так что все зависит от ценности вашей информации и потерь от ее утечки.

[Михаил Григорьев]

Помнится мне знакомый рассказывал как в Сбере все организовано, я еще удивлялся их безопасности: все USB отрублены, а в Инет можно выйти только с отдельных компов и по служебке и безопасники регулярно ходят и проверяют все компы на предмет левых программ и т.д. Тоталитаризм конечно конкретный, но видать есть на то причина.

[Музалёв Николай]

Коллеги!

В продолжении разговора посмотрите по ссылке- надеюсь нам всем будет полезно ознакомиться с ещё одним решением (??)

Очень желательны ваши комментарии/соображения/возражения etc...

[Timur Kazimirov]

Что-то типа Cisco NAC, если сугубо по обзору смотреть. У нас он даже куплен Но вот внедрять и использовать его - отдельное подразделение нужно. Пару лет назад с наскоку попытались запустить - три дня сеть восстанавливали

[Музалёв Николай]

Тимур!
Не сочтите за труд изложить основы кисковского решения на русском членопонятном языке.

[Timur Kazimirov]

Не сочтите за труд изложить основы кисковского решения на русском членопонятном языке.

Вкратце:
1. Ставится несколько серверов (политики, сертификаты, каталог).
2. На активном сетевом оборудовании (каталисты, естественно) кое-что прописывается.
3. На машины ставится программа-агент.
4. При старте компьютера происходит обмен данными между агентом и серверами, в ходе которого, исходя из политик, выясняется - имеет ли данный компьютер право выхода в сеть на данном порту каталиста, или нет. Если нет, то банально блокируется порт каталиста.

Вроде все красиво на первый взгляд, но с настройкой столько возни (без полноценного обучения двух, как минимум, человек и без довольно-таки значительного стенда для тестирования не обойтись никак), плюс эта штука очень завязана на MS, что внедрять ее в нашем корпоративном масштабе признано нецелесообразным. По крайней мере, пока не будет расширен наш айтишный штат.

[Музалёв Николай]

3. На машины ставится программа-агент.

О!
А авторы указанного решения едят землю, что агентов не надо
Никаких и нигде.
Причём рефреном повторяют это по всем дата-шитам.

Из того, что пока удалось прочитать, стало ясно, что поиск объектов в сети ( железо и сервисы) осуществляется только анализом трафика (??).

Для того нужен сервер с 2мя сетевыми карточками - это требование указано особо.

Демо получить наскоком не удалось - для получения демки у них есть собственная процедура: сначала надо с ними но вэб-конференции поговорить 30минут с целью "уточнить, действительно ли вам нужен наш продукт".