Вопрос по безопасности.

[Зверев Сергей]

Вопрос такой.
В связи с некотороми обстоятельствами работа с внутренней информацией на машинах подключенных к и-нету запрещена. Т.е. или локальная или глобальная. Вопрос такой. Может и глупый и душой я понимаю что можно этого и не делать, но: надо-ли физически выдергивать штекер из компа или достаточно логаута? И еще. Я нашел только ДОС-логаут, есть ли виндовс-версия?
NW 5.0. В и-нете только просмотр сайтов и поиск информации. Вирусы и трояны исключены.

[Андрей Фисенко]

И лучше штекер питания!


Как организован доступ к Интернет?
И почему вы так уверены, что застрахованы от вирусов и троянов, пользуясь серфингом?

[Владимир Горяев]

Вопрос такой. Может и глупый и душой я понимаю что можно этого и не делать, но: надо-ли физически выдергивать штекер из компа или достаточно логаута? И еще. Я нашел только ДОС-логаут, есть ли виндовс-версия?
NW 5.0. В и-нете только просмотр сайтов и поиск информации. Вирусы и трояны исключены.

Как СБ скажет - так и делать. Выдергивать - выдернуть. По 2-му: в проводнике правой кнопкой по дереву - N Logout

[Yuriy Levin]

На счет троянов: Я недавно у себя удалил одного. Он пролезает на машину во время серфинга. Проявляет себя тем, что генерит за сутки до 1.5.мб траффика в домен whenu.com. Я по логам его и заметил. Называется эта прога save.exe. Нагло записывается в Program Files\save и еще деинсталлятор с собой приволокла.

По поводу отключения инета на определенных машинах : Шнур выдергивать необязательно. У нас для подобной цели задействована возможность свича как аппаратного файрволла. Плюс это не дает играть в сетевые игры и ставить пользователям у себя всякие FTP/Proxy и прочие сервисы.

[Сергей Олейников]

... У нас для подобной цели задействована возможность свича как аппаратного файрволла. Плюс это не дает играть в сетевые игры и ставить пользователям у себя всякие FTP/Proxy и прочие сервисы.

Можно подробнее об этой возможности?

[Yuriy Levin]

Идея такова: в сети для рабочих задач необходим лишь протокол IPX/SPX. TCP/IP задействован лишь для почты и интернета. Таким образом у львиной части пользователей нет необходимости общаться напрямую друг с другом по IP. Это дает возможность позволить IP-пакетам ходить только между рабочими станциями и серверами (да и то только теми, на которых интрнет и почта). А между рабочими станциями ни-ни.

На работу расшаренных ресурсов это у нас не повлияло, т.к. NetBIOS ходит поверх IPX.

Для реализации идеи нужно иметь "умный" свич, который может фильтровать траффик на портах по протоколам сетевого и транспортного уровней, то есть IP, IPX, TCP и т.д. Конкретно как это будет выглядеть, зависит от возможностей тспользуемого свича в этой области (а не все свичи поддерживают эту возможность, а если и поддерживают, то в разной степени). Желательно также, чтобы пользователи с разными требованиями были на разных портах. Тем более если на портах висят хабы, то получиться лишь запретить траффик между разными группами пользователей.

[Yuriy Levin]

Идея такова: в сети для рабочих задач необходим лишь протокол IPX/SPX. TCP/IP задействован лишь для почты и интернета. Таким образом у львиной части пользователей нет необходимости общаться напрямую друг с другом по IP. Это дает возможность позволить IP-пакетам ходить только между рабочими станциями и серверами (да и то только теми, на которых интрнет и почта). А между рабочими станциями ни-ни.

На работу расшаренных ресурсов это у нас не повлияло, т.к. NetBIOS ходит поверх IPX.

Для реализации идеи нужно иметь "умный" свич, который может фильтровать траффик на портах по протоколам сетевого и транспортного уровней, то есть IP, IPX, TCP и т.д. Конкретно как это будет выглядеть, зависит от возможностей используемого свича в этой области (а не все свичи поддерживают эту возможность, а если и поддерживают, то в разной степени). Желательно также, чтобы пользователи с разными требованиями были на разных портах. Тем более если на портах висят хабы, то получиться лишь запретить траффик между разными группами пользователей.

[Музалёв Николай]

Для реализации идеи нужно иметь "умный" свич, который может фильтровать траффик на портах по протоколам сетевого и транспортного уровней, то есть IP, IPX, TCP и т.д.

В связи с вышеизложенным - вопрос к коллегам, хорошо владеющим высокой теорией.
Ситуация:Коммутатор не шибко умный - может фильтровать только фреймы. Работае как магистральный коммутатор сети - к нему присоединены коммутаторы рабочих групп. На нем заблокирован фрейм Е-II .
Вопрос: могут ли мои двуногие исхитриться и сами привязать протокол TCPIP к обычным фреймам - E802.3 E-802.2 ? и таким образом без моего ведома развести в локальной сети "пиратский" протокол? или этого невозможно в принципе?
Спасибо.

[Штанов Константин]

По 2-му: в проводнике правой кнопкой по дереву - N Logout

Клиент 4.83 SP1 - увы...... только Login

И еще. Я нашел только ДОС-логаут, есть ли виндовс-версия?

Как то занимались проблемой "принудительного отключения" пользователя.
Можно было на VBS написать.
Воспользовались найденной програмкой. Можно ее в SysTray "посадить", можно просто с ключом..... сразу.....
Програмки остались (я проверил) - нужны - жду письма - обратно отправлю....

[Музалёв Николай]

только Login

Нет, ,не только. Имелось в виду, что вы увидите пункт NetWare Connections... Кликните по нему - получите список всего-разного, к чему подлючены. И далее - выбираете объект и кликаете на кнопочку DETACH По идее - должно отключится и объект пропадает из списка. Тогда нажимаете CLOSE и закрываете окно.

Иногда этот процесс вроде как замерзает: такое ощущение, что не отрабатывает режим обновления списка - отключение фактически произошло, но в списке вы по прежнему видите Дерево и сервера. Просто закройте окно.

[Владимир Горяев]

По 2-му: в проводнике правой кнопкой по дереву - N Logout

Клиент 4.83 SP1 - увы...... только Login

А в свойствах клиента разрешен данный пункт меню? Еще мона напр. правой кнопкой по - N|NW connection отключить... Есть варианты.

[Штанов Константин]

По 2-му: в проводнике правой кнопкой по дереву - N Logout

Клиент 4.83 SP1 - увы...... только Login

А в свойствах клиента разрешен данный пункт меню?

N - правая клавиша - Novell Client Properties - Advanced Menu Settings - Enable Logout of Server (Enable Logout of Tree) - здесь?
увы.... тогда все в "ON"... и все равно в меню строки нет.....

Еще мона напр. правой кнопкой по - N|NW connection отключить... Есть варианты.

мона-мона...... Только научите этому рядового пользователя.... да еще "вдолбите" ему, что если из списка не пропало - это "нормально".... не волнуйся........ можешь еще раз "перезайти" сюда - и все увидишь...

Гораздо эффективнее разместить иконку на рабочем столе (ключи там уже заранее внес) - нажал - сразу вылетел в "Джину".....
нажал ESC и, если ОС позволяет (типа Вин 9х или "автологон прописан") ты в системе, но НЕ АВТОРИЗОВАН !

Вот это как раз и ....... варианты ...... "третьих фирм".......

[Сергей Дубров]

могут ли... привязать протокол TCPIP к обычным фреймам - E802.3 E-802.2 ?

Как должно быть известно даже начинающему админу, IP может использовать только три типа фреймов из четырёх возможных на ethernet-е:

Ethernet_II: type 0x0800
Ethernet_802.2: SAP code 0x06
Ethernet_SNAP: SAP code 0xAA + SNAP type 0x0800

Фрейм Ethernet_802.3 потому и называют raw, что он ничего, кроме IPX-а нести не может, у него нет поля типа. Это Новел так постарался в молодости

Кстати, интересная табличка соответствия наименований фреймов - Новел их по-своему называет, но не все с ним согласны:

FRAME TYPE | Novell calls it...| Cisco calls it...
==============================
IEEE 802.3 | ETHERNET_802.2 | LLC
Version II | ETHERNET_II | ARPA
IEEE 802.3 SNAP | ETHERNET_SNAP | SNAP
Novell Proprietary ("802.3 Raw")| ETHERNET_802.3 | NOVELL

[Штанов Константин]

Вопрос такой.
В связи с некотороми обстоятельствами работа с внутренней информацией на машинах подключенных к и-нету запрещена. Т.е. или локальная или глобальная. Вопрос такой. Может и глупый и душой я понимаю что можно этого и не делать, но: надо-ли физически выдергивать штекер из компа или достаточно логаута? NW 5.0.
В и-нете только просмотр сайтов и поиск информации. Вирусы и трояны исключены.

Вот и ответ - в идеале - ОТДЕЛЬНО СТОЯЩАЯ МАШИНА, не подключенная к внутренней сети!!!! (необходимую информацию можно потом и перенести ......... "ручками".....)
Смысл? Очень много разных "хвостов" информации после работы остается (например) во всяких там "временных" папках. При желании, во время "атаки" это легко скачать и потом.... "проанализировать"... Кто будет овечать за "утечку информации" ? Пользователь скажет - я сделал, как научили....

про файлы pwl из Вин9х я уже не говорю. Так что здесь даже и "выдергивание шнура" не поможет.....

[Константин Ошмян]

Разрешите встрять, мне есть что сказать!.. Спасибо!
Во-первых, нужно заступиться за Владимира Горяева, который сказал абсолютно верно:

в проводнике правой кнопкой по дереву - N Logout

Коллеги, ну читайте же внимательнее! В проводнике, а не в system tray, и по дереву, а не по чему-нибудь ещё. Есть это в клиенте 4.83SP1, точно есть. Правда, не очень надёжно работает, т.к. по умолчанию остаётся закэшированный пароль (т.к. включен авто-реконнект), и при попытке получения доступа к сетевым ресурсам соединение будет восстановлено заново.

Во-вторых, по поводу следующего желания:

Гораздо эффективнее разместить иконку на рабочем столе (ключи там уже заранее внес) - нажал - сразу вылетел в "Джину".....

Есть старая и горячо мною любимая, т.к. до сих пор стабильно работает на всех Windows-ах, утилитка под названием ncshtdn.exe, берётся с Novell CoolSolutions, позволяет отключаться от сети, гасить компьютер либо перегружаться с командной строки (либо, как в Вашем случае - по shortcut-у на такую командную строку).