Вопрос по безопасности.

Обсуждение технических вопросов по продуктам Novell

Вопрос по безопасности.

Сообщение Зверев Сергей » 20 мар 2003, 22:02

Вопрос такой.
В связи с некотороми обстоятельствами работа с внутренней информацией на машинах подключенных к и-нету запрещена. Т.е. или локальная или глобальная. Вопрос такой. Может и глупый и душой я понимаю что можно этого и не делать, но: надо-ли физически выдергивать штекер из компа или достаточно логаута? И еще. Я нашел только ДОС-логаут, есть ли виндовс-версия?
NW 5.0. В и-нете только просмотр сайтов и поиск информации. Вирусы и трояны исключены.
Зверев Сергей
 
Сообщения: 26
Зарегистрирован: 22 июн 2002, 12:36

Штекер надо выдергивать!

Сообщение Андрей Фисенко » 21 мар 2003, 05:31

И лучше штекер питания! :lol:


Как организован доступ к Интернет?
И почему вы так уверены, что застрахованы от вирусов и троянов, пользуясь серфингом?
Андрей Фисенко, SUSE
[url=http://www.suse.com][/url]
Андрей Фисенко
 
Сообщения: 1311
Зарегистрирован: 05 июн 2002, 08:13
Откуда: Красноярск

Re: Вопрос по безопасности.

Сообщение Владимир Горяев » 21 мар 2003, 10:54

Зверев Сергей писал(а): Вопрос такой. Может и глупый и душой я понимаю что можно этого и не делать, но: надо-ли физически выдергивать штекер из компа или достаточно логаута? И еще. Я нашел только ДОС-логаут, есть ли виндовс-версия?
NW 5.0. В и-нете только просмотр сайтов и поиск информации. Вирусы и трояны исключены.
Как СБ скажет - так и делать. Выдергивать - выдернуть. По 2-му: в проводнике правой кнопкой по дереву - N Logout
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Yuriy Levin » 21 мар 2003, 11:20

На счет троянов: Я недавно у себя удалил одного. Он пролезает на машину во время серфинга. Проявляет себя тем, что генерит за сутки до 1.5.мб траффика в домен whenu.com. Я по логам его и заметил. Называется эта прога save.exe. Нагло записывается в Program Files\save и еще деинсталлятор с собой приволокла.

По поводу отключения инета на определенных машинах : Шнур выдергивать необязательно. У нас для подобной цели задействована возможность свича как аппаратного файрволла. Плюс это не дает играть в сетевые игры и ставить пользователям у себя всякие FTP/Proxy и прочие сервисы.
Yuriy Levin
 
Сообщения: 60
Зарегистрирован: 09 дек 2002, 13:24
Откуда: Минск

Сообщение Сергей Олейников » 21 мар 2003, 11:48

Yuriy Levin писал(а):... У нас для подобной цели задействована возможность свича как аппаратного файрволла. Плюс это не дает играть в сетевые игры и ставить пользователям у себя всякие FTP/Proxy и прочие сервисы.


Можно подробнее об этой возможности?
Аватара пользователя
Сергей Олейников
 
Сообщения: 52
Зарегистрирован: 18 июн 2002, 08:53
Откуда: г. Омск

Сообщение Yuriy Levin » 21 мар 2003, 12:58

Идея такова: в сети для рабочих задач необходим лишь протокол IPX/SPX. TCP/IP задействован лишь для почты и интернета. Таким образом у львиной части пользователей нет необходимости общаться напрямую друг с другом по IP. Это дает возможность позволить IP-пакетам ходить только между рабочими станциями и серверами (да и то только теми, на которых интрнет и почта). А между рабочими станциями ни-ни.

На работу расшаренных ресурсов это у нас не повлияло, т.к. NetBIOS ходит поверх IPX.

Для реализации идеи нужно иметь "умный" свич, который может фильтровать траффик на портах по протоколам сетевого и транспортного уровней, то есть IP, IPX, TCP и т.д. Конкретно как это будет выглядеть, зависит от возможностей тспользуемого свича в этой области (а не все свичи поддерживают эту возможность, а если и поддерживают, то в разной степени). Желательно также, чтобы пользователи с разными требованиями были на разных портах. Тем более если на портах висят хабы, то получиться лишь запретить траффик между разными группами пользователей.
Yuriy Levin
 
Сообщения: 60
Зарегистрирован: 09 дек 2002, 13:24
Откуда: Минск

Сообщение Yuriy Levin » 21 мар 2003, 12:59

Идея такова: в сети для рабочих задач необходим лишь протокол IPX/SPX. TCP/IP задействован лишь для почты и интернета. Таким образом у львиной части пользователей нет необходимости общаться напрямую друг с другом по IP. Это дает возможность позволить IP-пакетам ходить только между рабочими станциями и серверами (да и то только теми, на которых интрнет и почта). А между рабочими станциями ни-ни.

На работу расшаренных ресурсов это у нас не повлияло, т.к. NetBIOS ходит поверх IPX.

Для реализации идеи нужно иметь "умный" свич, который может фильтровать траффик на портах по протоколам сетевого и транспортного уровней, то есть IP, IPX, TCP и т.д. Конкретно как это будет выглядеть, зависит от возможностей используемого свича в этой области (а не все свичи поддерживают эту возможность, а если и поддерживают, то в разной степени). Желательно также, чтобы пользователи с разными требованиями были на разных портах. Тем более если на портах висят хабы, то получиться лишь запретить траффик между разными группами пользователей.
Yuriy Levin
 
Сообщения: 60
Зарегистрирован: 09 дек 2002, 13:24
Откуда: Минск

Сообщение Музалёв Николай » 21 мар 2003, 15:49

Yuriy Levin писал(а):Для реализации идеи нужно иметь "умный" свич, который может фильтровать траффик на портах по протоколам сетевого и транспортного уровней, то есть IP, IPX, TCP и т.д.

В связи с вышеизложенным - вопрос к коллегам, хорошо владеющим высокой теорией.
Ситуация:Коммутатор не шибко умный - может фильтровать только фреймы. Работае как магистральный коммутатор сети - к нему присоединены коммутаторы рабочих групп. На нем заблокирован фрейм Е-II .
Вопрос: могут ли мои двуногие исхитриться и сами привязать протокол TCPIP к обычным фреймам - E802.3 E-802.2 ? и таким образом без моего ведома развести в локальной сети "пиратский" протокол? или этого невозможно в принципе?
Спасибо.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3034
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Re: Вопрос по безопасности.

Сообщение Штанов Константин » 21 мар 2003, 18:09

Владимир Горяев писал(а): По 2-му: в проводнике правой кнопкой по дереву - N Logout


Клиент 4.83 SP1 - увы...... только Login :oops:

Зверев Сергей писал(а): И еще. Я нашел только ДОС-логаут, есть ли виндовс-версия?


Как то занимались проблемой "принудительного отключения" пользователя.
Можно было на VBS написать.
Воспользовались найденной програмкой. Можно ее в SysTray "посадить", можно просто с ключом..... сразу.....
Програмки остались (я проверил) - нужны - жду письма - обратно отправлю.... :puser:
С уважением, Штанов Константин

-
Аватара пользователя
Штанов Константин
 
Сообщения: 12
Зарегистрирован: 12 мар 2003, 12:32
Откуда: г.Москва

Сообщение Музалёв Николай » 21 мар 2003, 19:04

только Login

Нет, ,не только. Имелось в виду, что вы увидите пункт NetWare Connections... Кликните по нему - получите список всего-разного, к чему подлючены. И далее - выбираете объект и кликаете на кнопочку DETACH По идее - должно отключится и объект пропадает из списка. Тогда нажимаете CLOSE и закрываете окно.

Иногда этот процесс вроде как замерзает: такое ощущение, что не отрабатывает режим обновления списка - отключение фактически произошло, но в списке вы по прежнему видите Дерево и сервера. Просто закройте окно.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3034
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Re: Вопрос по безопасности.

Сообщение Владимир Горяев » 21 мар 2003, 19:06

Штанов Константин писал(а):
Владимир Горяев писал(а): По 2-му: в проводнике правой кнопкой по дереву - N Logout

Клиент 4.83 SP1 - увы...... только Login
А в свойствах клиента разрешен данный пункт меню? Еще мона напр. правой кнопкой по - N|NW connection отключить... Есть варианты.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Re: Вопрос по безопасности.

Сообщение Штанов Константин » 21 мар 2003, 20:02

Владимир Горяев писал(а):
Штанов Константин писал(а):
Владимир Горяев писал(а): По 2-му: в проводнике правой кнопкой по дереву - N Logout

Клиент 4.83 SP1 - увы...... только Login
А в свойствах клиента разрешен данный пункт меню?


N - правая клавиша - Novell Client Properties - Advanced Menu Settings - Enable Logout of Server (Enable Logout of Tree) - здесь?
увы.... тогда все в "ON"... и все равно в меню строки нет..... :cry:

Владимир Горяев писал(а):Еще мона напр. правой кнопкой по - N|NW connection отключить... Есть варианты.


мона-мона...... Только научите этому рядового пользователя.... да еще "вдолбите" ему, что если из списка не пропало - это "нормально".... не волнуйся........ можешь еще раз "перезайти" сюда - и все увидишь...

Гораздо эффективнее разместить иконку на рабочем столе (ключи там уже заранее внес) - нажал - сразу вылетел в "Джину".....
нажал ESC и, если ОС позволяет (типа Вин 9х или "автологон прописан") ты в системе, но НЕ АВТОРИЗОВАН ! :wink:

Вот это как раз и ....... варианты ...... "третьих фирм"....... :lol:
С уважением, Штанов Константин

-
Аватара пользователя
Штанов Константин
 
Сообщения: 12
Зарегистрирован: 12 мар 2003, 12:32
Откуда: г.Москва

Поправлю...

Сообщение Сергей Дубров » 21 мар 2003, 20:17

Музалёв Николай писал(а):могут ли... привязать протокол TCPIP к обычным фреймам - E802.3 E-802.2 ?

Как должно быть известно даже начинающему админу, IP может использовать только три типа фреймов из четырёх возможных на ethernet-е:

Ethernet_II: type 0x0800
Ethernet_802.2: SAP code 0x06
Ethernet_SNAP: SAP code 0xAA + SNAP type 0x0800

Фрейм Ethernet_802.3 потому и называют raw, что он ничего, кроме IPX-а нести не может, у него нет поля типа. Это Новел так постарался в молодости :lol:

Кстати, интересная табличка соответствия наименований фреймов - Новел их по-своему называет, но не все с ним согласны:

FRAME TYPE | Novell calls it...| Cisco calls it...
==============================
IEEE 802.3 | ETHERNET_802.2 | LLC
Version II | ETHERNET_II | ARPA
IEEE 802.3 SNAP | ETHERNET_SNAP | SNAP
Novell Proprietary ("802.3 Raw")| ETHERNET_802.3 | NOVELL
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Re: Вопрос по безопасности.

Сообщение Штанов Константин » 21 мар 2003, 20:18

Зверев Сергей писал(а):Вопрос такой.
В связи с некотороми обстоятельствами работа с внутренней информацией на машинах подключенных к и-нету запрещена. Т.е. или локальная или глобальная. Вопрос такой. Может и глупый и душой я понимаю что можно этого и не делать, но: надо-ли физически выдергивать штекер из компа или достаточно логаута? NW 5.0.
В и-нете только просмотр сайтов и поиск информации. Вирусы и трояны исключены.


Вот и ответ - в идеале - ОТДЕЛЬНО СТОЯЩАЯ МАШИНА, не подключенная к внутренней сети!!!! :evil: (необходимую информацию можно потом и перенести ......... "ручками".....)
Смысл? Очень много разных "хвостов" информации после работы остается (например) во всяких там "временных" папках. При желании, во время "атаки" это легко скачать и потом.... "проанализировать"... Кто будет овечать за "утечку информации" ? Пользователь скажет - я сделал, как научили.... :roll:

про файлы pwl из Вин9х я уже не говорю. Так что здесь даже и "выдергивание шнура" не поможет..... :splat:
С уважением, Штанов Константин

-
Аватара пользователя
Штанов Константин
 
Сообщения: 12
Зарегистрирован: 12 мар 2003, 12:32
Откуда: г.Москва

Мои пять копеек...

Сообщение Константин Ошмян » 22 мар 2003, 00:39

Разрешите встрять, мне есть что сказать!.. :) Спасибо! :D
Во-первых, нужно заступиться за Владимира Горяева, который сказал абсолютно верно:
в проводнике правой кнопкой по дереву - N Logout
Коллеги, ну читайте же внимательнее! В проводнике, а не в system tray, и по дереву, а не по чему-нибудь ещё. Есть это в клиенте 4.83SP1, точно есть. Правда, не очень надёжно работает, т.к. по умолчанию остаётся закэшированный пароль (т.к. включен авто-реконнект), и при попытке получения доступа к сетевым ресурсам соединение будет восстановлено заново. :?

Во-вторых, по поводу следующего желания:
Гораздо эффективнее разместить иконку на рабочем столе (ключи там уже заранее внес) - нажал - сразу вылетел в "Джину".....
Есть старая и горячо мною любимая, т.к. до сих пор стабильно работает на всех Windows-ах, утилитка под названием ncshtdn.exe, берётся с Novell CoolSolutions, позволяет отключаться от сети, гасить компьютер либо перегружаться с командной строки (либо, как в Вашем случае - по shortcut-у на такую командную строку).
С уважением,
Константин Ошмян
Аватара пользователя
Константин Ошмян
 
Сообщения: 991
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 66