» HARDWARE-Авторизация подсоединения к сети

Zlobny_John

Цитата:

шлюз отделять смысла нет , чаще всего на нем установлено что-то типа firewall

Этот файрволл защищает обычно от "снаружи". Но я и не настаиваю на отделении шлюза. Шлюз был лишь одним из вариантов защищаемых ресурсов, помнишь?
Цитата:

отделить некий защищаемый ресурс (сервер, шлюз интернета и т.д.)

На самом деле изначально стояла такая задача:
Цитата:

в организации параллельно существует две физически не связанные сетки: с выходом в Инет и без оного. оного. Необходимо: реализовать (очень желательно на хардварном уровне) невозможность несанкционированного подключения компов к сети с выходом в Инет.

На самом деле, как я понял, речь идет о 2 сегментах сети: с выходом в и-нет (доверенный) и без оного (потенциально опасный). Так вот, я считаю, что вариант с бриджем между этими подсетями будет оптимальным.

Цитата:

А тачку в режиме бриджа - геморрой . Гораздо проще лишний HUB поставить в нужное место и в него тачку с анализатором пакетов . Он и покажет кто с кем сношения вел сетевые.

Установить такую тачку знающему человеку не составит труда. Предлагаемый тобой комп с анализатором пакетов -- это ведь тоже комп. Т.е. тут выгоды (по деньгам) нет никакой, т.к. он необходим в обоих случаях. К тому же анализатор может лишь протоколировать какое-то действие, а бридж+файрволл может и протоколировать и, что гораздо важнее, блокировать его. Плюс ко всему такой бридж полностью прозрачен для пользователей, т.е. как будто его и нет в сети. Плюс он работает как коммутатор между сегментами сетей, т.е. в потенциально опасном сегменте нельзя будет снифать траффик из доверяемого сегмента и наоборот, чего нельзя добиться в твоем варианте. Плюс на нем можно организовать какие угодно правила фильтрации пакетов. Например, не пропускать DHCP запросы между подсетями, чтобы иметь возможность установить 2 DHCP сервера в обоих подсетях с неперекрывающимися диапазонами и все же иметь при этом общую сеть со свободным доступом к общим ресурсам (netbios). Или блокировать весь интернет-траффик для закрытого сегмента (снимается лишняя нагрузка со шлюза). Да мало ли чего придумать можно. В общем, мне это решение кажется необычайно гибким и расширяемым и в то же время дешевым (относительно хоть той же киски).

Добавлено
http://www.linuxdocs.ru/HOWTO/mini/html/Bridge+Firewall.html
и вообще весь
http://www.linuxdocs.ru/HOWTO/mini/index-B.html
на предмет мостов.

ooptimum

Цитата:

Вообще странно, что в режимной организации возможна неавторизованная замена железа или пронос своего компа на территорию.

Проносить не надо, их немерено. Предполагается, что у сотрудника(ов) несколько ПК: один включен в сеть с выходом в инет, другой(ие) в корпоративную ЛВС.


Добавлено
ooptimum

Цитата:

На самом деле, как я понял, речь идет о 2 сегментах сети: с выходом в и-нет (доверенный) и без оного (потенциально опасный). Так вот, я считаю, что вариант с бриджем между этими подсетями будет оптимальным.

Эти две сети ФИЗИЧЕСКИ НЕ СВЯЗАНЫ, и соответственно, ничего м/у ними устанавливать не надо! Сеть с выходом в инет защищена снаружи каскадными проксями: сначала сквид (защита), затем вингейт (внутренняя авторизация и учет).


Добавлено
Zlobny_John

Цитата:

Я пытался решить такую проблему , заменив все хабы и свичи на cisco и включив режим security на портах . В этом случае каждый порт свича работает только с тем mac-адресом , который был первым на порту на момент включения режима . Если какая-то падла подключит другой комп , поменяет сетевуху , или подменит mac - порт встанет в disable до вмешательства администратора

А вот это мне очень нравится.

Добавлено
Сеть с выходом в инет будет состоять из порядка 20 машин, так что поставить 2950-24 не составит труда. Афигительно. Но вопрос: а несколько МАК-ов привязать к одному порту возможно? И еще: как энта фиговина разберет, первоначальный комп подключен, или другой с этим же МАК-ом? (ситуация: выключил ПК1, поставил на ПК2 МАК1, включил ПК2)


Добавлено
[offtop] сорри за кучу добавлений, злобные админы сквида поставили ограничение на размер POST [/offtop]

Neo1
Ну че ты так раскричался? Тут люди тебе помочь пытаются, помнишь? Ну не связаны твои сети, ладно. Но ведь я писал, что таким бриджем можно и интернет-гейт от остальной сети отделять. Хочешь пользовать киску -- имеешь полное право. Просто выбор из нескольких вариантов всегда лучше одного. На мой взгляд.

Цитата:

как энта фиговина разберет, первоначальный комп подключен, или другой с этим же МАК-ом?

А никак. Нету механизма такого.

Может в таком случае тебя какое-нибудь терминальное решение устроит? Т.е. к и-нету будет только терминальный сервер подключен. Секьюрность -- то, что доктор прописал. И никакой головной боли с заменой сетевух, маков и прочего...

Цитата:

Но вопрос: а несколько МАК-ов привязать к одному порту возможно? И еще: как энта фиговина разберет, первоначальный комп подключен, или другой с этим же МАК-ом? (ситуация: выключил ПК1, поставил на ПК2 МАК1, включил ПК2)

несколько помоему можно . по крайней мере у 3СОМ можно было . Но надо уточнять .
Вопрос - нафига ? несколько МАС это означает наличие хаба ?

ента хреновина ясен пень не разберет . И никакая не разберет подключенную тачку с тем-же IP и МАК .

можно еще ввести на интернетовскую сеть систему хардварной авторизации пароля . Не таблетки , а например пластиковые карты с микрочипом . тогда юзеру хитрому придется еще и ридер с софтом переставлять на другую тачку

ooptimum

Цитата:

Ну че ты так раскричался?

Ладно,ладно, сорри, конечно. Насчет множества решений согласен. Терминальное решение - в принципе, тоже интересно. А как ты себе это представляешь? То есть в точке доступа установить MS TS, настроить у пользователей клиентов, а доступ к проксе сделать только с TS? А есть ли в TS возможность определять, какие машины подключать? Трафик, насколько я знаю, невелик (пару моделей строил). Но придется ставить дополнительный комп под TS , не пускать же их на проксю.


Добавлено
Zlobny_John

Цитата:

Вопрос - нафига ? несколько МАС это означает наличие хаба ?

Да, именно так, для удешевления подключений (в удаленных точках м.б. несколько ПК).

Цитата:

в точке доступа установить MS TS, настроить у пользователей клиентов, а доступ к проксе сделать только с TS?

Именно.

Цитата:

А есть ли в TS возможность определять, какие машины подключать?

Не знаю, я TS не использую. Скорее всего должно быть что-то. К тому же, imho, это на уровне домена можно решить. Например, для и-нета завести отдельных пользователей и разрешить им заходить в сеть только с определенных машин. Кстати, а зачем тебе это ограничение. Ведь и-нет будет только на TS, следовательно, локальные дисководы тут никак заюзать нельзя. И потом, на одном M$ свет клином не сошелся. Можно какой-нибудь линукс/*BSD с X-ами использовать, а на клиентах хоть тот же X-Win32 или любой другой X-сервер. Можно также посмотреть на LTSP. В общем, есть из чего выбрать.

Добавлено
Блин, только сейчас осенило! А почему тебе просто не сделать так, как я выше написал? Т.е. завести пользователей для и-нета с разрешениями заходе с узкого круга машин? На проксе авторизацию MTLM прописать и все. IE даже не будет пароль спрашивать в этом случае, а просто отсылать на прокси данные пользователя, с которыми он в домен вошел. В этом случае, если даже сетевуху поменять/переставить и т.д. ничего не меняется -- SIDы компов рулят.

Цитата:

Т.е. завести пользователей для и-нета с разрешениями заходе с узкого круга машин? На проксе авторизацию MTLM прописать и все

А если юзвери с другого компа под чужим логином зайдут?

Цитата:

А если юзвери с другого компа под чужим логином зайдут?

И ничго не произойдет.

ooptimum

Цитата:

. В этом случае, если даже сетевуху поменять/переставить и т.д. ничего не меняется -- SIDы компов рулят

Нука, нука..А ведь точно. Авторизация НТЛМ - значит вин9х не пройдут? А сиды действительно уникальны. Да и не сможет юзверь не узнать, не поменять сид. А разрешения по машинам у меня уже есть в вингате. Нет, там по нетбиос именам . Но путь действительно дельный. Сенкс. Надо только найти, как провести правильную авторизацию по СИДам.

Neo1

Цитата:

Надо только найти, как провести правильную авторизацию по СИДам.

А ненадо ничего искать
Доменконтроллер(ы) это автоматом "просекают".
Have a nice CPS!

0le

Цитата:

автоматом "просекают"

В смысле? НТЛМ авторизация включается в глобальных политиках, а вот где создается бан-лист хостов? В вингате он есть, но, ИМХО, только по нетбиос именам, или нет ;? А в винтукее есть понятие бан-лист по СИДам?

Neo1
NTLM аутентификация работает только с IE версии >= 4. Неважно на какой OS. Эта фича встроена в сам IE.

Теперь что касается SIDов. Как ты знаешь, каждый пользователь и компьютер в домене имеют уникальный SID. Так вот, в свойствах пользователя на контроллере домена можно указать, что, скажем, пользователь Вася Пупкин может заходить в сеть только с машины Alpha и ни с какой другой. С какой машины он зашел -- проверяется по SIDу машины. Переименуй другую машину в Alpha (даже если хватит прав), поменяй сетевуху -- ничего не меняется, т.к. у другой машины и SID другой. Вангад тут ни при чем. Все делается на уровне домена. Т.е. тебе надо в домене завести новых юзеров с доступом в и-нет и там же разрешить этим пользователям заходить в сеть только с узкого круга машин. Только не забудь на этих тачках еще и USB вырубить.

ooptimum
Уффф, хорошо что решил не отвечать сразу, а вернувшись с обеда
А тут ты все подробненько разложил.

Neo1
А вообще очень интересная темка получилась.
Тебе осталось совсем немного...
Проанализировать все что было сказано ooptimum, Crash Master, Zlobny_John.
Скомпилить это в свою концепцию, ну и реализовать ее.

Have a nice CPS!

ooptimum

Цитата:

на контроллере домена можно указать, что, скажем, пользователь Вася Пупкин может заходить в сеть только с машины Alpha и ни с какой другой

Сорри, ГДЕ указать ? Если в свойствах юзверя (log on to), то там написано "this feature required NetBIOS", впрочем, наверное это не помешает. Единственное, из чего сделано заключение, что проверка идет по СИДам? В закладке log on to указываешь нетбиос имя, что, контроллер проверяет подлинность по сиду компа (получая его из нетбиос имени), находящемуся у него в АД?.


Добавлено
[offtop] простите за назойливость [/offtop]

Добавлено
ooptimum

Цитата:

NTLM аутентификация работает только с IE версии >= 4. Неважно на какой OS

А смысл тогда ? Самое главное, я считал, исключить подсоединение винь9х к сети. Или вин9х тоже имеют СИДы :-? Так давно не юзал их, что даже не знаю