» HARDWARE-Авторизация подсоединения к сети

Есть такая проблема:
в организации параллельно существует две физически не связанные сетки: с выходом в Инет и без оного. Необходимо: реализовать (очень желательно на хардварном уровне) невозможность несанкционированного подключения компов к сети с выходом в Инет. Данная ЛВС реализована на оптике, витой, коммутаторе и единственном выходе через проксю (винтукей+Wingate).
Могет, есть у кого какие мысли?

Neo1
Можно использовать Smart Card, токены.
http://www.esafe.com/etoken/default.asp?cf=tl

Crash Master
Рассматривал. Но, похоже, подобный девайс можно воткнуть в любой комп? Представим ситуацию: юзверь строит комп с двумя сетевухами, воткает туды девайс, ставит каскадный прокси или что-то вроде него, и выпускает в инет хоть всех подряд .

Neo1
Тогда нужно вешать замки на машины...

Neo1
При рассмотрении системы безопасности на таком уровне у тебя и рабочие станции должны быть с датчиками вскрытия корпуса, отключенными дисководами FD и CD, запретом на выключение питания пользователем и т.п. А тогда уж можно об аппаратной авторизации в сети говорить. Cisco кое-что умеет (Есть варианты перемещения станции в нужный VLAN после авторизации). А если юзвери у тебя могут сетевухи в компы втыкать - тогда и думать забудь...

В том-то и загвоздк: на КАКОЙ комп вешать замок? Если юзверь подключит ВМЕСТО авторизованного компа другой, а эл.ключ будет использовать с авторизованного? Впрочем, может, есть внутрикорпусные эл.ключи? Вообще весь этот путь с эл.ключами не нравится моему начальству (. А что-либо еще в голову не приходит.

Обожаю начальство, которое за 3 копейки хочет получить безопасность как в АНБ. Сорри за офтоп.

Начитался тут всякой лабуды по сабжу, вывод плачевный. Похоже, самый действенный способ - обнаружение подмены (тем или иным способом) и административные наказания провинившихся (в смысле, бюрократические). Только вот при каждом таком "промахе" будет доставаться и мне

Добавлено
Akama
Согласен . Похоже, однако, надо пересмотреть требования по безопасности.

Neo1

Цитата:

Если юзверь подключит ВМЕСТО авторизованного компа другой, а эл.ключ будет использовать с авторизованного?

А это еще как? Ведь все настраивается так, что токен должен быть в машине при логине, если ты залогинился с ним, как ты сможешь подменить машину?

Неее. Похоже, я совсем углубился. Это ж, юзверь должен знать, как обмануть все эти преграды. По поводу токенов - я имел в виду, что у юзверя имеется ДВА компа. Один из них - авторизованный, опечатанный, и подключенный. Другой - неподключенный, неопечатанный, и делать с ним он может что угодно. Допустим, он устанавливает в него две сетевухи, устанавливает винь98, или не знаю там чего, главное, чтобы доступ к прокси без авторизации компа в домене получить, вставляет и настраивает использование эл. ключа - и в путь!

Neo1
1 - Так у тебя ж в пркси лог по доступу есть, - можно обращения отследить

2 - Попробуй в прокси настроить IP фильтр так, чтоб со второй сетки у юзверей не было доступа

3 - Никогда не пробовал такого сделать, но читал, что можно написать таблицу статического соответствия MAC (ethernet) адресов и IP адресов - и если юзверь поменяет сетевуху, то у него изменится и MAC адрес сетевухи, а значит у каждой сетевухи будет всегда один и тот же IP и юзверь не сможет поменять IP так, чтобы он подходил под твой фильтр.

E hero
Вот тут правильно, ставится DHCP с двумя скопами, в одном правильные натройки выдаются по МАС резервациям, а всем остальным левые адреса.
Neo1
Вот только проблема у тебя останется, так как можно добавить еще одну сетевуху в рабочую машину. А вообще я в шоке, у вас там все похоже на сеть в городском парке, в котором инет по цене золота и каждый ходит со своим компом и подключается где и когда хочет.
Сорри за оффтоп.

Neo1
А ка это сделать - на тебе линк - покопайся там, точно не помню где читал, но что-то связанное с IP сетями http://www.citforum.ru
Crash Master

Цитата:

ставится DHCP с двумя скопами

Точно, но с DHCP у него потом проблемы будут, он же там потом в IP адресах не разгребется, - там четкий контроль нужен.

E hero

Цитата:

но с DHCP у него потом проблемы будут

Какие проблемы? Нужно только включить все нужные машины, записать МАС-и и настроить резервирование. После этого нужно будет трогать DHCP только в случае замены сетевухи или добавления сашины.

Топик про DHCP (что-то похожее) был где-то в этом разделе.

Crash Master
MAC достаточно легко подменить.
Так что никакого толку от резервации по маку не будет

snop
Cломать можно все, нужно только желание. Тем более в такой сетке, где каждый делает что хочет. Вопрос в том, будет ли кто-то это делать, какие у него знания, как далеко он готов пойти. Но так как весь шум только из-за подключения к интернету....
Neo1
Может поставить терминал?

Не, народ, а нафига изобретать велосипед? Авторизацию на прокси поставить не судьба, что ли? NAT на шлюзе выключить, всех пускать через прокси. У меня так и сделано. Так хоть заподключайся к сети, если пароля не знаешь -- далеко не уедешь.

ooptimum
И что будет если кто-то поставит у себя на машине еще один прокси, который авторизировавшись будет тянуть и радавать инет с твоего прокси?

Crash Master
А я логи читать умею. И если такая байда случится, то я сделаю серьезное внушение... внутрипопочно. И потом, у меня юзеры ничего ставить не могут -- прав у них нет. Кроме того, все завязано на домен. Я могу сделать авторизацию только через NTLM, т.е. юзеры и знать-то не будут, что их кто-то авторизует, а если и будут, то не смогут ввести пароль тети Маши, бо самому Васе Пупкину заподло заходить в домен под ее аккаунтом, да если и захочет, то не сможет со своей машины. И т.д. Да, чуть не забыл. Напомни мне, какой есть прокси, умеющий авторизоваться по NTLM? От M$? Я честно не знаю (бо не юзаю его) -- а он умеет сам авторизоваться так на другом прокси?

ooptimum
Все ок, но это у тебя... Почитай что пишет Neo1 о сетке, там просто публичный дом....

Crash Master
Да какой там публичный дом? Обычная сетка. Откуда только фобия такая, что кто-то там левый в и-нет полезет? Если, конечно, там не 9600 канал. Единственный бардак -- это:
Цитата:

винтукей+Wingate

на шлюзовой машине. Кесарю -- кесарево...

ooptimum

Цитата:

Обычная сетка

Я говорил не совсем о сети, а об организации.

Цитата:

Представим ситуацию: юзверь строит комп с двумя сетевухами, воткает туды девайс, ставит каскадный прокси или что-то вроде него, и выпускает в инет хоть всех подряд

Цитата:

Если юзверь подключит ВМЕСТО авторизованного компа другой, а эл.ключ будет использовать с авторизованного?

И так далее. У нас бы уже за такие дела, юзера за ноги повесили.
А там все нормально. Кто даст гарантии, что завтра такой юзер не пойдет и отключит сервак и подключит свою машину к раутеру в инет?

Цитата:

Если юзверь подключит ВМЕСТО авторизованного компа другой, а эл.ключ будет использовать с авторизованного?

А пофиг, с точки зрения доступа к и-нету. Юзверь-то тот же самый. А вот с других точек зрения -- это уже другой комп, другой адрес и т.д., т.е. такая ситуация в принципе легко отлавливается.

ooptimum
Имелось в виду не именно это, а ситуация в целом. Сетка, можно сказать, без надзора.

Цитата:

Имелось в виду не именно это, а ситуация в целом. Сетка, можно сказать, без надзора.

Дык, вот тут-то как раз и вылезает на свет преимущество централизованного решения aka прокси с авторизацией. Ибо на рабочих станциях можно железку заменить или вытащить, а можно и саму машину в целом, как выясняется А вот как заменить сервер так, чтобы администратор этого не заметил? Вот-вот...

[offtop] Вот это да, только отошел, а накидали-то [/offtop]
Это есть хорошо. Немного поясню задачу. Организация - закрытая, соответственно нужно обрубить выход в инет. Опасность подключения другого компа в том, что юзверь сможет пользоваться неограниченными привилегиями на нем (доступ к носителям, организация дополнительных сервисов и пр.). Фобия не моя, а отдела безопасности . Сетка разбросана на нескольких удаленных зданиях (порядка 600 пк), так что в живую отследить достаточно сложно, только по логам. Авторизация на проксе есть (НТ-ная). Понравилась мысль про фильтр ИП/МАК, только вот не врублюсь, как это.

Цитата:

Опасность подключения другого компа в том, что юзверь сможет пользоваться неограниченными привилегиями на нем (доступ к носителям, организация дополнительных сервисов и пр.).

Я пытался решить такую проблему , заменив все хабы и свичи на cisco и включив режим security на портах . В этом случае каждый порт свича работает только с тем mac-адресом , который был первым на порту на момент включения режима . Если какая-то падла подключит другой комп , поменяет сетевуху , или подменит mac - порт встанет в disable до вмешательства администратора .

фильтр ip-mac штука сложная . первое что приходит вголову (и кажется единственное) - поставить free-bsd , у нее есть возможность замораживания arp - таблицы . Таблицу придется прописывать руками . короче для большой сети - гемор .

думаю тебе помогут свичи с security плюс прокси с авторизацией .

А зачем такие меры предосторожности? У меня тоже все привязано - ip к mac. Параллельно работает прога, которая смотрит на предмет возникновения новый адресов или изменения старых.

Добавлено

Цитата:

думаю тебе помогут свичи с security

совершенно верно. Например cisco 2950

Вообще странно, что в режимной организации возможна неавторизованная замена железа или пронос своего компа на территорию. ... Тут мне такая мысль в голову пришла -- а что, если, скажем, отделить некий защищаемый ресурс (сервер, шлюз интернета и т.д.) от прочей потенциально опасной сети интеллектуальным езернет мостом? Т.е. стоит между двумя сегментами сети (защищаемым и открытым) такой компик с 2 сетевушками и с тем же линуксом на борту, но не простой, а настроенный как бридж с брэндмауэром. Т.к. это бридж, он не будет заметен пользователям, а т.к. там еще и брэндмауэр, то можно фильтровать всякие левые подключения. Плюс еще много чего можно организовать, пакеты нюхать, например, логи внеплановой активности вести и т.д. Всяко дешевле кучи кисок будет.



Цитата:

Сетка разбросана на нескольких удаленных зданиях (порядка 600 пк)

Читаю: ... порядка 600 парсек (!). Задумываюсь... Эко вас пораскидало-то! Потом догоняю, что речь про PC.

Цитата:

Тут мне такая мысль в голову пришла -- а что, если, скажем, отделить некий защищаемый ресурс (сервер, шлюз интернета и т.д.) от прочей потенциально опасной сети интеллектуальным езернет мостом?

шлюз отделять смысла нет , чаще всего на нем установлено что-то типа firewall. Ну или за ним . Есть конечно организацие , которые в интернет неприкрытими ходят - но долго не живут ввиду естественного отбора . Или умнеют .

По поводу второй части - есть такая технология . Называется DMZ (де-милитаризованная зона).
Выглядит так - фаервол с тремя картами - одна в интернет , вторая в локалку , третья в DMZ . В DMZ обычно Web , FTP сервера , RAS серверы и все такое . Но это все для защиты от атак извне . От внутрисетевых не покатит .

А тачку в режиме бриджа - геморрой . Гораздо проще лишний HUB поставить в нужное место и в него тачку с анализатором пакетов . Он и покажет кто с кем сношения вел сетевые .