» Флейм для сисадминов (часть V)

Johny_x3mal

в каком смысле ломается ? каким образом вы это делайте и атака на что?
на WPA/WPA2 или на WPS?
Я ничего не знаю про безопасность WPS, т.к. не пришлось использовать... да и в конторах такое дело я не удовлетворяю.

Цитата:

Silver Member    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
V1ctor
Свой DNS сервер.
 
 
Добавлено:
contrafack
Бесперебойник ужасный, у меня дома стоит 2KV модель, очень сильно греется и быстро ломается.
Сэкономили на нормаьлном APC(

У меня уже стоит трафик инспектор.... я не смогу добавить ещё ДНС сервера и т.п.

Цитата:

    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Johny_x3mal
 
в каком смысле ломается ? каким образом вы это делайте и атака на что?  
на WPA/WPA2 или на WPS?  
Я ничего не знаю про безопасно

Цитата:

Johny_x3mal
 
в каком смысле ломается ? каким образом вы это делайте и атака на что?  
на WPA/WPA2 или на WPS?  
Я ничего не знаю про безопасность WPS, т.к. не пришлось использовать... да и в конторах такое дело я не удовлетворяю.  

именно WPS и ломается, подбором PINа, состоящего из 2-х частей.
А ломается, означает, что как только мы получаем ПИН, сразу имеем доступ к устройству и паролю. т.е. атака на WPS.

Вот сейчас как раз занимаюсь вопросом отключения WPS...

V1ctor

Цитата:

У меня уже стоит трафик инспектор.... я не смогу добавить ещё ДНС сервера и т.п.

куплен? пинайте их поддержку

На чем можно обучится конфигурированию Cisco маршрутизаторов?
Всякие там эмуляторы и т.д.

AkeHayc
PacketTracer для начала попробуйте.

Или роутер железный дешевый как вариант

AkeHayc GNS3

Господа подскажите пожалуйста кто как обеспечивает защиту периметра сети предприятия?) Есть 50 рабочих мест. На локальных компьютера с помощью SEP блокируются USB, с помощью ISA блокируются развлечения и личные почтовые ящики. А вот если кто-то принесет свой ноутбук и вставит в розетку, то спокойно получит адрес по DHCP, зайдет на файловые шары и сможет скопировать доступную для него информацию. Кто как это предотвращает? Подскажите пожалуйста.

Цитата:

Господа подскажите пожалуйста кто как обеспечивает защиту периметра сети предприятия?) Есть 50 рабочих мест. На локальных компьютера с помощью SEP блокируются USB, с помощью ISA блокируются развлечения и личные почтовые ящики. А вот если кто-то принесет свой ноутбук и вставит в розетку, то спокойно получит адрес по DHCP, зайдет на файловые шары и сможет скопировать доступную для него информацию. Кто как это предотвращает? Подскажите пожалуйста.

я тоже задавался таким вопросом, мне тут советовали blacklist для DHCP, на 2003 server там какие то файлики надо было добавлять в систему.

Maza777

А в какой-то мере сервисы типа NAP\RADIUS не могут помочь?)

Цитата:

А в какой-то мере сервисы типа NAP\RADIUS не могут помочь?)

вряд ли
а почему не ввести административные меры? запретите использование личных компьютеров и вопрос решится

kerevra

Ну а как это проследить? Есть некий отдел,там 2-3 сотрудника, в узких отношениях. Естественно друг друга не "сдадут".

Жаль то NAP не спасет, я немного на него рассчитывал )

Kacblm
если у вас свичи умные то можно посмотреть в сторону 802.1x.

goletsa

3com SuperStack 3 45000 50 port.

802.1х фильтрация по MAC адресам ? Соотносит Mac к номеру порту и разрешает доступ, такой принцип?)

Kacblm

Очень понятно технарское стремление "сделать всё по уму".
Но я бы всё-таки задался вопросом, кому в организации нужна безопасность такого рода и кем/чем и как будут компенсированы Ваши усилия по её наведению.

Если это собственная инициатива пощупать технологии или увеличить свою ценнность в глазах нынешнего работодателя - то готовы ли Вы расплачиваться за неё ценою обострения отношений с людьми?

Меня всегда забавляли потуги начальства сделать сисадмина одновременно специалистом по защите информации, хотя разница между этими профессиями, как между гинекологом и проктологом. Там тоже вроде все совершенно рядом...

LevT

Мне вообще стал интересен сам процесс обеспечения безопасности такого характера.
Ну и конечно же пощупать технологии + ценность (без неё никуда)

goletsa, 802.1x лишь авторизует пользователя, используя учетные данные с радиус-сервера, и в случае успешной авторизации разрешает доступ к сети. т.е. ничто не мешает подключить домашнюю машину, при необходимости подменить мак-адрес, набрать логин+пароль и слить данные

Цитата:

802.1x лишь авторизует пользователя, используя учетные данные с радиус-сервера, и в случае успешной авторизации разрешает доступ к сети. т.е. ничто не мешает подключить домашнюю машину, при необходимости подменить мак-адрес, набрать логин+пароль и слить данные

Ну NAP обеспечивает не только это,
скажем есть реализации
которые после того как с помощью 802.1x прошла авторизация - машина помещается в "гостевой" вилан, проверяется наличие установленного собственного клиента, если его нет машина получает ссылку на скачивание этого клиента. После того как клиент установлен идет проверка соответствия системы корпоративным правилам (наличие антивируса и актуальность его баз, отсутствие запрещенного ПО и периферии и т.д.). И только если все в порядке машина попадает в свой рабочий вилан.

Valery12, ОК. честно говоря с напом не сталкивался, но что мешает все это проделать на домашней машине? привести ее к соответствию корпоративным правилам?

Kacblm

Цитата:

Господа подскажите пожалуйста кто как обеспечивает защиту периметра сети предприятия?) Есть 50 рабочих мест. На локальных компьютера с помощью SEP блокируются USB, с помощью ISA блокируются развлечения и личные почтовые ящики. А вот если кто-то принесет свой ноутбук и вставит в розетку, то спокойно получит адрес по DHCP, зайдет на файловые шары и сможет скопировать доступную для него информацию. Кто как это предотвращает? Подскажите пожалуйста.

Правами доступа на файловые шары — никаких Everyone, только аутентифицированные пользователи (Authenticated Users)... ну или пользователи домена (Domain Users) — если у вас файлопомойка на контроллере домена
И в параметрах учетной записи указать, что пользователь может входить в домен только с ПК с определенным именем (что неявно подразумевает — с определенным SID).

Boris_Popov


Цитата:

И в параметрах учетной записи указать, что пользователь может входить в домен только с ПК с определенным именем (что неявно подразумевает — с определенным SID).

Простите, а где это выставляется? Конечно речь про пользователей домена.

коллеги, из за чего может быть ситуация, когда все работает, но мышкой не получается кликать на ярлыки или открыть что то из рабочего стола. А вот можно нажать на таскбаре все. клавиатура тоже работает, но TAB_ом даже не переходит ничего по ярлыкам. такое ощущение, как будто сделано скрин рабочего стола, а ярлыки спрятаны )) как в старых приколов.
ситуацию исправляет только перезагрузка.. может работать целый день и в один прекрасный момент замирает все на рабочем столе.

ОС - windows 7 pro
антивирус - KIS(обновляется)
ноутбук HP... какой то, на базе процессора i3

Цитата:

как будто сделано скрин рабочего стола, а ярлыки спрятаны

может оно и есть?

contrafack, попробуй взять autoruns от sysinternals (или че-нибудь подобное) и посмотреть че лишнего грузит explorer при запуске, поиграть с отключением-включением надстроек

Цитата:

ОК. честно говоря с напом не сталкивался, но что мешает все это проделать на домашней машине? привести ее к соответствию корпоративным правилам?

ну если пользователь может свою машину и в домен ввести то он явно не рядовой пользователь, а борьба с админами это уже другой вопрос, тут главное логирование всего и вся и регулярный анализ логов.

Цитата:

если пользователь может свою машину и в домен ввести

это да, слона то я и не приметил

Kacblm

Цитата:

Простите, а где это выставляется? Конечно речь про пользователей домена.

Для английского GUI, Server 2003
Active Directory Users and Computers -> выбираем пользователя -> Properties -> вкладка Account -> кнопка Log On To -> модальное окно Logon Workstations
(как, например, здесь).




Добавлено:
contrafack

Цитата:

коллеги, из за чего может быть ситуация, когда все работает, но мышкой не получается кликать на ярлыки или открыть что то из рабочего стола. А вот можно нажать на таскбаре все. клавиатура тоже работает, но TAB_ом даже не переходит ничего по ярлыкам. такое ощущение, как будто сделано скрин рабочего стола, а ярлыки спрятаны )) как в старых приколов.
ситуацию исправляет только перезагрузка.. может работать целый день и в один прекрасный момент замирает все на рабочем столе.

Объем NTUSER.DAT в папке соответствующего пользователя посмотри. И системный раздел проверь на наличие ошибок файловой системы.

а не подскажите где я могу проконсультироваться по вопросам ремонта бесперебойников ?
а то первый день на работе на новой а ту та ситуация такая 3 бесперебойника сломались...

tempik

Может просто аккумуляторы умерли?

Добавлено:
to ALL

Ни кто тестирование еще не успел пройти на admin2012?