Вход | Регистрация

  1  2   
1С:Предприятие ::

Метки: безопасность

Защита баз в одноранговой сети - 2

Я
   327
21.03.04 - 08:19
Какой то идет.... закрыл ту ветку....

Твои ответы по поводу применения ип/секюрити и прочего ... не имеют смысла ... НА ЛОКАЛЬНОЙ СЕТИ....
Ибо НА ЛОКАЛЬНОЙ СЕТИ в пределах одного здания значительно проще контролировать физический доступ к носителю....

В приложении к 1С ВСЯ внешняя защита - полное фуфло...
С любой системой работают люди.... И анализ краж показывает - в 99,99% крадут инфу те, кто имеет доступ к системе... Так что правильно сказал Борис... положи базу на ПЖП диск, закрой каналы - чел все равно получит доступ к базе.... Просто ему нужно РАБОТАТЬ С БАЗОЙ..... Вот и все...

А средств 1С версии 7.7 просто недостаточно.... К тому же все они обходятся настолько элементарно ...

В версии 8 теоретически средств больше.... но дыры уже в общем то видны... И причина крайне проста - красть будут те, кто имеет доступ к системе....

А учитывая нежелание 1С закрывать известные дыры ...
В той же 7 есть дыра (в ЛЮБОЙ ТИПОВОЙ от 1С), которая не закрывается уже несколько лет.... И ОНА НЕ БУДЕТ ЗАКРЫТА....

Чтобы украсть инфу - не нужно тащить всю базу.... на ....цать гигов.... Слив инфы размером в 3-4 дискеты - достаточно....

Успехов в применении ип/сек ..... особенно в одноранговой сети ....
 
  Рекламное место пустует
   Волшебник
 
1 - 21.03.04 - 09:54
2.6 Сделает ли IPSEC брандмауэры ненужными?

Некоторые считают именно так. Прежде чем делать такие серьезные прогнозы, однако, стоит разобраться, что же такое IPSEC и что он делает. После этого можно будет решить, сможет ли IPSEC решить проблемы, которые сейчас пытаются решить с помощью брандмауэров.

IPSEC (IP SECurity -- защита IP) -- это набор стандартов, разработанных Internet Engineering Task Force (IETF). Есть несколько документов, совместно определяющих, что же такое "IPSEC" [4]. IPSEC решает две проблемы, от которых многие годы страдает стек протоколов IP: взаимная аутентификация хостов (позволяющая хостам знать, что они взаимодействуют именно с теми хостами, с которыми предполагают) и шифрование (которое не позволит атакующим следить за информацией, передаваемой между машинами).

Обратите внимание, что ни одна из этих проблем не относится к тем, для решения которых создавались брандмауэры. Хотя брандмауэры могут помочь снизить некоторые из рисков при работе в Internet без аутентификации или шифрования, на самом деле речь идет о двух классах проблем: целостность и конфиденциальность информации, передаваемой между хостами, и ограничения на виды подключений, допустимых между различными сетями. Первый класс проблем решает IPSEC, а второй -- брандмауэры.

Это означает, что решение одного класса проблем не избавляет от необходимости решать проблемы другого класса, но сочетание брандмауэра и хостов, поддерживающих IPSEC, дает ряд интересных возможностей. В частности, это универсальные виртуальные приватные сети (VPNs), улучшенное фильтрование пакетов (за счет фильтрования по признаку наличия в пакетах заголовка аутентификации IPSEC), и брандмауэры уровня приложений, которые смогут точнее проверять хосты, используя заголовок аутентификации IPSEC вместо "принятия на веру" указанного IP-адреса.

Большая книга по брандмауэрам:
http://ln.com.ua/~openxs/articles/fwfaq.html

Содержание
0 Словарь терминов 
1 Административные вопросы 
1.1 О документе 
1.2 Для кого предназначен этот документ? 
1.3 Прежде чем слать сообщения 
1.4 Где можно найти последнюю версию этого документа?
1.5 Где можно найти версии этого документа на других языках?
1.6 Соавторы 
1.7 Авторское право и условия использования 
2 Основы технологии брандмауэров 
2.1 Что такое сетевой брандмауэр?
2.2 Зачем нужен брандмауэр?
2.3 От чего может защитить брандмауэр?
2.4 От чего не может защитить брандмауэр?
2.5 А как насчет вирусов?
2.6 Сделает ли IPSEC брандмауэры ненужными?
2.7 Хорошие печатные источники информации о брандмауэрах 
2.8 Дополнительные источники информации о брандмауэрах в Internet 
3 Вопросы проектирования и реализации 
3.1 Какие основные проектные решения необходимо принять при создании брандмауэра?
3.2 Основные типы брандмауэров 
3.2.1 Брандмауэры сетевого уровня 
3.2.2 Брандмауэры прикладного уровня 
3.3 Что такое промежуточные серверы и как они работают?
3.4 Есть ли недорогие средства экранирования пакетов?
3.5 Какие основные правила фильтрования необходимо задавать для экранирования пакетов на базе ядра?
3.5.1 Реализация 
3.5.2 Объяснение
3.6 Какие основные правила фильтрования необходимо задавать для маршрутизаторов Cisco?
3.6.1 Реализация 
3.6.2 Объяснение 
3.6.3 Недостатки 
3.7 Какие ресурсы являются критичными для брандмауэра?
3.8 Что такое DMZ (демилитаризованная зона) и зачем она нужна?
3.9 Как можно повысить защищенность и масштабируемость демилитаризованной зоны?
3.10 Что такое уязвимая точка и как ее избежать?
3.11 Как заблокировать все возможные угрозы?
3.12 Как ограничить доступ к Web так, чтобы пользователи не могли просматривать сайты, не имеющие отношения к работе?
4 Различные атаки
4.1 Что такое пакеты с внутренней маршрутизацией и почему они представляют угрозу?
4.2 Что такое перенаправления ICMP и "бомбы" перенаправления?
4.3 Что такое атаки на службы?
4.4 Какие атаки наиболее типичны и как защитить от них систему?
4.4.1 Перехват сервера SMTP (незаконная пересылка) 
4.4.2 Использование ошибок в приложениях 
4.4.3 Ошибки в операционных системах 
5 Как сделать...
5.1 Надо ли разрешать все, о чем просят пользователи?
5.2 Как обеспечить работу Web-сервера/HTTP через брандмауэр?
5.3 Как обеспечить работу протокола SSL через брандмауэр?
5.4 Как обеспечить работу службы DNS с брандмауэром?
5.5 Как обеспечить работу FTP через брандмауэр?
5.6 Как обеспечить работу Telnet через брандмауэр?
5.7 Как обеспечить работу программ Finger и whois через брандмауэр?
5.8 Как обеспечить работу gopher, archie и других служб через брандмауэр?
5.9 Какие проблемы возникают при поддержке протокола X11 через брандмауэр?
5.10 Как обеспечить работу RealAudio через брандмауэр?
5.11 Как сделать Web-сервер пользовательским интерфейсом к базе данных, находящейся в приватной сети?
5.12 Но моя база данных включает интегрированный Web-сервер, и я хочу его использовать. Нельзя ли просто сделать дырку в брандмауэре и передавать запросы на соответствующий порт?
5.13 Как обеспечить работу многоадресной IP-передачи с брандмауэром?
Приложение А. Некоторые коммерческие решения и их поставщики
Приложение Б. Глоссарий понятий, связанных с брандмауэрами 
Приложение В. Порты TCP и UDP 
В.1 Что такое порт?
В.2 Как узнать, какие порты используют приложения?
В.3 Что такое прослушивающие (LISTENING) порты?
В.4 Как определить, для какой службы предназначен конкретный порт?
В.5 Обращения к каким портам можно безопасно пропускать через брандмауэр?
В.6 Особенности протокола FTP
В.7 Какой режим FTP поддерживает та или иная программа?
В.8 Пытается ли мой брандмауэр подключаться к внешним серверам?
В.9 Анатомия подключения по протоколу TCP
   327
2 - 21.03.04 - 10:49
Типовое применение 1С - локальная сеть без выхода в инет....

Брадмауэр - как зайцу стоп-сигнал..... Про ИП/сек - аналогично в таких условиях....
   Demiurg
 
3 - 21.03.04 - 11:08
(2) потерпи до моей третьей статьи, а уж тогда и обсудим этот вопрос - а пока могу сказать, что из твоей логики можно вообще ни чего не защищать, если "куплен" главбух :-)
   327
4 - 21.03.04 - 11:40
Вот именно....
Только "покупают" обычно не главбуха... Ему достаточно платят.... Покупают обычно рядового исполнителя... имеющего доступ к базе.....

Вот он и крадет инфу.... И никакие методы защиты здесь практически не работают.... Из-за большого количества дыр в самой 1С......  Так что решение в большинстве контор - чисто административные меры....

То, что ты говоришь - имеет смысл для систем, работающих через Инет в онлайне.... Что достаточно редко вообще, и в 1С в частности....

И самое главное - достаточно просто рубится указанными тобой средствами... туннелированием, VPN.....

В случае использования же 1С применяются другие методы - они просто дешевле и проще ....

А цеплять контору к инету через выделенку, не ставя средств защиты ..... ну это просто маразм ....
   BorisG
 
5 - 21.03.04 - 11:43
(3) Как все просто...
На самом деле все еще проще... Система безопасности - это КОМПЛЕКС мер... Истина, специалистам общеизвестная...
И бессмысленно рассуждать непосредственно о защите сети, базы и пр., если есть возможность, например, загрузить файлик на рабочей станции... или сохранить отчет на рабочую станцию...
И практически ВСЕ известные способы получения информации (читай: кражи) из 1С лишь подтверждают эту истину... Печально, но, увы, так.

Все разговоры о защите в 1С на популярных ресурсах сосредоточены исключительно в части защиты на уровне системы...

Еще один аспект... психологический... создав один барьер защиты, у неспециалиста возникает ощущение успокоенности от сделанного... каково же бывает разочарование... Как? Я же все сделал...

И последний аспект... человеку, задающий элементарный вопрос в области безопасности ОПАСНО и ВРЕДНО давать ответ только на поставленный вопрос, ибо на 100% можно сказать, что другого он не знает... О последствиях  сказал выше...
   327
6 - 21.03.04 - 11:48
Фигня все, Борь.... Когда ему вставят клизму на полведра скипидара .... с патефонными иголками .... после кражи, совершенной ламером при всех работающих защитах ..... вот тогда он поймет.... Что такое нормальное административное решение .....
   Demiurg
 
7 - 21.03.04 - 11:56
Могу к вышесказанному добавить, что тут уместно упомянуть ОЦЕНКУ РИСКОВ - т.е. не надо гадать :-)
ниже приведенные ссылки не касаются 1С, однако суть для тех хочеть понять будет видна:
"оценка рисков защиты интернета"
http://www.securitylab.ru/?ID=34907
http://www.securitylab.ru/?ID=35756
http://www.securitylab.ru/?ID=36342
http://www.securitylab.ru/37248.html
:-)
   skunk
 
8 - 21.03.04 - 12:01
(7)да... сложно конечно... ну все же да... конечно после администрирования винды картинками... ожидать подобное стоило... к сожалению жизнь... это не администрирование "картинками"
   327
9 - 21.03.04 - 13:15
(7) мы о разных вещах .....
   Demiurg
 
10 - 21.03.04 - 13:18
(9) может потерпишь, я не могу книги штопать конвейерами... :-)))
 
 
   327
11 - 21.03.04 - 13:27
Ладно....

Плиз, изложи методы защиты информации на сети... При следующих УСЛОВИЯХ.....

-- локальная сеть небольшой фирмы..... (скажем, до 20 пользователей)....

-- территориально - 3-4 соседние комнаты, кабель проложен по стене, визуально контролируется весь....

-- доступа в интернет НЕТ.... выделенки нет, диалап на отдельной машине вне сети (т.е. внешние угрозы отсутствуют в принципе и их можно не рассматривать)....
--------------------------------------------------------
Вариант А - одноранговая сеть
Вариант Б - сеть с выделенным сервером

Вот на базе этих исходных положений и будем спорить....
Все остальное - это навороты, которые у многих отсутствуют.....
   Demiurg
 
12 - 21.03.04 - 13:34
327, я спорить не буду, у меня проблем с этим нет, но если ты не знаешь, как это делается, мог просто и спросить...
Как и Борису, еще раз повторюсь, человек всего знать не может, но это моя работа, мне за это платят, устраиваю начальство, поставленные задачи выполняются - это ли не критерий?

Как ты думаешь, твое мнение отразиться на моей зарплате, или какая другая будет польза мне лично?

Не хвастаюсь, но считаю, что знаю свою работу ХОРОШО - и она мне очень нравиться :-) !!!
   327
13 - 21.03.04 - 14:08
Спорить с тобой при наличии выделенки в инет я не буду... Это действительно нужно...

Я хотел показать другое - что при наличии условий из 11 ВСЕ твои методы просто оказываются бессмысленными ....

А то, что есть опасность проникновения извне при выделенке - мне объяснять не нужно...

Более того, всегда говорю клиенту, что если у него выделенка и компов более 20 - нужен отдельный грамотный админ, отвечающий за локалку и защиту ....

Приходящий на полставки тут уже не рулит ....

Плиз... все таки рассмотри варианты защиты информации при условиях (11).... без ВНЕШНИХ УГРОЗ ....
   Demiurg
 
14 - 21.03.04 - 14:18
именно об этих условиях и будет статья - но учту твои пожеланию, рассмотрю не только домен, но и рабочую группу, на вскидку защиту сетевых соединений можно контролировать в плане аутентификации можно сертификатами PKI-технологий, сделав скажем локальный CA. Инсайдеров я рассматривать не буду, т.е. как с ними бороться ближе к HR-работе, но постаюсь ни чего не упустить и не буду брать большую организацию для примера. Кстати, сразу о кабеле - при небольшом метраже кинул бы оптику, т.е. конечно параноидальная защита - вряд ли кто будет подключаться к кабелю - фирма то не большая, но береженого бог бережет. Еще что?
   BorisG
 
15 - 21.03.04 - 15:11
(14) "...при небольшом метраже кинул бы оптику..."
Ну и... оптику то зачем в небольшом офисе?
Нужно для начала отпределить аудиторию статьи и условия.
Если в приложении 1С, то, для сведения... нет НИ ОДНОГО случая серьезных съемов информации через систему, кабели и пр. ибо это просто НЕ НАДО. Практически во всех известных случаях тащили НЕПОСРЕДСТВЕННО через дыры 1С.
Если общая информация, то да. Есть причины, когда оптика нужна до рабочего места...
Но есть и оборудование съема информации и с оптического кабеля... Правда, в основном, нужен непосредственный контакт с волокном...
   Demiurg
 
16 - 21.03.04 - 15:34
Можно тащить не только 1С, да и в любом деле разумность и все меру ни кто не отменял. Давайте сразу решим, тащить будут бухи, или посторонние?
   SnarkHunter
 
17 - 21.03.04 - 15:41
Это не нам решать...
   Demiurg
 
18 - 21.03.04 - 15:42
(17) ?
   BorisG
 
19 - 21.03.04 - 15:46
(16) Да... ;-)
Lfdf
   BorisG
 
20 - 21.03.04 - 15:52
+19 Случайно клавищу зацепил... ;-)
Давай все-таки определимся, для кого этот форум.
Если для людей, работающих с 1С, это одно... Им технологии и технические тонкости защиты, применяемые на больших предприятиях врядли им нужны и интересны...
Если сисадминов крупных предприятий, это совсем дело другое... Но врядли кворум для полноценной дискуссии наберем ;-) Я, кстати, с большими предприятиями, в основном, работаю...
Но ветка помещена в раздел 1С:Предприятие...
   Demiurg
 
21 - 21.03.04 - 15:55
Переформулирую, защита от бухгалтеров, которые по определению ДОЛЖНЫ получать информацию - это защита в первую очередь Не техническими мероприятиями, а административными - та же зарплата много значит, но это не входит в задачи. Из технических можно сказать о заблаговременном прогнозе (если хотите контроле действий бухгалтера), например Ideal Administrator позволяет наблюдать за действиями бухгалтера "вживую его экрана", логи, аудит, запрет на съемные носители, т.е. совокупность мер различного уровня.
Об внешних "нарушителях" отделная песня. Потенциально это может уборщица, правда звучит нелепо - однако такие случаи были :-).
Тогда поднимается вопрос об обучении персонала элементарным правилам безопасности при работе с информацией, теже инструкции.
Немаловажен контроль за исполнением их же.
Далее....
   Demiurg
 
22 - 21.03.04 - 15:57
Не принципиально "для кого это форум", вы же не хотите сказать, что люди на одном форуме отличаются от посетителей на другом.
   Demiurg
 
23 - 21.03.04 - 16:00
Из технических же мер прежде всего сказал бы об анализе рисков, который является составной частью разрабатываемой политикой безопасности (кстати, составление правильно последней с учетом решаемых задач и не делая иллюзий защищенности является гарантом успеха).
   skunk
 
24 - 21.03.04 - 16:06
(20)Борис, какое предприятие следует считать крупным?
   Demiurg
 
25 - 21.03.04 - 16:15
aladdin.ru ?
   BorisG
 
26 - 21.03.04 - 16:29
(22) Конечно, отличаются. И сильно отличаются. У каждого форума своя аудитория.
(24) Однозначной оценки нет и на западе...
У нас, на мой взгляд, к разряду крупных надо относить предприяти с числом работающих от 1 тыс. чел, численностью автоматизированных рабочих мест от 30-50, а вот оборот оценивать не буду, у нас его оценка очень неоднозначна.
При этом могут быть и есть исключения, типа предприятий с численностью 30-50 чел, но ОЧЕНЬ значительными оборотами, где принимаемые меры безопасности при обработке информации аналогичны крупным предприятиям...
(25) Не понял юмора.
   Demiurg
 
27 - 21.03.04 - 16:45
набрал в поисковике "BorisG"
http://www.livejournal.com/userinfo.bml?user=38th
http://geo.web.ru/bards/1addressbook/pers000658.htm

если расскажите о себе на самом деле, мне было интересно

об аудитории, по той же самой неоднозначности, мне кроме вопросов администрирования еще приходиться внедрять проекты (пусть небольшие, так как пишем не большим количеством народа), но это же не обязанности сисадмина в чистом виде
   BorisG
 
28 - 21.03.04 - 17:00
(27) Случайное совпадение, я и не знал, что у него такой же ник на других сайтах ;-)

Относительно аудитории. Для полноценной дискуссии нужно хотябы 5-10 спецов в конкретной области, чтобы она была конструктивна.
Тут же получается, что мы с pit'ом являемся для тебя вынужденными оппонентами, и вовсе не о того, что интересен сам предмет обсуждения, а из-за того, что применение его в этой области в большинстве случаев неоправдано... со всеми вытекающими...
   BorisG
 
29 - 21.03.04 - 17:06
Еще относительно аудитории...
Если взять область 1С, то отвечают на форумах на серьезные вопросы одни и те же... Однако контингент спрашивающих сильно разный... Поведение владельцев форумов тоже разное... Этим и определяется активность и поведение отвечающих...
   Demiurg
 
30 - 21.03.04 - 17:07
мне все думается, что мы скорее все таки просто коллеги, и делить то нечего :-)
К тому же мне еще предстоить "подружиться" с Cisco, пока сфокусирован на других задачах.
И все таки в двух словах о себе, можем через MSN например (MSN: gilev_slava (@) mail.ru).
Если нужна аудитория, то мой "родной" сайт CCNA.RU :-)
   327
31 - 21.03.04 - 17:41
(30) если говорить об областях защиты.... то ты говоришь о внешних злоумышленниках.... по отношению в БД.... которые по определению не имеют к ней доступа... Тогда описываемые тобой методы - .... ну они для этого и предназначены...

Я же говорю о злоумышленниках "внутренних" - т.е. сотрудниках, которым по работе открыт доступ к той или иной информации в БД.... Тогда описываемые тобой методы не рулят.... не, часть вполне применима... аутентификация, например, нужна однозначно.... Но когда штатно сотр имеет доступ к БД - внешними по отношению к этой БД средствами контроль невозможен ....

А средства внутр контроля в 1С 7.7 слабы.... О 8 речь не идет.... (к тому же в ней, хотя бы по описанию.... контроль усилен)....

В абсолютном большинстве контор кража выполняется собственными сотрами.... Самое прикольное - чтобы утащить существенную коммерческую инфу из базы размером 5 Гигабайт (!!!) надо всего 4-5-6 дискет.....
Кстати, тот же Бест-4 имеет гораздо более сильную защиту ....

Вот как раз эта область освещена крайне слабо...
В основном решения только административные....

Свод правил по защите в таких условиях - это было бы актуально и интересно для всех .....

Та же часть, о которой говоришь ты (защита внешних соединений) - достаточно хорошо освещена в литературе... Ну по крайней мере пяток хороших книг любой поисковик выдаст сразу ....
   Demiurg
 
32 - 21.03.04 - 18:28
уф, утомил если честно уже (31): "Я ГОВОРЮ О ВНУТРЕННЕМ КОНТРОЛЕ", см. внимательно тот же (21), тока не спеши...
   327
33 - 21.03.04 - 20:37
Ну читал я этот пост... Если по пунктам

"например Ideal Administrator позволяет наблюдать за действиями бухгалтера "вживую его экрана" - если в конторе более 20 компов - мил человек.... никто ничего смотреть не будет...

"логи" - см предыдущее

"аудит" - это весЧ.... подняв АД, можно нехило порулить групповухой... Это очень даже ....

"запрет на съемные носители" - практически нереализуем... Если не учитывать экзотику типа внешнего зипа....  то флопики ты не вырубишь .... сразу всплывет масса всяких фондов.... куда надо носить дискеты...

а усб тоже не отключишь.... часто принтера висят там.... и поверь, некоторые оченьбыстро доходят - выдернуть принтер, вставить флешку.... записать и воткнуть принтер взад ....

Все это проходили... очень геморойно, трудозатратно... и поверь мне, тебя за те же снятые флопики поимеет начальство - достаточно буху один раз отмазаться.... типа информация не сдана - админ отключил дисковод... и прощай защита..... Второй клизмы ты не захочешь... Доказать же начальству - не докажешь.... Ему плевать на защиту - текучка важнее....
 
  Рекламное место пустует
   Demiurg
 
34 - 21.03.04 - 20:46
(3)
Ознакомься с такими понятиями как "разграничение ответственности", когда бух отвечает за то, что пишет пароль на самом мониторе;
Ideal Administrator может и не потянет (а точнее комп) слежение за всеми одновременно, дык и ты не сможешь уследить, не надо палку перегибать;
логи - есть средства для автоматичского сбора и анализа логов, если ты не знал, извиняй;
"запрет на съемные" еще как реализуем, только не путай с тем, что эти правила - корпоративная политика, которую должны выполнять все, к примеру мой директор не задается вопросом, почему он не имеет административных прав сети, а если у тебя такой будет, лучше беги от таких :-)
заблокировать флешку - ЛЕГКО!!!
а слова "геморойно, трудозатрадно" - от лени и незнания (к тебе не относиться) возникают когда не можешь правильно организовать работу в сети так, чтобы твоего личного присутствия не требовалось...
   Demiurg
 
35 - 21.03.04 - 20:46
пардон, не (3), а (33)
   skunk
 
36 - 21.03.04 - 20:51
+33 у 90% контор этой проблемы нет, или она надумана... а там где это проблема есть... рулит безопасностью не админ только закончивший коледж, институт или универстет (по выбору), а специально натасканый спец... как правило человек проработавший в специфических органах не один год... и знает методику ведения допроса военопленных в полевых условиях... (не путать с мордобоем)

не твоя это забота мил человек, если ты администратор сети
   skunk
 
37 - 21.03.04 - 20:53
пока верстался номер... ню ню... спору нет...
   Demiurg
 
38 - 21.03.04 - 20:58
я вот думаю, пока напишу следующую, уже еще кто-нидь "чернкнет" вирши :-)))
   BorisG
 
39 - 21.03.04 - 21:00
Да... no comment
Demiurg, ну ка расскажи, кто будет сидеть за экраном Ideal Administrator?
   Demiurg
 
40 - 21.03.04 - 21:02
Это о чем?
   skunk
 
41 - 21.03.04 - 21:05
(34)парочка вопросов
1.Как запретить пользователю печатать отчет, когда этот отчет не нужен, то есть во время кражи информации...
2.Повысить права в винде(и не только) имея физический доступ как два пальца... и локальная политика не поможет... не надо кричать бух на это не способен... при краже достаточно интересной инфы буха проконсультируют как это делать... и дадут ему то что надо для того что бы это сделать
3.из два следует что флэшку ты не отключешь ни как, как и сом порт на который тоже можно вешать устройства...
4.если на тачке стоит сидюк, то дело решается вообще все просто... путем подготовки специального диска... пароль на биос тут не рулит... достается не просто а очень просто...
5. и много чего еще продолжить...
   BorisG
 
42 - 21.03.04 - 21:12
(40) Об уровне ответственности на предприятии и допуске к информации... Вопрос предельно простой...
Еще одна весьма деликатная тема... Любой способ контроля экрана буха, особенно ГБ... RAdmin, Ideal Administrator и пр. рулят до тех пор, пока бух не понимает, а поймет...
   Demiurg
 
43 - 21.03.04 - 21:14
Ну для начала, хочу сказать большое спасибо, так как давно так не смеялся :-)

---
почему вы так настойчиво давите на то, как подкупите буха - тут нельзя спорить, тогда сразу подкупите админа и не парьтесь...
даже на печатающем принтере USB для дисковых устройств блокируется!!!
в рабочее время посторонний человек не получит физический доступ, там сидит бух (если вы про это любите акцентировать :-), в не рабочее комп выключен, кабинеты закрыты, подкуп охранника - тожа история "инсайдера" что и с админом.
Еще что?
(Вообще это даже хорошо, уже есть новые разделы в статье)
   Demiurg
 
44 - 21.03.04 - 21:15
Борис, а контроль за безопасностью компании, кажись сотрудники должны заниматься только работой на работе, извиняюсь за коламбур...
   327
45 - 21.03.04 - 21:18
(35) Милай! Проще надо быть... проще ... и народ к тебе потянется...

Ты явно работаешь в конторе, где компов штук 200... или поболее.... И у конторы есть деньги на содержание админа... И есть понимание этой необходимости ....

Только вот таких контор то немного... А основная масса - 15-30 машин... и один человек на обслуге... Который и админ сети, и админ 1С, и программист.... и ремонтер... и частенько на него еще АТС вешают ... с копировалкой ...

И в такой конторе все твои рекомендации - по боку... Ну нет у них желания тратиться на безопасность отдельно... Не понимают они этого... И доказывать таким конторам что либо бесполезно - они не поймут... пока сами не поимеют все удовольствия.

И техника в таких конторах часто старая... А как известно, в98 можно очень простенько проколоть...

И тут групповичек НА БЛОКИРОВАНИЕ ФЛЕШКИ (и вообще на установку новых девайсов) - обходится.... ЛЕГКО! Так же и с логами...

Так что основная проблема, как говорится, не в деньгах... А в их количестве...

Ну об этой ситуации, я думаю, лучше расскажет Борис...
О том, что нет понимания проблемы... и НЕТ желания понять.... И ЕСТ желание сэкономить...

И не надо говорить, что заблокировать ЛЕГКО.... Уж как порулить юзером через сервант - я знаю.... Можно даже порулить автономной в98 при желании... Реестрик то доступен... Тоже можно много чего сотворить .... если разобраться с реестром...

P.S. насчет вопроса в письме .. (кстати, а зачем письмо дважды?).... Пороюсь в архивах... если найду статью ... перешлю... Но не гарантирую... Я такое барахло долго не храню.... на компакты не пишу.... только на текущие архивы на магнитооптике ...
   327
46 - 21.03.04 - 21:20
во кстати... и Борис появился....
   skunk
 
47 - 21.03.04 - 21:22
понятно... вопросов более не имею...
   Demiurg
 
48 - 21.03.04 - 21:24
про письмо, я не знаю статьи, хочу ознакомиться со всем что уже было, может найду что то новое

если заниматься безопасностью компания не желает, значит нет смысла поднимать вопрос о безопасности

а на счет компов правы, действительно у меня их не десяток
делать что в 98 - я пас (не приходилось работать как админу с ней):-)

на 2000-м права при граммотном поднять права очень сложно при граммотной настройке - тут уже скорее вопрос о целесообразности затрат на обеспечение безопасности которая при определенных условиях рискует превысить стоимость того, ради чего все задумывалось :-)
   skunk
 
49 - 21.03.04 - 21:26
(45)а я пришел явно к другому выводу... насчет количества комопов...
 
  Рекламное место пустует
   skunk
 
50 - 21.03.04 - 21:31
(48)поверь, поднять права на локальной машине не просто, а очень просто... об этом говорилось ни раз... поищи если интересно... найдешь много полезного...
   Demiurg
 
51 - 21.03.04 - 21:33
я чувствую, если еще пару постов... :-)
локальная машина на то и локальная, лучше вот посмотри, думаю пригодиться тебе
http://www.jsiinc.com/SUBO/tip7000/rh7093.htm
   BorisG
 
52 - 21.03.04 - 21:36
(44) Да... явно ты еще не сталкивался с грамотными бухами... ;-)
Редко какой бух потерпит, чтобы за его экраном наблюдали... Грамотный ГБ админа подставит на раз... Кстати, так не только у нас... была одна статейка об английском банке... но... не храню такие ссылки...

PS: На самом деле разговор, в общем то беспредметный...
Ибо обсуждать политику безопасности безотносительно конкретного объекта бессмысленно... Еще раз, это КОМПЛЕКС мер...
И на самом деле цель этого разговора развеять твои иллюзии о том, что все можно решить средствами системы и админа... И не надо буха подкупать...

PSS: Недавно писали заключение для одной немаленькой компании... торговля нефтепродуктами... админ сразу уволился...
   skunk
 
53 - 21.03.04 - 21:36
я тебе про Ивана, а ты мне про Макара :)

ладно, едем дальше...
   Demiurg
 
54 - 21.03.04 - 21:40
(52) у меня нет иллюзий - взлом и защита, пожалуй как курица и яйцо, почти философский вопрос - это борьба знаний разных людей...
   skunk
 
55 - 21.03.04 - 21:43
Слав, если по серьезному, то ты просто не имел пока, проблем по этому поводу (отсюда и был, сделал вывод, может быть не верный относительно компьютеров)... поверь, обламывались и более крутые спецы... которые не мучаются с "контролерами" и знают ад как отче наш...

удачи...
   Demiurg
 
56 - 21.03.04 - 21:44
(52) А с граммотным бухами (если в смысле "продвинутыми пользователями" действительно не имел дела к сожалению), неужели их так мало :-(?
   Demiurg
 
57 - 21.03.04 - 21:46
AD ни какого отношения к этому посту не имеет, это не вопрос операционнки или технологий, это вполне "человеческий" вопрос
---
Кстати, еще одна вещь (ИМХО) важная для админа, уметь остоять свою точку зрения перед начальником, бухом, да не важно, иначе какой ты админ :-)
   BorisG
 
58 - 21.03.04 - 21:50
(56) Нет, Слава, не продвинутыми, это само собой... а со стервозными..., это если женщина... О том, что сделает мужчина ГБ, если узнает, что за ним админ через RAdmin следил, я вообще помолчу... ;-)
Не забудь, ГБ на предприятии, как правило, лицо особо доверенное... со всеми вытекающими...
   Demiurg
 
59 - 21.03.04 - 21:53
у нас это финансовый директор холдинга :-)
   327
60 - 21.03.04 - 21:53
(48) вот в том и дело... что не десяток... И есть корпоративная политика ... и деньги на поддержание корпоративной политики...

Почитай о новеловском продукте ZenWorks .... мечта ленивого админа ... Но поднимать его на 50-60 машин ... смысла нет... трудозатратно..

Управлять групповыми политиками через сервант... можно... но делать это должен специально выделенный и грамотный чел ... опять таки деньги в виде ЗП....

Вертеть 98ми - проще некуда... Такой же реестр... Когда мне надоели бухи и манагеры, лазящие где попало... вылез в инет, вытянул пару описаний реестра и за день сваял свою програмку на делфях... Конкретно для 98...

Запрет изменений установок принтера

Запрет сноса принтеров и установки новых

Запрет правки реестра через регЭдит

Запрет запоминания паролей виндой (злобная кара для некоторых ... особ) а без ввода пароля - прощай, сетка ...

Запрет на ввод простых паролей (особым .... чудам выставлялось требование на алфавитно цифровой пароль для символов 15-20).... Вместе с запретом на запоминание -- это хорошая розга....

Запрет на изменение настроек экрана... в том числе заставок и прочего - свойства экрана можно было закрыть полностью...

Куча вспомогательных установок... Типа запрета автозапуска с СД...

Запрет на установку нового железа....

и еще чего то - уж и не помню...

А, вот еще - не показывать диски в проводнике....
Убрать иконку СетевоеОкружение со стола...
Убрать некоторые возможности в панели управления....

Конкретно для 98 - мне лень было проверять на 2000 и ХР.

По моему, даже исходники остались... В принципе можно и для 2000 переделать.... Хотя особой нужды нет....

А ключики реестра многие совпадают .... в 98 и 2000 и ХР

(49)... не, у него, судя по его высказываниям, машин много....
   Demiurg
 
61 - 21.03.04 - 21:57
молодец, по хорошему завидую, все хочу до дельфей добраться
   BorisG
 
62 - 21.03.04 - 22:13
(60) Петь, почту глянь...
(61) А теперь, Слава, возьми, и прочти свои, особенно вчерашние посты... без обид...
Перед тем, как что-то категорично писать на форуме, стоит сначала узнать, кто твой собеседник... Максимализм, он, конечно хорош... но всему свое место...
   Demiurg
 
63 - 21.03.04 - 22:15
Куда мне смотреть? :-)
   327
64 - 21.03.04 - 22:19
Да такую прогу пофих на чем писать.... Лишь бы WinApi (функции чтения записи реестра доступны были)...

Кстати, исходники точно есть... Вместе с хелпом. по которому писал...

Вообще админством стараюсь последнее время не заниматься... особого дохода с него нет... Так, по минимуму настроить сервант, минимум настройки прав... Пусть заказчики сами делают это... Я строю только то, что мне надо... И безопасность сюда не входит... Но способы кражи известны... и методы их затыкания в 1С... Хотя там особо то и не закнешь... Гораздо актуальнее - кража денег с помощью 1С....

А насчет того, что будет скандал, когда узнают о наблюдении - это так.... Видел такие заварушки.... Вот где бабы пену поднимали ... Ну а так как в руках ГБ много возжей - все, к админу - пушной зверь..... северный ... приходил...
А у меня между прочим.... семилетний опыт работы в нехилом институте ... и НИ ОДНОГО конфликта с тамошними мегерами .... коих было большинство ... и все эти ... были программистками .... А это - вдвойне ...
   yret
65 - 21.03.04 - 22:20
Почитал 45 и 60 прав на все 100. (Даже 45+60=105)
Тебя бы к нашему начальнику объяснить чем занимается программист!
   skunk
 
66 - 21.03.04 - 22:22
(63)Слав это не есть задача админа, отстаивать чего перед начальником... это есть обязаность начальника тех отдела... не много разницы есть... если контора действительно большая...
И еще... но в принципе не важно... честно...
(60)Я тоже могу сказать что в газпроме работаю... работаю ли на самом деле... вот в чем вопрос...
   Demiurg
 
67 - 21.03.04 - 22:23
ну на счет реестра на этом большая часть защиты и строиться в том же домене, можно не только на обращение доступ закрыть, но и на хэш-код проги, и сервисы запретить, но вот только на Visual C++ хоть и старенький, но мне ближе чем дельфя...
   Demiurg
 
68 - 21.03.04 - 22:26
о действиях: не верно в корне вмешиваться буху в управление сетью, и где это не так, ну чтож... слава богу что не в моей сетке 6-)
   327
69 - 21.03.04 - 22:36
(67) а какая разница... на чем писать.... Писать надо на том, что удобней.... для тебя...

Так они не вмешиваются... Они просто ковыряют мышкой что попало... и давят что под палец попало .... а попадает почему то клавиша ДЕЛ.....

Вот это самые страшные враги админа.... Убил бы любопытных ... За их любимое занятие .... скачать и поставить новые обои ....
   Demiurg
 
70 - 21.03.04 - 22:40
"мои" любят "обои" и скачивать флешные мультики, что любят скачивать мужики я здесь писать не буду .....
   327
71 - 21.03.04 - 22:46
Не .... у нас тут в одной конторе, поторую по полной окучиваем.... все это качается с кэша прокси ..... пусть развлекаются....
   Demiurg
 
72 - 21.03.04 - 22:48
тогда я не буду спрашивать откуда попадает в кэш :-)))
   Леонид
73 - 22.03.04 - 01:51
(60) У меня в классе Вин98 стоит. И никаким
способом Вин НТ и др. не ставятся. Железо...
Если не трудно (и не жалко) сбрось файл на  емелю.
А то админа не допросишься.

Интересная ветка получилась. И в смысле темы, и в смысле психологии. Столкновение мнений и достаточно вежливое "противостояние".

ИМХО вообще-то наблюдать за ПК ГлБуха запрещено априори. Админ не та фигура, и даже нач конразведки не та фигура. "Жена Цезаря вне подозрений". Если же ГБ начнет уводить инфу, то ему это удастся и под наблюдением. А все учебники говорят, что КОМПЛЕКС мер
должен состоять из программно-технических и АДМИНИСТРАТИВНЫХ мер. Иногда мне кажется, что вторые - важнее.
   Vser1
 
74 - 22.03.04 - 02:42
Вот еще вопросик на засыпку.
В большинстве контор сотрудникам разрешен выход на электронную почту, а как защитить информацию 1С, от попыток передачи ее через мыло?
в плане: "В абсолютном большинстве контор кража выполняется собственными сотрами.... Самое прикольное - чтобы утащить существенную коммерческую инфу из базы размером 5 Гигабайт (!!!) надо всего 4-5-6 дискет..... " (с) Pit
(73) Для 98 винды есть специализированный комплект для этих целей, как называется уже и не вспомню (что типа Polices), когда-то попадался на диске...
   Леонид
75 - 22.03.04 - 03:11
(74) Да, есть такой, только интерфейс у него ОЧЕНЬ неудобный. Я пытался пользоваться X-Setup, но даже
в этой прекрасной программе требуется много времени.
А у меня 40(!!!) часов в неделю. Еще же и к урокам готовиться надо, так как в этом году сунули 80% новых предметов. Поэтому и попросил. Так то у меня мелкие заплатки есть, но работать в режиме "сломали - восстановил - закрыл" уже достало. А штатный админ
мух не ловит. Ему с Вин2К и ХР интереснее.
   Леонид
76 - 22.03.04 - 03:14
(74) А цензура больших писем на что? Правда работы много.
   romix
 
77 - 22.03.04 - 03:31
SQL сервер поддерживает обычный авторизованный доступ.
Соарон вроде бы патчил 7.7, чтобы она умела юзать авторизацию. Обидно что система не получает развития в угоду 8-ке (и еще не факт, если отбросить искусственные трюки), что 8.0 чем-то хороша. Типа не обновить ли всем парк ИТ и выкинуть ранее написанное ПО, просто потому что вышла 8-ка, которая умеет таки юзать SQL-ный логин и пароль...
   Vser1
 
78 - 22.03.04 - 04:36
(76) Можно много и мелких... :))
   327
79 - 22.03.04 - 06:45
(72) хе-хе.... а студенты на что?... Изъял у них штук пять дисков.... и заливаю потихоньку.... Благо кто то привел все это г.... в структурированный вид ... иначе возился бы я с этим ....

(73) сегодня вечером ....

(74) копия писем с аттачем.... Эпизодический контроль...

(77) у 8 другая область ...
   BorisG
 
80 - 22.03.04 - 08:16
(73) В классе ничего не надо ставить... Есть такая штука, Norton Ghost называется... Она и рулит...
После установки системы и всех необходимых приложений просто сбрасываешь образ системного диска на сеть или компакт... На восстановление машины нужно несколько минут, что бы злобные студенты с ней ни сделали...
У меня есть клиент, где более 200 компов в учебном процессе... Девочка класс восстанавливает за 15-20 мин...
   skunk
 
81 - 22.03.04 - 08:29
(74)а я бы даже не рисковал электронкой...
(76-79)можно слать картинки... и котроль по фиг...
   Demiurg
 
82 - 22.03.04 - 09:48
почту почти не возможно контролировать - это такое поле для изобретательности ...
   BorisG
 
83 - 22.03.04 - 11:22
(73) Относительно интересной ветки и психологии...
На самом деле в этой ветке нет столконовени мнений, как и нет противостояния. И пользы, на самом деле не много...
Да и дискуссия то поддержана только ради читающих, чтоб не было иллюзий относительно решений этих вопросов только методами администрирования системы... одно из самых больших заблуждений... хотя и достаточно часто встречающееся...
Ибо для нас с pit'ом это давно пройденный этап... и историй можно рассказать десятки...
   Demiurg
 
84 - 22.03.04 - 11:32
(83) а как на счет иллюзий у тех, кто думает, что иллюзии у других...
   BorisG
 
85 - 22.03.04 - 11:34
(84) А к чему тогда был весь это спор?
   Demiurg
 
86 - 22.03.04 - 11:35
у меня хорошее настроение :-)
   romix
 
87 - 22.03.04 - 15:34
(79) Ага, другая ... Ну прямо совсем другая рыночная ниша, те кто сидит в 7 не могут даже и думать про логин и пароль в SQL. А должны для этой простейшей вещи уничтожить ранее наработанный код, и еще раз заплатить бабло за все - в т.ч. разработчикам системы учета.
Имхо искусственно заморозили 7, чтобы заставлять людей при масштабировании решения платить за все дважды. Только вот смасштабироваться можно и на совсем другую платформу, которая не славится таким хитрож. маркетингом для выкачивания бабок. Раньше им славилась IBM.
   327
88 - 22.03.04 - 16:28
(87) Да. Явно заморозили... Народу мало... на все явно не хватает...

А ниша у них явно разная ... Ставить на 10 юзеров сервер под sql и отдельную машину под сервер приложений ... хм... По деньгам дороговато будет...

К тому же 8 явно требует уже 8 программеров 1С (админ + прог) ....
   romix
 
89 - 22.03.04 - 17:37
(88) 8-ку можно ставить локально на 1 пользователя. Так что и она полностью масштабируется - от 1 юзера до любого их числа. Сервер приложений - это просто подсистема, которую решили вынести на сервер, чтобы не гонять по сети большой объем данных. А то, что 1С решила забить на простейшие изменения в 7.7 - ну не знаю, видимо хочет не пролететь над гнездом кукушки с 8-кой. Хотя такие нечестные приемы по околпачиванию потребителя хорошо видны невооруженным глазом. :-)
   oldis
 
90 - 01.04.04 - 22:47
Интересное чтиво, вот только переливаем из пустого в порожнее. Риторический вопрос о том, как защитить данные, которые хранятся в файлах формата dbf (SQL не в счет).
До тех пор, пока организация использует общераспространненный софт, всегда найдется чел, который разбирается в нем лучше, чем её сотрудники.
Может весь фокус в том, что перед тем, как взламывать (красть) софт или его часть сначала придется разобраться "Чё ж это такое, и с чем это едят?", и без всякого описания и Хелпа. (Это так, лирика насчёт специализированных решений).
А если ближе к теме, то, господа, зайдите в ближайший игровой компьютерный клуб, что вы увидите. Ассоциация прямая - есть сервер и игровые (т.е. рабочие) компы,на которых установлены обычные WinLook-еры и им подобные программы. И поверьте, что-то скопировать или сохранить на диск, когда при старте системы автоматом запускается 1-С Предприятие, а при выходе из него - комп вообще отключается - довольно проблематично даже в 98-й Винде. Проблемы с ГБ и ему подобными решается элементарно. На рабочих станциях физически отсутствуют CD-ROM и флоппики, а также принтер, но они есть на выделенной для этих целей машине, где намного проще проконтролировать, кто и что печатает на принтере или пишет на диск.
Как говоорил классик "Разделяй и властвуй!". Да, кстати, в WINLook можно добавить еще пару ярлыков для Ворда и Почтового клиента. Почта настраивается таким образом, что рядовой юзверь только читает почту и создаёт письма, а отправляет их уже другой человек (предварительно ознакомившись с содержимым).

P.S. И всё равно это не панацея, а информация к размышлению...
   BorisG
 
91 - 01.04.04 - 23:28
(90) Ну ну... Видно с "воровством" при помощи 1С ты еще почти не сталкивался ;-)
И проблемы с бухами тебя стороной обошли...
   Demiurg
 
92 - 02.04.04 - 00:18
Борис, ты это гришь, потому что тебя эти проблемы не обошли стороной, расскажи поподробней
   BorisG
 
93 - 02.04.04 - 00:32
(92) Пособие начинающему хакеру написать?
   327
94 - 02.04.04 - 06:10
(90).... насмешила фраза .....

"И поверьте, что-то скопировать или сохранить на диск, когда при старте системы автоматом запускается 1-С Предприятие, а при выходе из него - комп вообще отключается"........

И да простят меня комоды .... При работе в среде 1С в любой типовой конфе есть не менее ЧЕТЫРЕХ дыр... а в нетиповой не менее ДВУХ ... через которые я могу настолько примитивно добраться до системы ....

Причем две из них затыкаются очень сложно... А многие админы вообще заткнуть их не в состоянии... уровень не позволяет...

P.S. замечание действительно для любой оси - 98, 2к, ХР...




А вот это вообще бред ....

"Почта настраивается таким образом, что рядовой юзверь только читает почту и создаёт письма, а отправляет их уже другой человек (предварительно ознакомившись с содержимым). "   

В условиях, когда на каждого возлагается куча обязанностей, держать специально выделенных людей для отправки почты никто НЕ БУДЕТ....
   Demiurg
 
95 - 02.04.04 - 12:20
(93) Хотя бы просто ответь да или нет
   BorisG
 
96 - 02.04.04 - 13:04
(95) Чего да или нет?
Если лично меня, то не касались... Как правило эти проблемы наблюдаю, когда прихожу к новому клиенту...
Если интересуют дыры в учете... сие лучше в открытом доступе не давать...
Пользы никому от этого нет...
Информационная безопасность - это, еще раз, комплекс мер...
В 1С просто отсутствует контроль целосности данных... учитывающих отраслевую специфику... посему самые изощренные методы администрирования сетей становятся просто бессмысленными...
   Demiurg
 
97 - 02.04.04 - 13:10
ок, я получил удовлетворяющий ответ :)
   BorisG
 
98 - 02.04.04 - 13:12
В продолжение (96)...
Простой пример... и вроде уж совсем безобидный...
Градуировочная таблица нефтяного резервуара... казалось бы, чего проще... уровень - объем...
Однако контроль отклонений поверг заказчика в шок...
Вынужден был принимать меры по срочной повторной калибровке резервуаров... а также искать виновных... это всеж документ...
До этого была другая настройка 1С...
   Demiurg
 
99 - 02.05.04 - 02:17
   427
 
100 - 02.05.04 - 07:49
100

  1  2   

Список тем форума
Рекламное место пустует   Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Ветка сдана в архив. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует