Ситуация следующего характера:
Стоит шлюз на фре, к нему подключена локалка, одновременно подключённая к 1С Бухгалтерии.
СБ не устраивает ситуация и они предлагают сделать отдельную локалку под инет, т.е. обеспечить полную невозможность доступа к документам извне.
Может быть есть какие-то другие способы избежания проведения отдельной локалки...?
>Ситуация следующего характера:
>Стоит шлюз на фре, к нему подключена локалка, одновременно подключённая к 1С
>Бухгалтерии.
>СБ не устраивает ситуация и они предлагают сделать отдельную локалку под инет,
>т.е. обеспечить полную невозможность доступа к документам извне.
>Может быть есть какие-то другие способы избежания проведения отдельной локалки...?
второй сервер + VPN сильная штука ;)
>второй сервер + VPN сильная штука ;)Если не в напряг - поподробней, пожалуйста...
>>второй сервер + VPN сильная штука ;)Если не в напряг - поподробней, пожалуйста...
Имелось ввиду, чтобы пользователи инета, во время сеанса подключения к инету не имели доступа к локалке (так я понял нашу СБ)ЗЫ: в пред. мессу вставить не удалось, т.к. написало что не моё =(
>>>второй сервер + VPN сильная штука ;)
>
>Если не в напряг - поподробней, пожалуйста...
>Имелось ввиду, чтобы пользователи инета, во время сеанса подключения к инету не
>имели доступа к локалке (так я понял нашу СБ)
>
>ЗЫ: в пред. мессу вставить не удалось, т.к. написало что не моё
>=(
Это еркунда какая-то... Что значит к локалке? Клиент должен не видеть других в локалке? а смысл? На сколько я тебя понял, нужно просто обезопасить бухгалтерские документы.Поставь проксю, все равно им кроме 80 порта ничего не понадабится или нет? Squid+auth какой-нибудь. Нормально обновление антивирусника + забрет всяких sex.com и т.д.
>Поставь проксю, все равно им кроме 80 порта ничего не понадабится или
>нет? Squid+auth какой-нибудь. Нормально обновление антивирусника + забрет всяких sex.com и
>т.д.Приблизительно так я им и сказал. Ничего плохого не хотелось говорить, но ни один из них (СБ) не понимает ни черта в сетевой безопасности, они предлагают вести отдельную сеть и чтобы пользователи, которым нужен инет, передёргивали шнурки каждый раз... =( И объясняй ты им, что на входе и выходе стоит супер-пупер мегабитный шифровальщик с толстенным файерволом - им до (_о_) =(((
>>Поставь проксю, все равно им кроме 80 порта ничего не понадабится или
>>нет? Squid+auth какой-нибудь. Нормально обновление антивирусника + забрет всяких sex.com и
>>т.д.
>
>Приблизительно так я им и сказал. Ничего плохого не хотелось говорить, но
>ни один из них (СБ) не понимает ни черта в сетевой
>безопасности, они предлагают вести отдельную сеть и чтобы пользователи, которым нужен
>инет, передёргивали шнурки каждый раз... =( И объясняй ты им, что
>на входе и выходе стоит супер-пупер мегабитный шифровальщик с толстенным файерволом
>- им до (_о_) =(((Да уж , с подобным особо не встречался, но читал, что и такое есть.
Если СБ уперлось, то вряд ли ты их перешибешь. Делай отдельную локалку, лучше конечно если железо позволяет, сделать отдельную виртуальную сеть без доступа наружу, тогда хоть провода тянуть не надо. А для интернета поставить им тогда отдельный компьютер в бугалтерию, для доступа чисто в Инет, без доступа в локальную подсеть бухгалтерии, и пусть они его по очереди используют, если припрет.
>>Поставь проксю, все равно им кроме 80 порта ничего не понадабится или
>>нет? Squid+auth какой-нибудь. Нормально обновление антивирусника + забрет всяких sex.com и
>>т.д.
>
>Приблизительно так я им и сказал. Ничего плохого не хотелось говорить, но
>ни один из них (СБ) не понимает ни черта в сетевой
>безопасности, они предлагают вести отдельную сеть и чтобы пользователи, которым нужен
>инет, передёргивали шнурки каждый раз... =( И объясняй ты им, что
во маразм! объясни директору, что толку никакого, а работы и финансовых затрат ... на последнее делай усилие, ему это жутко не понравится ;)>на входе и выходе стоит супер-пупер мегабитный шифровальщик с толстенным файерволом
>- им до (_о_) =(((
передай от меня, что они дЭбилы. пусть каждый занимается своим делом... а то полная ерунда выходит... и бедные бухгалтера тыкать провод туда сюда...Твоя ситуация просто анекдот :).
>>Поставь проксю, все равно им кроме 80 порта ничего не понадабится или
>>нет? Squid+auth какой-нибудь. Нормально обновление антивирусника + забрет всяких sex.com и
>>т.д.
>
>Приблизительно так я им и сказал. Ничего плохого не хотелось говорить, но
>ни один из них (СБ) не понимает ни черта в сетевой
>безопасности, они предлагают вести отдельную сеть и чтобы пользователи, которым нужен
>инет, передёргивали шнурки каждый раз... =( И объясняй ты им, что
>на входе и выходе стоит супер-пупер мегабитный шифровальщик с толстенным файерволом
>- им до (_о_) =(((
На мегабитный шифровальщик и толстенный фаервол пофиг - так как даже если разрешен 80 порт через прокси с методом GET, то и через такое соединение можно установить туннель.
Если подходить серьезно к вопросу безопасности, то локальная сеть имеющая супер информацию, которую ни в коем случае нельзя выпустить наружу, не должна иметь физического соединения с интернетом и компы не должны иметь возможности выхода в инет. Шнурки перетыкать лажа конечно:) и сводит все к 0.
Для доступа в инет - отдельный терминал (именно терминал) без дисководов.
Компы в локалке не должны иметь дисководов и возможности подключения внешних накопителей. Компы должны быть оборудованы средствами НСД (Аккорд и прочая ерунда). Должен быть установлен сервер информационной безопасности (допустим от Кристалл) и на все компы клиентов этого сервера.Стоить все это будет немало.
Если утечка информации стоит дешевле, то нечего огород городить тк все остальные способы с возможностью выхода в инет из локалки отличаются только сложностью организации утечки. Как наиболее сложный - VPN + proxy с разрешенным только методом GET на определенные порты.