Тема: віддалений доступ до комп'ютерів мережі

вивчаю системне адміністрування, бо хочу бути сисадміном. але ніяк не можу зрозуміти щодо віддаленого доступа. як сисадміну налаштувати таку мережу, щоб можна було моніторити співробітників (чи не грають в ігри, чи не сидять на розважальних сайтах). як це налаштувати? які програми віддаленого доступу ви використовуєте?

2 Востаннє редагувалося koala (01.11.2018 16:22:00)

Re: віддалений доступ до комп'ютерів мережі

Сисадміну воно ні до чого. Взагалі сисадмін в ідеалі не має знати, чим займаються співробітники, і налаштовувати шифрування так, щоб не мати навіть такої можливості.
Моніторити сайти - будь-яким нормальним файрволом на шлюзі.
Якщо вже так хочеться підглядати за співробітниками - погугліть про VNC, рішень багато різних. Але, ще раз, це не завдання сисадміна, сисадміну для віддаленого доступу ssh потрібен.

Подякували: leofun011

3

Re: віддалений доступ до комп'ютерів мережі

Ну ще налаштовують firewall на всякі шкідливі сайти.

4

Re: віддалений доступ до комп'ютерів мережі

Я колись на першій роботі NetXMS налаштовував, але воно не для сайтів, а для загального моніторингу. Для сайтів можна Wireshark використовувати, але треба подбати, щоб усі мережеві пакети через адмінський комп або сервер проходили.

Подякували: leofun011

5

Re: віддалений доступ до комп'ютерів мережі

Wireshark - то вже явний overkill.

6

Re: віддалений доступ до комп'ютерів мережі

koala
Зате дуже пізнавально. Можна багато цікавого дізнатися, навіть якщо не дивитися які саме сайти відвідують колеги, та що пишуть в месенджерах.

7

Re: віддалений доступ до комп'ютерів мережі

Однак для фільтрації/логування HTTPS доведеться щось важче використовувати. І ваші співробітники в будь-якому разі знатимуть, що ви їх переглядаєте.

Подякували: leofun011

8

Re: віддалений доступ до комп'ютерів мережі

То https не допомогає, якщо юзети ці тулзи? Тоді https так само небезпечний і у відкритих мережах кафе напр.

9 Востаннє редагувалося Torbins (02.11.2018 12:36:52)

Re: віддалений доступ до комп'ютерів мережі

Q-bart
Тільки у випадку, якщо у вас в системі встановлені сертифікати від якихось лівих центрів сертифікації. Тоді дійсно можна провести атаку хакер-посередник і при цьому ваш браузер не підніме на сполох. Якщо мова йде про локальну мережу організації, то там для адміна не проблема встановити на всі компи свій сертифікат.

Подякували: koala1

10

Re: віддалений доступ до комп'ютерів мережі

Lets Encrypt?

11

Re: віддалений доступ до комп'ютерів мережі

Q-bart написав:

То https не допомогає, якщо юзети ці тулзи? Тоді https так само небезпечний і у відкритих мережах кафе напр.

Я щось думав що https шифрує вміст запиту, але ж не адресу куди відправити пакет, бо його інакше неможливо буде зароутити. Таким чином якщо треба заблокувати сторінку вікіпедії - то блокується або вся вікіпедія, або нічого, бо ти ж не знаєш параметри GET запиту, лише IP. Але треба відкрити Wireshark  і подивитись, а мені ліньки. Якщо хтось зробить - покажіть скріншот, абощо. :)

12 Востаннє редагувалося koala (02.11.2018 13:15:01)

Re: віддалений доступ до комп'ютерів мережі

Let's Encrypt тут ні до чого.
Якщо на вашому комп'ютері нема кореневого сертифіката, який засвідчує сертифікат сайту, то ви отримаєте повідомлення про небезпечне з'єднання. Як працює фільтрація HTTPS: при спробі встановити зв'язок із сайтом (наприклад, Facebook.com) по HTTPS, зв'язок відкриває файрвол - окремо з вами і видає власний підробний сертифікат Facebook.com, окремо із самим Facebook.com (і отримує та перевіряє його сертифікат); при цьому обидва зв'язки шифруються - але окремо один від одного. Якщо ваш комп'ютер визнає цей підробний сертифікат (тобто якщо у вас встановлений кореневий сертифікат), то ви будете спокійно спілкуватися через HTTPS, хіба що зможете побачити, що цей сертифікат видано чимось невідомим, якщо залізете в налаштування. Звісно, якщо на шляху до Facebook буде ще один файрвол, він зможе провернути той самий фокус - але лише якщо перший визнає його підробний сертифікат.
Let's Encrypt видає безкоштовні сертифікати власникам доменів - там треба лише довести, що ви є власником. Очевидно, що ці сертифікати не можуть використовуватися для фільтрації - ви не зможете довести, що є власником Facebook.com.

Подякували: FakiNyan, Q-bart, HetmanNet, leofun01, LoganRoss5

13

Re: віддалений доступ до комп'ютерів мережі

Torbins написав:

Q-bart
Тільки у випадку, якщо у вас в системі встановлені сертифікати від якихось лівих центрів сертифікації. Тоді дійсно можна провести атаку хакер-посередник і при цьому ваш браузер не підніме на сполох. Якщо мова йде про локальну мережу організації, то там для адміна не проблема встановити на всі компи свій сертифікат.

Розкажи то chrome.. він дозволяє без проблем додавати свої сертифікати, забороняти певні, але б'є сполох якщо пробуєш підмінити чийсь.

14 Востаннє редагувалося HetmanNet (04.11.2018 20:36:13)

Re: віддалений доступ до комп'ютерів мережі

даринка_ написав:

вивчаю системне адміністрування, бо хочу бути сисадміном. але ніяк не можу зрозуміти щодо віддаленого доступа. як сисадміну налаштувати таку мережу, щоб можна було моніторити співробітників (чи не грають в ігри, чи не сидять на розважальних сайтах). як це налаштувати? які програми віддаленого доступу ви використовуєте?

Є гарна методика. Не давати адмінки чи рута. Заборонити запуск всього крім встановленого (тобто застосувати білі списки та шляхи для встановлення за якими треба права адміна чи рута). Якщо вінда то всіх в домен, якщо маки там є аналогічна цяцька якщо придбати їх сервак, якщо лінукс чи фряха то там доведеться збирати з кубиків лего те саме і вийде не гірше. DNS сервак на юніксі і матимеш логи хто куди шастав. Все роздаємо по dhcp від шлюза до серверу часу. Час синхронізуємо всіх видаючи адресу свого NTP сервака. Якщо треба відслідкувати неслухняних то ставимо перенаправлення по домену за затичку при виклику якої кидаємо в лог запис. Також на шлюзі можно зробити "маячки" щоб писало в лог коли пакети йдуть на певні порти чи адреси.

15

Re: віддалений доступ до комп'ютерів мережі

HetmanNet написав:

Розкажи то chrome.. він дозволяє без проблем додавати свої сертифікати, забороняти певні, але б'є сполох якщо пробуєш підмінити чийсь.

Як раз Хром використовує системне сховище сертифікатів, це у Фаєрфоксу своє власне. І заміняти там нічого не треба, достатньо додати іще один лівий сертифікат в потрібний розділ сховища.

Що стосується методів адміністрування, то не завжди адміну дозволяють надягати ланцюги на руки співробітникам (білі списки). А вручну перевіряти кожний відвіданий сайт, щоб потім наповнити чорний список - це вмерти можна.

Подякували: leofun011

16

Re: віддалений доступ до комп'ютерів мережі

Torbins написав:
HetmanNet написав:

Розкажи то chrome.. він дозволяє без проблем додавати свої сертифікати, забороняти певні, але б'є сполох якщо пробуєш підмінити чийсь.

Як раз Хром використовує системне сховище сертифікатів, це у Фаєрфоксу своє власне. І заміняти там нічого не треба, достатньо додати іще один лівий сертифікат в потрібний розділ сховища.

Що стосується методів адміністрування, то не завжди адміну дозволяють надягати ланцюги на руки співробітникам (білі списки). А вручну перевіряти кожний відвіданий сайт, щоб потім наповнити чорний список - це вмерти можна.

Ну білі списки для сайтів то хіба для фінустанов чи навчальних закладів, а для решти то трохи перегиб. Та не для всіх можна, бо відділу продажів точно не вийде.