1

Тема: Як контролювати користувачів локальної мережі?

Під'єднав всіх користувачів за допомоги кабелів до локальної мережі. А що далі? Як контролювати трафік? Якщо хтось буде користуватись торентом, то як знайти який комп'ютер под'єднаний до торента? Які є програми для системних адміністраторів? Як це реалізовується?

2

Re: Як контролювати користувачів локальної мережі?

Потрібно використовувати deep packet inspection на файрволі. Це рішення не на раз-два. Якщо розберется, то можна сміливо писати про це в резюме.

Прихований текст

Ех, ностальгія - колись ще в dial-up епоху тримав локалку. Щоправда, дозволяв лише pop3/smtp, а назовні сервер дзвонив з 4 до 7 ранку, коли тариф був вдесятеро дешевшим.

Подякували: leofun01, Droid 77, verto31, HetmanNet4

3

Re: Як контролювати користувачів локальної мережі?

frz написав:

Потрібно використовувати deep packet inspection на файрволі. Це рішення не на раз-два. Якщо розберется, то можна сміливо писати про це в резюме.

Прихований текст

Ех, ностальгія - колись ще в dial-up епоху тримав локалку. Щоправда, дозволяв лише pop3/smtp, а назовні сервер дзвонив з 4 до 7 ранку, коли тариф був вдесятеро дешевшим.

Цікаво - в часи дайлапу у вас був deep packet inspection на файрволі?

4 Востаннє редагувалося Alexv (26.05.2020 08:59:21)

Re: Як контролювати користувачів локальної мережі?

Давайте більше подробиць. Що під'єднали, до чого, що вам потрібно зробити.
Можете навіть намалювати :)
PS Янщо ви бажаєте, щоб користувачі не робили чогось- блокуйте це

Подякували: koala1

5

Re: Як контролювати користувачів локальної мережі?

в часи дайлапу у вас був deep packet inspection на файрволі?

Ні... в мене не той рівень.

Прихований текст

Якщо цікаво, то в мене на тодішньому сервері під віндовс був встановлений поштовий клієнт і це були всі можливості, що дозволяла моя локалка. Я не налаштовував свій сервер як шлюз, також орієнтувався в можливостях моїх користувачів, тому вважав що глибших налаштувань файрвола не потрібно, але якийсь точно був, ще з UI.

З файрволом більше познайомився згодом, коли підробляв на іноземній фірмі "старшим куди пошлють", і в перервах між іноземними перекладами, організацією представницьких зустрічей, відрядженнями по Україні й за кордон примудрився ще й адмініструвати сервер (спочатку на ASP Linux, пізніше на FreeBSD). Там вже був поштовий сервер (qmail), файл-сервер (samba) і проксі для користувачів (squid). Від початку читав всі логи, створював abuse комплейни через різні спроби проникнення, налаштовував не дуже складні правила на файрволі (iptables, потім ipfw, також така дуже корисна штука як fail2ban).

Подякували: leofun011

6

Re: Як контролювати користувачів локальної мережі?

Alexv написав:

Давайте більше подробиць. Що під'єднали, до чого, що вам потрібно зробити.
Можете навіть намалювати :)
PS Янщо ви бажаєте, щоб користувачі не робили чогось- блокуйте це

Я тільки вчуся. Як блокувати?
А як ви блокуєте?

7

Re: Як контролювати користувачів локальної мережі?

Як блокувати?

Прихований текст

Для початку, як саме організована мережа?

Якщо це простий мережевий світч без адмінки, до якого ваш "сервер" під'єднано в той же спосіб, що й інших користувачів, тоді у вас є можливість впливати лише на пакети, що проходять через "сервер" в якості шлюзу. На дії користувачів стосовно інших комп'ютерів мережі у вас впливу нема.

Якщо ж, умовно кажучи, у вас (1) світч із адмінкою, або ж (2) повноцінний сервер-стійка з великою кількістю мережевих карт, і всі з'єднання підлягають адмініструванню, тоді є багато можливостей.

Розгляну варіант (2) у спрощеному вигляді: тобто у вас є звичайний комп під віндовс із двома мережевими картками, одна з них це аплінк до провайдера, інша - для під'єднання до комп'ютера користувача. Ваш комп налаштований як шлюз, тобто всі мережеві дії користувача проходитимуть через ваш комп. Встановлюється будь-який файрвол з UI, або ж використовується дефолтний. Вмикається режим навчання (принаймні таке пригадую за моїх давніх часів) і всі нові з'єднання очікують підтвердження. Далі, наприклад, у вас є на сервері pop3/imap/smtp сервер, а назовні такі з'єднання ви не хочете дозволяти. Тоді просто: при першій спробі з'єднання користувача з вашим локальним pop3/imap/smtp ви це дозволяєте, а при спробі з'єднання користувача з зовнішнім pop3/imap/smtp - забороняєте. Собі самому дозволяєте з'єднання з зовнішнім pop3/imap/smtp, бо серверу потрібно ж буде якось надсилати і отримувати пошту.

Це дуже примітивно описав, однак суть, думаю, зрозуміла - заборонити все і дозволяти лише те, що справді необхідно. Це і є бест практіс, з того що мені відомо.

Подякували: leofun011

8

Re: Як контролювати користувачів локальної мережі?

Знов таки, я ніц не знаю про вашу мережу, тому не факт, що мої напрацювання підійдуть вам
З загального можу сказати:
Користувачі не мають користуватись правами адміністратора (сподіваюсь, вам про це не потрібно казати)
Дозвіл на запуск виконуваних файлів має бути обмеженим лише тим, що необхідно(в вінді це робиться через групові політики)
Доступ до Інтернет налаштовується на маршрутизаторі

Подякували: leofun011

9

Re: Як контролювати користувачів локальної мережі?

всі ті трафіки і блокування до одного місця, якщо трохи рукастий користувач зможе поставити TOR броузер

10

Re: Як контролювати користувачів локальної мережі?

Обмежити тому рукастому швидкість і не захоче він ніякого торрента  :o

11

Re: Як контролювати користувачів локальної мережі?

TOR != torrent.
Обмежити TOR в принципі можливо, якщо користувач, знову ж таки, не надто допитливий. Наприклад, дослідити сніфером до яких хостів конектиться TOR і заблокувати їх (саме так вчинив мій домашній провайдер). Однак я налаштував конект до TOR через socks5 proxy і все запрацювало. Щоправда, вже мабуть з пів року не користувався TOR-ом, бо нічого надто секретного не роблю, тож не знаю чи мій провайдер часом не застосував якісь інші обмеження.

Наскільки мені відомо, як TOR, так і torrent можна заблокувати лише шляхом deep package inspection на файрволі, а це нетривіальна задача.

12

Re: Як контролювати користувачів локальної мережі?

monoxrom написав:

всі ті трафіки і блокування до одного місця, якщо трохи рукастий користувач зможе поставити TOR броузер

Я ж вже писав. На цей випадок існує обмеження запуску додатків в групових політиках. Забороняєте все, крім явно дозволеного і радієте життю.

Подякували: HetmanNet1

13

Re: Як контролювати користувачів локальної мережі?

^ тобто якщо скачати і встановити броузер вдома
скопіювати його собі на флешку
назвати ексешнік тора - firefox.exe чи opera.exe і скинути на роботі в ту саму папку
то воно має не запуститися? ))))

14

Re: Як контролювати користувачів локальної мережі?

monoxrom написав:

^ тобто якщо скачати і встановити броузер вдома
скопіювати його собі на флешку
назвати ексешнік тора - firefox.exe чи opera.exe і скинути на роботі в ту саму папку
то воно має не запуститися? ))))

Це залежить від того, наскільки драконівська політика безпеки. Залежно від сфери діяльності, буває що нема доступу до інтернету, електронної пошти, usb портів (а розбір системного блоку й підключення до sata-шлейфу розцінюється як "втручання в роботу обчислювальних мереж" із подальшими висновками відділу кадрів аж до залучення правоохоронних органів)...

Подякували: Alexv, HetmanNet2

15

Re: Як контролювати користувачів локальної мережі?

monoxrom написав:

^ тобто якщо скачати і встановити броузер вдома
скопіювати його собі на флешку
назвати ексешнік тора - firefox.exe чи opera.exe і скинути на роботі в ту саму папку
то воно має не запуститися? ))))

Для цього потрібен дозвіл на запис в папку, а у звичайних користувачів його немає, крім власного профайлу, в якому запуск виконуваних файлів заборонено.