1

Тема: Як контролювати користувачів локальної мережі?

Під'єднав всіх користувачів за допомоги кабелів до локальної мережі. А що далі? Як контролювати трафік? Якщо хтось буде користуватись торентом, то як знайти який комп'ютер под'єднаний до торента? Які є програми для системних адміністраторів? Як це реалізовується?

2

Re: Як контролювати користувачів локальної мережі?

Потрібно використовувати deep packet inspection на файрволі. Це рішення не на раз-два. Якщо розберется, то можна сміливо писати про це в резюме.

Прихований текст

Ех, ностальгія - колись ще в dial-up епоху тримав локалку. Щоправда, дозволяв лише pop3/smtp, а назовні сервер дзвонив з 4 до 7 ранку, коли тариф був вдесятеро дешевшим.

Подякували: leofun01, Droid 77, verto31, HetmanNet4

3

Re: Як контролювати користувачів локальної мережі?

frz написав:

Потрібно використовувати deep packet inspection на файрволі. Це рішення не на раз-два. Якщо розберется, то можна сміливо писати про це в резюме.

Прихований текст

Ех, ностальгія - колись ще в dial-up епоху тримав локалку. Щоправда, дозволяв лише pop3/smtp, а назовні сервер дзвонив з 4 до 7 ранку, коли тариф був вдесятеро дешевшим.

Цікаво - в часи дайлапу у вас був deep packet inspection на файрволі?

4 Востаннє редагувалося Alexv (26.05.2020 08:59:21)

Re: Як контролювати користувачів локальної мережі?

Давайте більше подробиць. Що під'єднали, до чого, що вам потрібно зробити.
Можете навіть намалювати :)
PS Янщо ви бажаєте, щоб користувачі не робили чогось- блокуйте це

Подякували: koala1

5

Re: Як контролювати користувачів локальної мережі?

в часи дайлапу у вас був deep packet inspection на файрволі?

Ні... в мене не той рівень.

Прихований текст

Якщо цікаво, то в мене на тодішньому сервері під віндовс був встановлений поштовий клієнт і це були всі можливості, що дозволяла моя локалка. Я не налаштовував свій сервер як шлюз, також орієнтувався в можливостях моїх користувачів, тому вважав що глибших налаштувань файрвола не потрібно, але якийсь точно був, ще з UI.

З файрволом більше познайомився згодом, коли підробляв на іноземній фірмі "старшим куди пошлють", і в перервах між іноземними перекладами, організацією представницьких зустрічей, відрядженнями по Україні й за кордон примудрився ще й адмініструвати сервер (спочатку на ASP Linux, пізніше на FreeBSD). Там вже був поштовий сервер (qmail), файл-сервер (samba) і проксі для користувачів (squid). Від початку читав всі логи, створював abuse комплейни через різні спроби проникнення, налаштовував не дуже складні правила на файрволі (iptables, потім ipfw, також така дуже корисна штука як fail2ban).

Подякували: leofun011

6

Re: Як контролювати користувачів локальної мережі?

Alexv написав:

Давайте більше подробиць. Що під'єднали, до чого, що вам потрібно зробити.
Можете навіть намалювати :)
PS Янщо ви бажаєте, щоб користувачі не робили чогось- блокуйте це

Я тільки вчуся. Як блокувати?
А як ви блокуєте?

7

Re: Як контролювати користувачів локальної мережі?

Як блокувати?

Прихований текст

Для початку, як саме організована мережа?

Якщо це простий мережевий світч без адмінки, до якого ваш "сервер" під'єднано в той же спосіб, що й інших користувачів, тоді у вас є можливість впливати лише на пакети, що проходять через "сервер" в якості шлюзу. На дії користувачів стосовно інших комп'ютерів мережі у вас впливу нема.

Якщо ж, умовно кажучи, у вас (1) світч із адмінкою, або ж (2) повноцінний сервер-стійка з великою кількістю мережевих карт, і всі з'єднання підлягають адмініструванню, тоді є багато можливостей.

Розгляну варіант (2) у спрощеному вигляді: тобто у вас є звичайний комп під віндовс із двома мережевими картками, одна з них це аплінк до провайдера, інша - для під'єднання до комп'ютера користувача. Ваш комп налаштований як шлюз, тобто всі мережеві дії користувача проходитимуть через ваш комп. Встановлюється будь-який файрвол з UI, або ж використовується дефолтний. Вмикається режим навчання (принаймні таке пригадую за моїх давніх часів) і всі нові з'єднання очікують підтвердження. Далі, наприклад, у вас є на сервері pop3/imap/smtp сервер, а назовні такі з'єднання ви не хочете дозволяти. Тоді просто: при першій спробі з'єднання користувача з вашим локальним pop3/imap/smtp ви це дозволяєте, а при спробі з'єднання користувача з зовнішнім pop3/imap/smtp - забороняєте. Собі самому дозволяєте з'єднання з зовнішнім pop3/imap/smtp, бо серверу потрібно ж буде якось надсилати і отримувати пошту.

Це дуже примітивно описав, однак суть, думаю, зрозуміла - заборонити все і дозволяти лише те, що справді необхідно. Це і є бест практіс, з того що мені відомо.

Подякували: leofun011

8

Re: Як контролювати користувачів локальної мережі?

Знов таки, я ніц не знаю про вашу мережу, тому не факт, що мої напрацювання підійдуть вам
З загального можу сказати:
Користувачі не мають користуватись правами адміністратора (сподіваюсь, вам про це не потрібно казати)
Дозвіл на запуск виконуваних файлів має бути обмеженим лише тим, що необхідно(в вінді це робиться через групові політики)
Доступ до Інтернет налаштовується на маршрутизаторі

Подякували: leofun011