adsl club

Справочник

Форум

Программы

Фильмы

Ресурсы

Файлообмен

Хостинг

Ростелеком
Подсеть в сети.. или скрыть явное...
На страницу 1 2
Ответить на тему    Форум АДСЛ КлубаЦИФРОВОЙ ФЛЕЙМ :)ИНТЕРНЕТ/СЕТИ
Автор Сообщение
leoboec
Эксперт
СообщениеДобавлено: Ср 20-11-13 : 10-19    Заголовок сообщения: Подсеть в сети.. или скрыть явное... Ответить с цитатой

Есть еще одна интересная задача.... есть объект, Вся сеть в домене и контроль за доменом идет из другого города... есть желание руководства сделать свою подсеть независимую от этой. вопрос как подойти к этой задаче и что надо реализовать?!.... не по два же системника на челвоека ставить ... да опять же... подсеть нужна скажем из 30 челвоек максимум 10.... но чем меньше видит большой брат тем лучше ))
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Arkan
Гуру
СообщениеДобавлено: Ср 20-11-13 : 12-52    Заголовок сообщения: Ответить с цитатой

Если используется AD то шансов скрыть что либо очень мало, а когда найдут то многие головы обычно летят

Для начала определитесь для чего вам это надо

Если просто для файлового обмена то достаточно сервачек на любом Linux/BSD поднять и нормально Samba подкрутить что бы вражище не нашел, ходить туда по ярлыку который можно заныкать уже как захочется

Мало информации для размышления, распиши по подробнее что надо

Я делал и не раз интересные примерно подобные заказики, на вопрос зачем ?
Обычно заказчик отвечал
- Для того что бы вражище не подглядел
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
leoboec
Эксперт
СообщениеДобавлено: Ср 20-11-13 : 12-58    Заголовок сообщения: Ответить с цитатой

да тут основа примерно такая же чтобы уменьшить контроль за внутренними делами..... все крутиться действительно на АД "подвыделенная" сеть нужна диреткору бухгалтеру начальнику пэо продажникам и еще пару тройке человек..... чтобы инфа от них была как можно менее доступна другим... + опять же... все каналы настроены через циску, то есть скорее всего вопрос даже будет решатсья так тчобы завести туда доп канал связи... и от него плясать
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Arkan
Гуру
СообщениеДобавлено: Ср 20-11-13 : 13-18    Заголовок сообщения: Ответить с цитатой

ну вот допустим отдельная подсеть поднимается на ура добавлением дополнительного IP в свойствай сетевушки, и уже в другой подсети находится файловый сервер (вход на который обязательно по логину паролю) Но это не совсем надежный вариант

Более надежный будет когда физически это распаралелино - дополнительная сетевушка в каждый комп по дополнительной витухе и совершенно все уже что надо скрыть в другой подсети, так же есть большой минус, постявят удаленно ROM и будут палить все что можно

Так же как вариант не плохой это поставить между правильными сотрудниками и сетью где AD обыкновенную мыльницу роутер, с внешки из другого города уже не так просто будет зайти, но всякие AMMYY ни кто не отменял
Захотят посмотреть что делает чел в другой подсети (а другую подсеть найдут моментом посмотрев в DNS записи), в GP выставят запуск AMMYY на нужном компе при включении и вот вы и попали

Наиболее надежный вариант это Ofline вывести компы из AD так что бы запись о компах в AD осталась, ну и уже все лазейки на этих компах отрубить

Поставить файловый сервачек на *nix в той же подсети и скрыть его присутствие в сетевом окружении, ICMP заблочить нафиг и так далее, нужным людям раскидать только ярлык куда и что, можно в закладки браузера, но лучше конечно научить в проводнике писать \\192.168.250.250 и ни каких улик в виде ссылок и ярлыков

Сисадмину всегда быть готовым ответить на вопрос:
- А что это у вас там за хрень ???
- Да типа я тут линухом балуюсь, тестирую

К сервачку файловому всегда можно кнопочку удаленную сделать - нажал на кнопочку и нет сервачка, отключился
и сервачек можно заныкать подальше - хоть через медиаконвертеры

Скажу по секрету:
NAS под DFS + оптоволокно в соседнее здание рулит
наиболее лучшего способа спрятать информацию я не встречал
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
A7
Гуру
СообщениеДобавлено: Ср 20-11-13 : 14-21    Заголовок сообщения: Ответить с цитатой

Ну скажем прямо, когда всё узнается - дадут по жопе.
Был на прежней работе один филиальный одмин, хитровывернутый, уволили нафиг. Через какое-то время директора. Так что я бы задумался, надо ли решать такие задачи. Wink
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
Arkan
Гуру
СообщениеДобавлено: Ср 20-11-13 : 15-00    Заголовок сообщения: Ответить с цитатой

A7 писал(а):
Ну скажем прямо, когда всё узнается - дадут по жопе.

Полностью согласен

Лично учавствовал как в поимке таких как топикстартер так и настраивал в хитрых филиалах такие сети где считают себя умней руководителей

В большинстве случаев руководителей филиалов просто увольняли но были случаи когда до суда дело доходило, один раз хитрожопый руководитель отдела деже в суде выиграл дело - отсудил за моральный ущерб за увольнение целых 80к рублей

Для того что бы спрятать информацию с гарантией что ее не найдут надо платить не малую денежку специально обученным людям
а вот этот треп на форумах это просто треп, но подсказки есть

Кстати забыл совершенно сказать: а если кто либо из "доверенных" сдаст свое непосредственное руководство в ведении теневого бизнеса

P.S. подальше положишь поближе возьмешь !!!
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Evgeny79
Гуру
СообщениеДобавлено: Ср 20-11-13 : 15-45    Заголовок сообщения: Ответить с цитатой

Поясните, просто ради любопытства, о чем идет речь?
Я так понимаю что несколько "эффективных менеджеров" решили немного украсть на родном предприятии, и чтобы обсуждать свои коварные планы им нужна секретная связь. Но почему эту связь нужно налаживать именно по каналам предприятия? Отчего бы по телефону просто не поговорить?
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
Arkan
Гуру
СообщениеДобавлено: Ср 20-11-13 : 16-37    Заголовок сообщения: Ответить с цитатой

Evgeny79 писал(а):
Поясните, просто ради любопытства, о чем идет речь?
Я так понимаю что несколько "эффективных менеджеров" решили немного украсть на родном предприятии, и чтобы обсуждать свои коварные планы им нужна секретная связь. Но почему эту связь нужно налаживать именно по каналам предприятия? Отчего бы по телефону просто не поговорить?

Как раз недавно в одной конторке ставил SpRecord для записи всех телефонных переговоров
А если личные телефоны ? - а вы до сих пор думаете что фирмы своим сотрудникам раздают китайские айпонты из за того что им просто так захотелось сделать приятное своим сотрудникам ?
Дешманские планшетники очень часто раздают по тем же причинам
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
ProFfeSsoRr
Гуру
СообщениеДобавлено: Ср 20-11-13 : 18-45    Заголовок сообщения: Ответить с цитатой

Цитата:
Я так понимаю что несколько "эффективных менеджеров" решили немного украсть на родном предприятии
видимо не немного, а регулярно. С бухгалтерией и всем прочим, для того и нужен сервак с сетью.
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Epsilon
Гуру
СообщениеДобавлено: Ср 20-11-13 : 23-28    Заголовок сообщения: Ответить с цитатой

Я бы сеть в VLAN спрятал, внешне она была бы очень малозаметная.
Компы в AD неплохо контролируемы.

P.S. А незаметно завести канал в cisco - это перл Smile
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
leoboec
Эксперт
СообщениеДобавлено: Чт 21-11-13 : 08-30    Заголовок сообщения: Ответить с цитатой

нет в данном случае речь не о воровстве... а о получении некоторой независмости... и все риски тоже понятны.... но руководство тут хочет именно этого. и что поделать??!
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Kivin248
Гуру
СообщениеДобавлено: Чт 21-11-13 : 16-53    Заголовок сообщения: Ответить с цитатой

leoboec писал(а):
... но руководство тут хочет именно этого. и что поделать??!


offtop

"Сдать" текущее местное руководство вышестоящему, московскому.
Придет новое, и не будет ставить таких задач...
Глядишь, еще и премию выпишут...
Wink
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
Crazyman
Гуру
Предупреждений : 1
СообщениеДобавлено: Пт 22-11-13 : 09-53    Заголовок сообщения: Ответить с цитатой

leoboec писал(а):
нет в данном случае речь не о воровстве... а о получении некоторой независимости...

То есть воровать независимо от генеральной компании Smile)
Вдумайтесь для чего нужна эта независимость, не в аське и вконтактах сидеть явно.
Совет если руководство хочет пусть наймет кого нить по аутсорсингу, иначе в недалеком будущем уважаемый топикстартер вы тоже обретете независимость Trollface
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Arkan
Гуру
СообщениеДобавлено: Пт 22-11-13 : 10-19    Заголовок сообщения: Ответить с цитатой

А я бы на месте топикстартера настроил все так как хочет непосредственное руководство а потом бы сдал вышестояшему

Тут правда уже будет 1-2 месяца головников так как придется сделать лазейку для вышестоящего руководства, пока решают что там химичат

А если учитывая то что я не на месте топикстартера и если бы в настоящий момент мне так сказали что надо так сделать то я бы все таки сделал, выбил бы правда денежку на это дополнительную и премию разумеется

Топикстартеру деваться некуда, начальник сказал надо значит надо, но если топикстартер заметит уже явные кражи то надо об этом доложить вышестоящим, а то все предположения типа
- а они там что то делают не так...
Вышестоящее руководство не устроят
Когда будет реально факт махинаций тогда и надо доложить об этом

Кстати совет из личного горького опыта:
Доложить о махинациях надо самому главному в конторе без посредников, а то нарветесь на родственничков или друзей или лояльных заинтересованных и топикстартер будет независимым работосоискателем

А почему кстати не рассматривается вариант что топикстартера просто проверяют на профпригодность или лояльность к деятельности компании / непосредственного руководства

У меня в Барнауле есть два сисадмина между лояльностью к компании и профпригодностью я сделал ставку на лояльность - остальное я и сам доделаю если они не допетрят
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Evgeny79
Гуру
СообщениеДобавлено: Пт 22-11-13 : 11-14    Заголовок сообщения: Ответить с цитатой

offtop
Вчера искали справедливость на работе.
Сегодня ищем работу.
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
leoboec
Эксперт
СообщениеДобавлено: Пт 22-11-13 : 21-55    Заголовок сообщения: Ответить с цитатой

да что то в этом есть ))) за подсказки спасибо )))) будем думать и смотреть ) еще наверное не раз вернусь к этой теме и поспрашиваю что да как....
самое оптимальное как я понял:
1) доп канал связи
2) сервак на линуксе под файловый сервер возможно почтовый(?!)
3) по второй сетевух на нужные компы и от этого крутиться?!
4) дополнительный свитч куда сосбтвенно и придет канал и все компы
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
ProFfeSsoRr
Гуру
СообщениеДобавлено: Вс 24-11-13 : 01-43    Заголовок сообщения: Ответить с цитатой

Цитата:
возможно почтовый(?!)
с gmail'а поюзают, если что.
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
weer
Гуру
Предупреждений : 2
СообщениеДобавлено: Пн 25-11-13 : 22-12    Заголовок сообщения: Ответить с цитатой

коллеги,
чего то вы не в ту степь идете

не вдаваясь в вопрос "а зачем это надо" хочу спросить - а что мешает в виртуальной среде все необходимое реализовать?

поставьте в дальней кладовке псевдосервер, в него воткните йоту
туда гипервизор, виртуальная сеть с мостом на йоту

в виртуальной среде понимаем шлюз терминалов, куда боссы будут по https цепляться. покупаем на него реальный сертификат.
и работаем через rpd сколько душе влезет...
ну или можно веб морду сделать, если время есть ))))

вуаля, защищенный RDP обеспечен - такое соединения от пользования гуглом мало отличимо, обычный https. прямо через общий канал

кстати, если бюджет есть - можно вообще все это дело по модели iaas купить у буржуев )))
с точки зрения собственной шкуры это лучше - всегда можно сказать что ты не в курсе кто это придумал
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
leoboec
Эксперт
СообщениеДобавлено: Вт 26-11-13 : 12-05    Заголовок сообщения: Ответить с цитатой

можно поподробнее???!
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
ProFfeSsoRr
Гуру
СообщениеДобавлено: Вт 26-11-13 : 14-43    Заголовок сообщения: Ответить с цитатой

Цитата:
можно поподробнее???!
куда подробнее-то? С виртуалками что ли никогда не сталкивался? Поиграйся тогда для начала на своем компе с VirtualBox. На сервак надо конечно что-то нормальное, kvm там или вообще раз винда - так всё целиком на винде мож, тут уж я не шарю - у меня линукс везде и потому kvm везде.
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
Показать сообщения:   
Ответить на тему    Форум АДСЛ КлубаЦИФРОВОЙ ФЛЕЙМ :)ИНТЕРНЕТ/СЕТИ Часовой пояс: GMT + 7
На страницу 1 2
Страница 1 из 2

 

 
Аватары: Вкл|Выкл   ЮзерИнфо: Вкл|Выкл   Подписи: Вкл|Выкл
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы