|
Защитить XP Home с "белым" IP Ситуация следующая. Пришла бумага о внедрении в бухгалтерии института СЭД (система электронного документооборота с казначейством). К бумаге был приложен список требований в числе который было написано что компьютер должен иметь выделенный статический IP адрес. Как оказалось потом, выделенный адрес и нафиг не нужен был. Кто-то от фонаря абсолютно безграмотно составил эти требования, но к тому моменту выделенный адрес уже сделали, и менять его никто не хочет. Собственно вопрос следующий, на этом адресе висит обычный комп с обычным Windows XP Home. Как его защитить по лучше? При условии, что покупать никто никакого ПО не будет? Например, учитывая что интернет на этой машине не нужен совсем, можно-ли просто включить в свойствах соединения фильтрацию TCP IP и указать там всего лишь один IP казначейства, с которым происходит обмен? Поможет ли это избавиться от всяких сетевых атак? |
ну раз никто ничего и нафик не надо. то пускай так и будет. на* оно кому надо :) |
(1) Поможет. Только надо разрешить еще и адреса серверов MS для получения обновлений и то же самое - для антивируса, если есть. А еще - завести ограниченную учетку и чтобы юзер работал [b]только[/b] под ней, админа - запаролить хорошенько. Ну, и не будет лишним для хранения ключей КриптоПро "разориться" и купить eToken за 800 рублей, а не держать их на флешке, дискете или в реестре. |
№3 Ткачик, спасибо за ответ. Значит так и сделаю. Антивирус есть, DrWeb клиент-серверный, поставляется провайдером вместе с интернетом. По поводу ограниченной учетки - СЭД с ней работать вообще не хочет никак. Установщик сразу и сказал это. RuToken мы купили, разорились. Кстати наличие дисковода было тоже обязательным требованием, а разъема на материнке уже не было :) Купли USB флоппик, теперь без дела валяется... |
1-нави > поставить между этим компьютером и интернетом: 1. (Дороже, требует знаний, но лучше): шлюз с Linux. 2. (дешевле, проще, но хуже): маршрутизатор (D-link, Netgear etc) с включенным NAT. |
[quote=lithium;23984487] 1-нави > поставить между этим компьютером и интернетом: 1. (Дороже, требует знаний, но лучше): шлюз с Linux. 2. (дешевле, проще, но хуже): маршрутизатор (D-link, Netgear etc) с включенным NAT. [/quote] С линуксом было бы все гораздо проще :) Но кто даст комп под шлюз, и кто будет покупать маршрутизатор? Короче засада :) |
(4) DrWeb с брандмауэром? Если да, то и его можно настроить. Хотя это так, для очистки совести. (6) Роутер класса SOHO можно найти за цену еТокена. |
6-нави > А зарплату у Вас платят?! |
В винде поставить VirtualBox. Добавить 2 сетевые карты в виртуалку - одна как bridge, вторая как hostonly adapter. Поставить обычный шлюзовой линукс. В настройках физической сетевухи винды поставить серый IP или любую другую [filolog]херь[/filolog] (неважно короче). В настройках второго адаптера (который создал VirtualBox) прописать IP (должен быть в одной подсети с локальным IP виртуалки), а также шлюз и DNS = локальному IP виртуалки. Всё. |
droidman, снимаю шляпу, ты даже рута переплюнул, он для 2-х каналов 2 тюрьмы делал но это выше всяких похвал, зачет! |
однако! мсье знает толк в годных извращениях. И ведь лучше не придумаешь без доп железки... |
В идеале, на той сетевухе где инет - убрать все галочки в свойствах сетевой, т.е. отрубить все службы и протоколы самой винды. В виртуалке можно ставить любую x86/amd64/etc ос, не обязательно линукс, хоть OpenBSD. |
№9 Мдаа. Круть! Такое можно на поток ставить:)))) В виде защитного "плагина" для винды :))) №8 SVA1978 То что там платят нельзя назвать зарплатой :))) Я там приходящий раз в месяц человек. Если ходить раз в месяц - то з. п. адекватна :))) |
в (3) вроде все сказано хотя в (9) это да - кручее не придумать ) |
Параноики :)))) |
если поставить на тачку трафик инспектор и включить на нём фаервол, то он будет работать по принципу все входящие запрещены, все исходящие разрешены. аналогия с натом отдельной железкой. версия на 3х юзеров бесплатна для всех. |
16-Трумкин > а не на три? |
17-lithium > если его ставят как фаервол, то там там вообще юзеров не надо. это вам не лицензионная политика майкрософт, тут юзеры это функциональные ограничения в программе. |
[quote=Трумкин;24053937] если поставить на тачку трафик инспектор и включить на нём фаервол, то он будет работать по принципу все входящие запрещены, все исходящие разрешены. аналогия с натом отдельной железкой. версия на 3х юзеров бесплатна для всех. [/quote] Блин, а тут пишут [url]http://www.smart-soft.ru/ru/products/Traffic-Inspector/[/url] что на 30 дней всего. |
А в XP хоум имеется виндовый брандмауэр? Если да - то его поднять и не парится. |
> это вам не лицензионная политика майкрософт, тут юзеры это функциональные ограничения в программе. хрень какая-то |
19-нави > на 30 дней даётся полнофункицональная версия без ограничений, а с ограничением на 3 юзера без ограничение по времени )) 21-lithium > у мса кол-во юзеров это количество фактических работающих с продуктом человек, у трафик инспектора вы физически не сможете в программу завести пользователей больше чем куплено, но под одним пользователем в программе может работать много реальных людей, допустим юзер с авторизацией по диапозону айпишников. и это не будет нарушением лицензии. |
> и это не будет нарушением лицензии. счастье-то какое, прям как миллион баксов подарили |
за бесплатно поставте на него комодо фаервол и разрешите только конкретный порт на конкретный ip и будет вам щастье.. + бесплатно |
можно так же использовать виндовый брандмауэр.. привел комодо так как мне он кажется проще в настройке |
Всем спасибо за обсуждение. Поюзал comodo. Вроде нормально. Но ситуация изменилась. Появились у них возможность тысяч до трех приобрести железку. Может кто-нибудь чего посоветует? Задача следующая. Две сетки. Одна с интернетом, другая без. Пересекаться сетки не должны. Той, которая без интернета нужно иногда давать интернет (обновить антивирус, поставить заплатки). Естественно что бы это включалось удобно. На какую железку лучше обратить внимание? |
(26) Я не знаю такой железки, что бы на ней была кнопка "дать интернет", и сильно сомневаюсь, что за три тысячи найдете маршрутизатор с поддержкой Vlan. |
[quote=BigHarry;24210134] (26) Я не знаю такой железки, что бы на ней была кнопка "дать интернет", и сильно сомневаюсь, что за три тысячи найдете маршрутизатор с поддержкой Vlan. [/quote] Да я тоже не особо в них соображаю. Естественно не нужно такой кнопки "дать интернет". Это я так, проутрировал:) |
+28 В общем никаких vlan-ов не надо. Можно же просто прописать настройки вручную и часть машин подрубать когда надо через свич. Нужен просто маршрутизатор, желательно что бы на выходе было несколько LAN портов (пять к примеру). Ну и что бы файрволл был в нем хороший :) |
+29 еще один вопрос. Бывают ли такие маршрутизаторы у которых скажем пять портов LAN на выходе, и эти порты можно по отдельности отключать с вэб морды? Как раз и была бы та самая кнопка "дать интернет" :) |
Пускать в Инет целую сетку для того, чтобы обновить антивирус - глупая задача, особенно для нищей бюджетной конторы. Апдейты антивируса для всей организации должны скачиваться [b]один раз[/b] и складываться на общедоступном внутреннем ресурсе. Для DrWeb'а это делается элементарно. С заплатками Винды - сложнее, но и это можно порешать. Если же все-таки настаиваете на своем - в порядке бреда могу предложить передачу Инета по WiFi-мосту между сетками, включаемую кнопкой или программно по расписанию. Обойдется в 2,5-3 тысячи. |
[quote=Ткачик;24212388]Пускать в Инет целую сетку для того, чтобы обновить антивирус - глупая задача, особенно для нищей бюджетной конторы. Апдейты антивируса для всей организации должны скачиваться один раз и складываться на общедоступном внутреннем ресурсе. Для DrWeb'а это делается элементарно. С заплатками Винды - сложнее, но и это можно порешать.[/quote] Видишь ли, зато у нищей бюджетной конторы достаточно неплохая безлимитка. Причем на бухгалтерию (шесть компов) отдельный канал от всей остальной конторы + по штату тока трем компам нужен доступ в инет. Зачем че-то централизованное городить? [quote=Ткачик;24212388]Если же все-таки настаиваете на своем - в порядке бреда могу предложить передачу Инета по WiFi-мосту между сетками, включаемую кнопкой или программно по расписанию. Обойдется в 2,5-3 тысячи. [/quote] Я просто запутал всех. Это будет одна сеть, просто три всегда будут в нете, а три я буду подключать когда надо обновить. Обновлять достаточно раз в неделю. В общем в 29-30 все написано, чего бы хотелось уточнить. |
Вот чего присмотрел [u][url]http://trendnet.ru/products/catalog/detail/TW100-BRF114[/url][/u] Вроде недорогой и по функциям ничего так... |
[url]http://www.3dnews.ru/communication/firewall2000xp/[/url] |
По аналогии, была такая железка TW100-BRV304 Вполне устраивала. Да и сейчас вроде живая. |
ну я как всегда предложу [url]http://mikc.ru/product.php?id_catalog=39&id_position=442[/url] и фаер замечательный, и вланы, и кнопка "дать интернет" есть :) |
[quote=Sages;24290927] ну я как всегда предложу [url]http://mikc.ru/product.php?id_catalo...d_position=442[/url] и фаер замечательный, и вланы, и кнопка "дать интернет" есть :) [/quote] Вот где же ты раньше был :) Уже отдал счет на то что выбрал выше :) |
он всегда тут был, просто человек стесняется |
| Текущее время: 21:43. Часовой пояс GMT +3. |