| 0
- 16.03.2012 - 14:03
|
Ситуация следующая. Пришла бумага о внедрении в бухгалтерии института СЭД (система электронного документооборота с казначейством). К бумаге был приложен список требований в числе который было написано что компьютер должен иметь выделенный статический IP адрес. Как оказалось потом, выделенный адрес и нафиг не нужен был. Кто-то от фонаря абсолютно безграмотно составил эти требования, но к тому моменту выделенный адрес уже сделали, и менять его никто не хочет. Собственно вопрос следующий, на этом адресе висит обычный комп с обычным Windows XP Home. Как его защитить по лучше? При условии, что покупать никто никакого ПО не будет? Например, учитывая что интернет на этой машине не нужен совсем, можно-ли просто включить в свойствах соединения фильтрацию TCP IP и указать там всего лишь один IP казначейства, с которым происходит обмен? Поможет ли это избавиться от всяких сетевых атак?     | | ||
| 1
- 16.03.2012 - 14:16
| ну раз никто ничего и нафик не надо. то пускай так и будет. на* оно кому надо :) | | ||
| 2
- 16.03.2012 - 14:18
|
(1) Поможет. Только надо разрешить еще и адреса серверов MS для получения обновлений и то же самое - для антивируса, если есть. А еще - завести ограниченную учетку и чтобы юзер работал только под ней, админа - запаролить хорошенько. Ну, и не будет лишним для хранения ключей КриптоПро "разориться" и купить eToken за 800 рублей, а не держать их на флешке, дискете или в реестре. | | ||
| 3
- 16.03.2012 - 14:25
|
№3 Ткачик, спасибо за ответ. Значит так и сделаю. Антивирус есть, DrWeb клиент-серверный, поставляется провайдером вместе с интернетом. По поводу ограниченной учетки - СЭД с ней работать вообще не хочет никак. Установщик сразу и сказал это. RuToken мы купили, разорились. Кстати наличие дисковода было тоже обязательным требованием, а разъема на материнке уже не было :) Купли USB флоппик, теперь без дела валяется... | | ||
| Модератор 4
- 16.03.2012 - 14:44
|
1-нави > поставить между этим компьютером и интернетом: 1. (Дороже, требует знаний, но лучше): шлюз с Linux. 2. (дешевле, проще, но хуже): маршрутизатор (D-link, Netgear etc) с включенным NAT. | | ||
| 5
- 16.03.2012 - 15:04
| Цитата:
| | ||
| 6
- 16.03.2012 - 15:14
|
(4) DrWeb с брандмауэром? Если да, то и его можно настроить. Хотя это так, для очистки совести. (6) Роутер класса SOHO можно найти за цену еТокена. | | ||
| 7
- 16.03.2012 - 15:51
| 6-нави > А зарплату у Вас платят?! | | ||
| 8
- 16.03.2012 - 17:48
| В винде поставить VirtualBox. Добавить 2 сетевые карты в виртуалку - одна как bridge, вторая как hostonly adapter. Поставить обычный шлюзовой линукс. В настройках физической сетевухи винды поставить серый IP или любую другую [*****] (неважно короче). В настройках второго адаптера (который создал VirtualBox) прописать IP (должен быть в одной подсети с локальным IP виртуалки), а также шлюз и DNS = локальному IP виртуалки. Всё. | | ||
| 9
- 16.03.2012 - 18:07
|
droidman, снимаю шляпу, ты даже рута переплюнул, он для 2-х каналов 2 тюрьмы делал но это выше всяких похвал, зачет! | | ||
| 10
- 16.03.2012 - 22:40
| однако! мсье знает толк в годных извращениях. И ведь лучше не придумаешь без доп железки... | | ||
| 11
- 17.03.2012 - 00:01
| В идеале, на той сетевухе где инет - убрать все галочки в свойствах сетевой, т.е. отрубить все службы и протоколы самой винды. В виртуалке можно ставить любую x86/amd64/etc ос, не обязательно линукс, хоть OpenBSD. | | ||
| 12
- 17.03.2012 - 07:14
|
№9 Мдаа. Круть! Такое можно на поток ставить:)))) В виде защитного "плагина" для винды :))) №8 SVA1978 То что там платят нельзя назвать зарплатой :))) Я там приходящий раз в месяц человек. Если ходить раз в месяц - то з. п. адекватна :))) | | ||
| 13
- 18.03.2012 - 14:49
|
в (3) вроде все сказано хотя в (9) это да - кручее не придумать ) | | ||
| 14
- 19.03.2012 - 16:18
| Параноики :)))) | | ||
| 15
- 20.03.2012 - 08:50
|
если поставить на тачку трафик инспектор и включить на нём фаервол, то он будет работать по принципу все входящие запрещены, все исходящие разрешены. аналогия с натом отдельной железкой. версия на 3х юзеров бесплатна для всех. | | ||
| Модератор 16
- 20.03.2012 - 09:33
| 16-Трумкин > а не на три? | | ||
| 17
- 20.03.2012 - 14:29
| 17-lithium > если его ставят как фаервол, то там там вообще юзеров не надо. это вам не лицензионная политика майкрософт, тут юзеры это функциональные ограничения в программе. | | ||
| 18
- 23.03.2012 - 12:19
| Цитата:
| | ||
| 19
- 23.03.2012 - 14:24
| А в XP хоум имеется виндовый брандмауэр? Если да - то его поднять и не парится. | | ||
| Модератор 20
- 23.03.2012 - 14:55
|
> это вам не лицензионная политика майкрософт, тут юзеры это функциональные ограничения в программе. хрень какая-то | | ||
| 21
- 26.03.2012 - 08:32
|
19-нави > на 30 дней даётся полнофункицональная версия без ограничений, а с ограничением на 3 юзера без ограничение по времени )) 21-lithium > у мса кол-во юзеров это количество фактических работающих с продуктом человек, у трафик инспектора вы физически не сможете в программу завести пользователей больше чем куплено, но под одним пользователем в программе может работать много реальных людей, допустим юзер с авторизацией по диапозону айпишников. и это не будет нарушением лицензии. | | ||
| Модератор 22
- 26.03.2012 - 11:19
|
> и это не будет нарушением лицензии. счастье-то какое, прям как миллион баксов подарили | | ||
| 23
- 26.03.2012 - 23:09
| за бесплатно поставте на него комодо фаервол и разрешите только конкретный порт на конкретный ip и будет вам щастье.. + бесплатно | | ||
| 24
- 26.03.2012 - 23:10
| можно так же использовать виндовый брандмауэр.. привел комодо так как мне он кажется проще в настройке | | ||
| 25
- 27.03.2012 - 10:49
|
Всем спасибо за обсуждение. Поюзал comodo. Вроде нормально. Но ситуация изменилась. Появились у них возможность тысяч до трех приобрести железку. Может кто-нибудь чего посоветует? Задача следующая. Две сетки. Одна с интернетом, другая без. Пересекаться сетки не должны. Той, которая без интернета нужно иногда давать интернет (обновить антивирус, поставить заплатки). Естественно что бы это включалось удобно. На какую железку лучше обратить внимание? | | ||
| 26
- 27.03.2012 - 11:16
| (26) Я не знаю такой железки, что бы на ней была кнопка "дать интернет", и сильно сомневаюсь, что за три тысячи найдете маршрутизатор с поддержкой Vlan. | | ||
| 27
- 27.03.2012 - 11:21
| Цитата:
| | ||
| 28
- 27.03.2012 - 11:54
|
+28 В общем никаких vlan-ов не надо. Можно же просто прописать настройки вручную и часть машин подрубать когда надо через свич. Нужен просто маршрутизатор, желательно что бы на выходе было несколько LAN портов (пять к примеру). Ну и что бы файрволл был в нем хороший :) | | ||
| 29
- 27.03.2012 - 12:01
| +29 еще один вопрос. Бывают ли такие маршрутизаторы у которых скажем пять портов LAN на выходе, и эти порты можно по отдельности отключать с вэб морды? Как раз и была бы та самая кнопка "дать интернет" :) | | ||
| 30
- 27.03.2012 - 12:26
|
Пускать в Инет целую сетку для того, чтобы обновить антивирус - глупая задача, особенно для нищей бюджетной конторы. Апдейты антивируса для всей организации должны скачиваться один раз и складываться на общедоступном внутреннем ресурсе. Для DrWeb'а это делается элементарно. С заплатками Винды - сложнее, но и это можно порешать. Если же все-таки настаиваете на своем - в порядке бреда могу предложить передачу Инета по WiFi-мосту между сетками, включаемую кнопкой или программно по расписанию. Обойдется в 2,5-3 тысячи. | | ||
| 31
- 27.03.2012 - 13:04
| Цитата:
Цитата:
| | ||
| 32
- 28.03.2012 - 12:51
|
Вот чего присмотрел http://trendnet.ru/products/catalog/detail/TW100-BRF114 Вроде недорогой и по функциям ничего так... | | ||
| 33
- 28.03.2012 - 23:26
| http://www.3dnews.ru/communication/firewall2000xp/ | | ||
| 34
- 30.03.2012 - 15:44
|
По аналогии, была такая железка TW100-BRV304 Вполне устраивала. Да и сейчас вроде живая. | | ||
| 35
- 30.03.2012 - 15:59
|
ну я как всегда предложу http://mikc.ru/product.php?id_catalo...d_position=442 и фаер замечательный, и вланы, и кнопка "дать интернет" есть :) | | ||
| 36
- 30.03.2012 - 18:01
| Цитата:
| | ||
| 37
- 01.04.2012 - 20:36
| он всегда тут был, просто человек стесняется | |
Интернет-форум Краснодарского края и Краснодара |
