Форум 3DNews
Вернуться   Форум 3DNews > Софт > Программное обеспечение

Ответ Создать новую тему
 
Опции темы Опции просмотра
Старый 26.05.2017, 12:09   [включить плавающее окно]   #61
Полковник Исаев
Мужской Недосягаемый
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: СССР
Smirnoff
Но тогда надо каждый раз убирать следы подключения к тому удалённому серверу, либо опять же возвращаемся к покупке отдельных ноутов, тех же флешек с LiveCD и т.д. По сути нет разницы где стоит сервер - в другой стране или соседнем помещении, ведь всё равно потребуется соблюдать те же самые инструкции.
А врать про тырнэт и не придётся, потому что никто не спросит и никак не проверит - кабель из стены торчит и тырнэт по нему приходит, а откуда он идёт нам и неведомо.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 26.05.2017, 15:41   [включить плавающее окно]   #62
hitman30
Мужской Начинающий
Автор темы
 
Регистрация: 05.05.2017
Полковник Исаев

Как уже написали, такой вариант с ноутами не прокатит. Очень не удобно, очень палевно, сложно скрыть. С этими документами работают 4 человек, как не крути, кто то забудет закрыть/прятать/отключить.. спалиться один из 4х, все. game over.

А вот с арендой вроде мне понравился, только технически не знаю как реализовать.
теоритически получается так:
----------
у себя в предприятии выделяем комнату, юридически оформляем на левые данные, типа у нас арендуют. Там ставим сервер/компьютер с левыми документами и настраиваем доступ для этих пользователей.
Если пришла проверка, говорим, что это помещение не наше и вот договор на аренду (что сдаем).
----------
Правильно я понял теорию?
hitman30 вне форума  
Ответить с цитированием
Старый 26.05.2017, 16:50   [включить плавающее окно]   #63
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (hitman30) »
Если пришла проверка, говорим, что это помещение не наше и вот договор на аренду (что сдаем).
Не прокатит: раз оно - ваше, туда тоже легко запрутся с проверкой. "Это" не должно иметь к вам (формально) ваще никакого отношения. И ещё лучше - если даже территориально будет очень "не рядом" - я потому и говорил "арендовать сервер в другой стране" (но можно - и в своей, и даже дома у кого-то поставить; лишь бы не был человек явно аффилирован).
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 26.05.2017, 16:59   [включить плавающее окно]   #64
hitman30
Мужской Начинающий
Автор темы
 
Регистрация: 05.05.2017
Smirnoff
Ок, тогда если поставить у кого то дома комп, то как технически все это реализовать?
Каким образом этих 3-их пользователей туда пустить работать ?
там офисные документы. Не надо, чтоб эти файлы гуляли у нас по сети открыто.

У нас есть корпоративный шлюз (микротик), если получится на уровне аппарата делать доступ, то было бы идеально, чтоб даже при изымании компьютеров не понятно было куда ведет ярлык папки. А то если поставить VPN клиенты, то будет ясно подозрительно и там будет все реквизиты сервера.
hitman30 вне форума  
Ответить с цитированием
Старый 26.05.2017, 17:02   [включить плавающее окно]   #65
zl0dey4eg
Мужской Недосягаемый
 
Аватар для zl0dey4eg
 
Регистрация: 24.12.2012
Адрес: Москва
Цитата (hitman30) »
Ок, тогда если поставить у кого то дома комп, то как технически все это реализовать?
как как ... белый IP, быстрый интернет и VPN
__________________
____ ¯\_(ツ)_/¯ ____
zl0dey4eg вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 27.05.2017, 08:21   [включить плавающее окно]   #66
hitman30
Мужской Начинающий
Автор темы
 
Регистрация: 05.05.2017
zl0dey4eg

На клиенте будет оставаться данные о VPN сервере. Если даже успеем переместить сервер, то лишние подозрения будут.

Ну и можно ли использовать VPN клиенты посторонние ? не сертифицированные.
А то опять приходим к "криптопро".
hitman30 вне форума  
Ответить с цитированием
Старый 27.05.2017, 11:43   [включить плавающее окно]   #67
Полковник Исаев
Мужской Недосягаемый
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: СССР
hitman30
А вот чтоб следы не оставлять придётся сделать загрузочную флешку/внешний диск и собрать под свои задачи LiveCD, не с нуля конечно, а взять один из готовых и допилить немного. Все работы проводить на внешнем носителе или RAM диске. Либо каждый раз следы затирать, что очень долго и неудобно.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 29.05.2017, 06:20   [включить плавающее окно]   #68
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (hitman30) »
можно ли использовать VPN клиенты посторонние ? не сертифицированные.
Для ваших целей наличие/отсутствие сертификации должно быть сугубо монопенисуально. А вообще можно использовать тот VPN-клиент, что имеется в винде: просто настраиваете на удалённом хосте VPN-сервер по PPTP...
Цитата (hitman30) »
если поставить у кого то дома комп, то как
Для начала - этот "кто-то" должен быть никак с вами не связан: не клиент, не поставщик, не сотрудник, не друг/родственник, не знакомый...
Цитата (hitman30) »
Каким образом этих 3-их пользователей туда пустить работать ?
На удалённом сервере - сервер терминалов (в котором пусть и работают с "офисными документами") и VPN-сервер, на VPN-сервере настраиваете 3 пары логин/пароль, на терминальном сервере - то-же самое.
Цитата (hitman30) »
есть корпоративный шлюз (микротик), если получится на уровне аппарата делать доступ, то было бы идеально, чтоб даже при изымании компьютеров не понятно было куда ведет ярлык папки.
Можно подумать, что компы у вас изымут, а роутер оставят висеть на месте...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 29.05.2017, 08:32   [включить плавающее окно]   #69
hitman30
Мужской Начинающий
Автор темы
 
Регистрация: 05.05.2017
Цитата (Smirnoff) »
Для ваших целей наличие/отсутствие сертификации должно быть сугубо монопенисуально.
Я вас понял. Это я к тому, чтоб нам не втерли типа используем несертифицированные решение шифрование.. ведь VPN тоже шифрует трафик.


Цитата (Smirnoff) »
этот "кто-то" должен быть никак с вами не связан: не клиент, не поставщик, не сотрудник, не друг/родственник, не знакомый
почему?


Цитата (Smirnoff) »
На удалённом сервере - сервер терминалов (в котором пусть и работают с "офисными документами") и VPN-сервер, на VPN-сервере настраиваете 3 пары логин/пароль, на терминальном сервере - то-же самое.
а зачем тогда RDP при наличии VPN ?
тогда можно делать VPN и по локалке уже зайти в эту папку.
ну или только RDP тогда, хотя думаю по RDP сложно будет работать с документами, хотя наверно более безопасно, чтоб не кэшировались в локальную машину...
Ну тут не уверен как лучше.

Цитата (Smirnoff) »
Можно подумать, что компы у вас изымут, а роутер оставят висеть на месте
Ну честно говоря я не слышал случай, когда изымали сетевые оборудование. насколько оно практикуется в РФ ?
hitman30 вне форума  
Ответить с цитированием
Старый 29.05.2017, 09:16   [включить плавающее окно]   #70
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (hitman30) »
почему?
До аффилированных лиц (включая и юр.лица) доберутся в первую очередь - и очень быстро. Так что у вас не будет времени аккуратно всё зачистить на этом сервере...
Цитата (hitman30) »
а зачем тогда RDP при наличии VPN ?
тогда можно делать VPN и по локалке уже зайти в эту папку.
Да как раз затем, чтобы на локальном компе не было никаких следов от ваших "суперсикретных докУментов": раз вы будете работать на удалённом сервере по RDP - все эти документы только там и оставят следы.
Цитата (hitman30) »
я не слышал случай, когда изымали сетевые оборудование.
Если не страшно, что изымут роутер (у которого в конфигурации всё будет явно прописано ) - тогда VPN-канал может и Микротик поднимать; но работать всё равно лучше по RDP.

Добавлено через 1 минуту

Цитата (hitman30) »
чтоб нам не втерли типа используем несертифицированные решение шифрование
Коль скоро сама винда не запрещена к воозу и использованию - использование интегрированных в неё RDP и VPN-клиентов тоже не может быть запрещено...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 29.05.2017, 10:18   [включить плавающее окно]   #71
Полковник Исаев
Мужской Недосягаемый
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: СССР
hitman30
Если ОСь сертифицирована, то все её компоненты тоже, как неотъемлемая часть системы.

Smirnoff
Удаленка отличная идея, сам я об этом не подумал
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 29.05.2017, 10:44   [включить плавающее окно]   #72
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Удаленка отличная идея
Лет так 20 назад чего мы с клиентами только не городили - ввиду жутко тормозатого и лимитного тырнета... Вплоть до использования припрятанных серверов (у одних клиентов в цехе по изготовлению ювелирных изделий спрятали сервер на воздуховоде вентиляции (в районе ~6 метров над полом эдакая квадратная "труба" с ребром ~1 метр, ни с какой точки цеха этот сервер не было видно) и автомобильной сигнализации для его отключения в чрезвычайной ситуации.

P.S. Самое смешное, что те-то мои (на тот момент - уже бывшие, к счастью) клиенты спалились с парой килограмм золотого песка тупо при встрече курьера на ж/д вокзале - так что и спрятанный сервер им нифига не помог; глупость - она всё превозмогает (почти К.Прутков ).
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 29.05.2017, 11:12   [включить плавающее окно]   #73
Полковник Исаев
Мужской Недосягаемый
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: СССР
Smirnoff
Технически систему можно организовать очень хорошо, пусть идеально и не выйдет, но всегда выверенная техническая система может быть дискредитирована человеческим фактором. Потому нужны не только технические решения и орг.мероприятия, но и надёжные люди, которые должны быть не только уверенными пользователями, но даже более того, чтоб понимали весь физический и технический процесс для сведения рисков к минимуму.
Ведь туже систему на флешке + VPN + RDP легко дискредитирует плохой пользователь ПК - он накосячит и не сообщит, а в итоге это риск, что обнаружатся следы работы.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Старый 29.05.2017, 21:13   [включить плавающее окно]   #74
hitman30
Мужской Начинающий
Автор темы
 
Регистрация: 05.05.2017
Цитата (Smirnoff) »
До аффилированных лиц (включая и юр.лица) доберутся в первую очередь - и очень быстро. Так что у вас не будет времени аккуратно всё зачистить на этом сервере...
хмм, да , логично в принципе. А как думайте, пойдет ли VDS сервера например? ну интернет сервисы? или это опасно ?


Цитата (Smirnoff) »
Да как раз затем, чтобы на локальном компе не было никаких следов от ваших "суперсикретных докУментов": раз вы будете работать на удалённом сервере по RDP - все эти документы только там и оставят следы.
честно говоря все же не понял зачем тогда VPN в случае RDP ? риски не перехват по сети, а в гоп-стопе компьютеров.


Если ОСь сертифицирована, то все её компоненты тоже, как неотъемлемая часть системы.
ОС у нас win 10 home . На сайте MS не нашел его в списке сертифицированных продуктов
https://www.microsoft.com/ru-ru/secu.../products.aspx


Ведь туже систему на флешке + VPN + RDP легко дискредитирует плохой пользователь ПК - он накосячит и не сообщит, а в итоге это риск, что обнаружатся следы работы.
конечно, всегда самое слабое звено в каждом деле оказывается человек и сам человеческий фактор. Вот даже не хочу кроме директора никому сказать где этот сервер будет находится, ведь не факт, что один и этих 4х пользователей не заговорят при первом опросе/допросе.

Спрятать сервер у себя где то можно, благо завод у нас, много всяких отсеков, полок с сырье и готовыми изделиями. Вот даже думаю, может по WI-Fi к нему настроить доступ? т.е. локально ставить в заводе где то и по wi-fi туда пустить 4х пользователь ? или затея опасная ?
hitman30 вне форума  
Ответить с цитированием
Старый 29.05.2017, 23:01   [включить плавающее окно]   #75
Полковник Исаев
Мужской Недосягаемый
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: СССР
hitman30
Сертификация ФСТЭК требуется для обработки конфиденциальных данных, а для гостайны ОСь должна быть сертифицирована ФСБ.
В основном же ФСТЭК, как и ФСБ, сертифицируют средства защиты информации.

Цитата (hitman30) »
VPN в случае RDP
У RDP слабое шифрование, а VPN нужен не только для этого, ещё и сам канал подключения должен быть надёжен. Хотя, наверное, можно и обойтись. Тут Smirnoff`у виднее, я хуже разбираюсь в сетевых технологиях.

А так и сервер на вафле мне нравится - скрыть SSID, сгенерировать длинный и сложный пароль, настроить фильтрацию по МАС, чтоб никто не мог подключиться со стороны.
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka

Последний раз редактировалось Полковник Исаев; 29.05.2017 в 23:03.
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 04:25. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey