Запрет аплоада файлов

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

Doublespace
Сообщения: 275
ОС: Debian Lenny,Squeeze,Centos

Запрет аплоада файлов

Сообщение Doublespace »

Поставили задачу создать максимально безопасную локалку. Задача- невозможность выноса файлов за ее пределы.Более-менее контуры политики прорисовываются, но никак не могу придумать, что сделать со всякого рода веб-обменками, которые принимают файлы по http - так, чтобы глобально. Постфактум-то определить и наказать не проблема. Кто-то как-то решал эту задачу?
Спасибо сказали:
shotdownsystem
Сообщения: 423
ОС: Basic command interpreter

Re: Запрет аплоада файлов

Сообщение shotdownsystem »

а еще возникнут проблемы и с почтой и с аськой и с форумами - файл в Базе64 и по частям.

только резать сеть. Или могу таблетку дать - все само отвалится.
puts ("Working, please wait...");while(1);
Спасибо сказали:
Doublespace
Сообщения: 275
ОС: Debian Lenny,Squeeze,Centos

Re: Запрет аплоада файлов

Сообщение Doublespace »

Похоже, придется предложить вариант- для отсылки доков машины только с подключением к корпоративной почте, для доступа к инету-без доступа к докам. Или виртуалку заюзать для доступа к инету, а на хосте его обрезать
Спасибо сказали:
shotdownsystem
Сообщения: 423
ОС: Basic command interpreter

Re: Запрет аплоада файлов

Сообщение shotdownsystem »

лучше закрытый терминал аля гугл с сенсорным экраном
puts ("Working, please wait...");while(1);
Спасибо сказали:
Doublespace
Сообщения: 275
ОС: Debian Lenny,Squeeze,Centos

Re: Запрет аплоада файлов

Сообщение Doublespace »

Типа терминальный сервер? Тоже решение.
Спасибо сказали:
shotdownsystem
Сообщения: 423
ОС: Basic command interpreter

Re: Запрет аплоада файлов

Сообщение shotdownsystem »

это не сервер, это точка доступа к инету.
у гугла в офисе такую фигнючку видел - типа как для оплаты счетов, только для доступа в инет. Не знаю довели они его до ума.
инет через ЛАН. Можно поставить беспроводное что-то и заварить.
puts ("Working, please wait...");while(1);
Спасибо сказали:
Doublespace
Сообщения: 275
ОС: Debian Lenny,Squeeze,Centos

Re: Запрет аплоада файлов

Сообщение Doublespace »

Ну тут не тот случай. Инет должен быть для работы- но возможности увести доки помимо корпоративной почты быть не должно. Думается пока так
- создать на каждой тачке по виртуалке
- для перекидки скачанных вещей сделать общую папку на виртуалке- только на чтение для хоста. Туда не перекинут
-для отсылки разрешить хосту работу с почтовым сервакои
Всякие флэхи и прочее, естессно, вырубаются.
Спасибо сказали:
shotdownsystem
Сообщения: 423
ОС: Basic command interpreter

Re: Запрет аплоада файлов

Сообщение shotdownsystem »

Doublespace писал(а):
02.12.2010 16:37
Ну тут не тот случай. Инет должен быть для работы- но возможности увести доки помимо корпоративной почты быть не должно. Думается пока так
- создать на каждой тачке по виртуалке
- для перекидки скачанных вещей сделать общую папку на виртуалке- только на чтение для хоста. Туда не перекинут
-для отсылки разрешить хосту работу с почтовым сервакои

а что мне мешает вынуть сетевой кабель, вставить кабель себе в нотебук и отправлять файлы на свой "частный" почтовый сервер с ИП корпоративного?!
что мне мешает в виртуальной машине подключить диск с файлами?!
puts ("Working, please wait...");while(1);
Спасибо сказали:
Doublespace
Сообщения: 275
ОС: Debian Lenny,Squeeze,Centos

Re: Запрет аплоада файлов

Сообщение Doublespace »

Ну, например, видеонаблюдение. Авторизация на раутере по мак-адресу, хотя это уже не так серьезно. Возможно, смарткардридер. Эти моменты еще продумываются. А в виртуалке что-то подцепить помешает недостаток прав пользователя. Да, и из нее пусть уносят что хотят
Спасибо сказали:
shotdownsystem
Сообщения: 423
ОС: Basic command interpreter

Re: Запрет аплоада файлов

Сообщение shotdownsystem »

Doublespace писал(а):
02.12.2010 17:40
Ну, например, видеонаблюдение. Авторизация на раутере по мак-адресу, хотя это уже не так серьезно. Возможно, смарткардридер. Эти моменты еще продумываются. А в виртуалке что-то подцепить помешает недостаток прав пользователя.

Видеонаблюдение - камера в монитор? )
Роутер будет вне нашей частной сети комп - нотебук.
смарткардридер какм здесь боком?
А что помешает копировать диск ИнетМашины, создать новую и подсоединить еще диск?
puts ("Working, please wait...");while(1);
Спасибо сказали:
shotdownsystem
Сообщения: 423
ОС: Basic command interpreter

Re: Запрет аплоада файлов

Сообщение shotdownsystem »

есть кстати еще способ - можно слить файлы через видеокарточку.
Принимаю заказы на устройства, дорого.
puts ("Working, please wait...");while(1);
Спасибо сказали:
Doublespace
Сообщения: 275
ОС: Debian Lenny,Squeeze,Centos

Re: Запрет аплоада файлов

Сообщение Doublespace »

Смарткард здесь боком -идентификации на сервере с данными. Чтобы с посторонним ноутом сложнее влезть было. Но это уже на сильно крайний случай. Видеонаблюдение не на монитор, а на общую обстановку. Чтобы безнаказанно кабели в посторонние ноуты не совали. А вместо виртуалки, кстати, есть смысл использовать внешнюю линух-машину, на которую клиентура будет заходить через иксы или RX терминальный сервер. Тогда уже точно не доберутся. Через видеокарту- это уже экзотика. Типа прямого сьема с экрана.
Спасибо сказали:
shotdownsystem
Сообщения: 423
ОС: Basic command interpreter

Re: Запрет аплоада файлов

Сообщение shotdownsystem »

Doublespace писал(а):
02.12.2010 18:04
Через видеокарту- это уже экзотика. Типа прямого сьема с экрана.

никакой экзотики, плис+контроллер скорость в 100 кбит/сек обеспечить с ходу мжно.
Экзотика это монитор на сканер положить )))

Doublespace писал(а):
02.12.2010 18:04
Смарткард здесь боком -идентификации на сервере с данными.

подключаешь ноут к компу и с компа отправляешь типа на "корпоративный сервер" почту с файлом.
puts ("Working, please wait...");while(1);
Спасибо сказали:
shotdownsystem
Сообщения: 423
ОС: Basic command interpreter

Re: Запрет аплоада файлов

Сообщение shotdownsystem »

Doublespace писал(а):
02.12.2010 18:04
А вместо виртуалки, кстати, есть смысл использовать внешнюю линух-машину, на которую клиентура будет заходить через иксы или RX терминальный сервер.

с терминалом файл через буфер обмена можно перенести

а из-за чего весь сыр-бор: какой объем файлов и за сколько можно его продать?
puts ("Working, please wait...");while(1);
Спасибо сказали:
Doublespace
Сообщения: 275
ОС: Debian Lenny,Squeeze,Centos

Re: Запрет аплоада файлов

Сообщение Doublespace »

А вот это я не знаю, задача пока поставлена в общем- чтобы мимо начальства файлы никаким боком не уходили. Экзотики не ожидается, входной канал в инет будет заперт в шкафчик, файлы на samba файл-сервере и в идеале там должны и оставаться, хотя на все запрет на запись не поставишь,корпуса на замке,usb отключены будут, на bios пароль, пришлые ноутбуки... вот с этим придется думать. Возможно, wifi с авторизацией посильнее поможет... тут хоть отключил бортовую сеть, и уже так просто не влезешь. Юзеров можно придавить хотя бы с помощью Security administrator- жестко ограничить приложения только необходимым списком.
Спасибо сказали:
Аватара пользователя
SLEDopit
Модератор
Сообщения: 4824
Статус: фанат консоли (=
ОС: GNU/Debian, RHEL

Re: Запрет аплоада файлов

Сообщение SLEDopit »

недавно похожая тема поднималась.
имхо, самое адекватное решение, это выдать людям компы с инетом, но без флешек, а важную информацию держать, скажем, на терминалках, где нет выхода в сеть, без возможности обмена данными между этими двумя средами.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
Спасибо сказали:
Doublespace
Сообщения: 275
ОС: Debian Lenny,Squeeze,Centos

Re: Запрет аплоада файлов

Сообщение Doublespace »

Примерно к похожему и пришел после того, как два дня ломал голову в плане перекрыть все дырки в инете. Нет инета-нет проблемы.
Спасибо сказали:
shotdownsystem
Сообщения: 423
ОС: Basic command interpreter

Re: Запрет аплоада файлов

Сообщение shotdownsystem »

Doublespace писал(а):
02.12.2010 20:21
пришлые ноутбуки... вот с этим придется думать. Возможно, wifi с авторизацией посильнее поможет... тут хоть отключил бортовую сеть,

даже без ВиФи здесь ВПН поможет ), хаб тоже можно отключать.
все зависит от ценности информации... я бы добавил котроль включения разъемов, целосности кабеля.
ЮСБи разъем можно вывести и подключить инверсивно на 12 в. - на первых парах выявит крыс ))
puts ("Working, please wait...");while(1);
Спасибо сказали: