Запрет аплоада файлов
Модераторы: SLEDopit, Модераторы разделов
-
Doublespace
- Сообщения: 275
- ОС: Debian Lenny,Squeeze,Centos
Запрет аплоада файлов
Поставили задачу создать максимально безопасную локалку. Задача- невозможность выноса файлов за ее пределы.Более-менее контуры политики прорисовываются, но никак не могу придумать, что сделать со всякого рода веб-обменками, которые принимают файлы по http - так, чтобы глобально. Постфактум-то определить и наказать не проблема. Кто-то как-то решал эту задачу?
-
shotdownsystem
- Сообщения: 423
- ОС: Basic command interpreter
Re: Запрет аплоада файлов
а еще возникнут проблемы и с почтой и с аськой и с форумами - файл в Базе64 и по частям.
только резать сеть. Или могу таблетку дать - все само отвалится.
только резать сеть. Или могу таблетку дать - все само отвалится.
puts ("Working, please wait...");while(1);
-
Doublespace
- Сообщения: 275
- ОС: Debian Lenny,Squeeze,Centos
Re: Запрет аплоада файлов
Похоже, придется предложить вариант- для отсылки доков машины только с подключением к корпоративной почте, для доступа к инету-без доступа к докам. Или виртуалку заюзать для доступа к инету, а на хосте его обрезать
-
shotdownsystem
- Сообщения: 423
- ОС: Basic command interpreter
Re: Запрет аплоада файлов
лучше закрытый терминал аля гугл с сенсорным экраном
puts ("Working, please wait...");while(1);
-
Doublespace
- Сообщения: 275
- ОС: Debian Lenny,Squeeze,Centos
Re: Запрет аплоада файлов
Типа терминальный сервер? Тоже решение.
-
shotdownsystem
- Сообщения: 423
- ОС: Basic command interpreter
Re: Запрет аплоада файлов
это не сервер, это точка доступа к инету.
у гугла в офисе такую фигнючку видел - типа как для оплаты счетов, только для доступа в инет. Не знаю довели они его до ума.
инет через ЛАН. Можно поставить беспроводное что-то и заварить.
у гугла в офисе такую фигнючку видел - типа как для оплаты счетов, только для доступа в инет. Не знаю довели они его до ума.
инет через ЛАН. Можно поставить беспроводное что-то и заварить.
puts ("Working, please wait...");while(1);
-
Doublespace
- Сообщения: 275
- ОС: Debian Lenny,Squeeze,Centos
Re: Запрет аплоада файлов
Ну тут не тот случай. Инет должен быть для работы- но возможности увести доки помимо корпоративной почты быть не должно. Думается пока так
- создать на каждой тачке по виртуалке
- для перекидки скачанных вещей сделать общую папку на виртуалке- только на чтение для хоста. Туда не перекинут
-для отсылки разрешить хосту работу с почтовым сервакои
Всякие флэхи и прочее, естессно, вырубаются.
- создать на каждой тачке по виртуалке
- для перекидки скачанных вещей сделать общую папку на виртуалке- только на чтение для хоста. Туда не перекинут
-для отсылки разрешить хосту работу с почтовым сервакои
Всякие флэхи и прочее, естессно, вырубаются.
-
shotdownsystem
- Сообщения: 423
- ОС: Basic command interpreter
Re: Запрет аплоада файлов
Doublespace писал(а): ↑02.12.2010 16:37Ну тут не тот случай. Инет должен быть для работы- но возможности увести доки помимо корпоративной почты быть не должно. Думается пока так
- создать на каждой тачке по виртуалке
- для перекидки скачанных вещей сделать общую папку на виртуалке- только на чтение для хоста. Туда не перекинут
-для отсылки разрешить хосту работу с почтовым сервакои
а что мне мешает вынуть сетевой кабель, вставить кабель себе в нотебук и отправлять файлы на свой "частный" почтовый сервер с ИП корпоративного?!
что мне мешает в виртуальной машине подключить диск с файлами?!
puts ("Working, please wait...");while(1);
-
Doublespace
- Сообщения: 275
- ОС: Debian Lenny,Squeeze,Centos
Re: Запрет аплоада файлов
Ну, например, видеонаблюдение. Авторизация на раутере по мак-адресу, хотя это уже не так серьезно. Возможно, смарткардридер. Эти моменты еще продумываются. А в виртуалке что-то подцепить помешает недостаток прав пользователя. Да, и из нее пусть уносят что хотят
-
shotdownsystem
- Сообщения: 423
- ОС: Basic command interpreter
Re: Запрет аплоада файлов
Doublespace писал(а): ↑02.12.2010 17:40Ну, например, видеонаблюдение. Авторизация на раутере по мак-адресу, хотя это уже не так серьезно. Возможно, смарткардридер. Эти моменты еще продумываются. А в виртуалке что-то подцепить помешает недостаток прав пользователя.
Видеонаблюдение - камера в монитор? )
Роутер будет вне нашей частной сети комп - нотебук.
смарткардридер какм здесь боком?
А что помешает копировать диск ИнетМашины, создать новую и подсоединить еще диск?
puts ("Working, please wait...");while(1);
-
shotdownsystem
- Сообщения: 423
- ОС: Basic command interpreter
Re: Запрет аплоада файлов
есть кстати еще способ - можно слить файлы через видеокарточку.
Принимаю заказы на устройства, дорого.
Принимаю заказы на устройства, дорого.
puts ("Working, please wait...");while(1);
-
Doublespace
- Сообщения: 275
- ОС: Debian Lenny,Squeeze,Centos
Re: Запрет аплоада файлов
Смарткард здесь боком -идентификации на сервере с данными. Чтобы с посторонним ноутом сложнее влезть было. Но это уже на сильно крайний случай. Видеонаблюдение не на монитор, а на общую обстановку. Чтобы безнаказанно кабели в посторонние ноуты не совали. А вместо виртуалки, кстати, есть смысл использовать внешнюю линух-машину, на которую клиентура будет заходить через иксы или RX терминальный сервер. Тогда уже точно не доберутся. Через видеокарту- это уже экзотика. Типа прямого сьема с экрана.
-
shotdownsystem
- Сообщения: 423
- ОС: Basic command interpreter
Re: Запрет аплоада файлов
Doublespace писал(а): ↑02.12.2010 18:04Через видеокарту- это уже экзотика. Типа прямого сьема с экрана.
никакой экзотики, плис+контроллер скорость в 100 кбит/сек обеспечить с ходу мжно.
Экзотика это монитор на сканер положить )))
подключаешь ноут к компу и с компа отправляешь типа на "корпоративный сервер" почту с файлом.
puts ("Working, please wait...");while(1);
-
shotdownsystem
- Сообщения: 423
- ОС: Basic command interpreter
Re: Запрет аплоада файлов
Doublespace писал(а): ↑02.12.2010 18:04А вместо виртуалки, кстати, есть смысл использовать внешнюю линух-машину, на которую клиентура будет заходить через иксы или RX терминальный сервер.
с терминалом файл через буфер обмена можно перенести
а из-за чего весь сыр-бор: какой объем файлов и за сколько можно его продать?
puts ("Working, please wait...");while(1);
-
Doublespace
- Сообщения: 275
- ОС: Debian Lenny,Squeeze,Centos
Re: Запрет аплоада файлов
А вот это я не знаю, задача пока поставлена в общем- чтобы мимо начальства файлы никаким боком не уходили. Экзотики не ожидается, входной канал в инет будет заперт в шкафчик, файлы на samba файл-сервере и в идеале там должны и оставаться, хотя на все запрет на запись не поставишь,корпуса на замке,usb отключены будут, на bios пароль, пришлые ноутбуки... вот с этим придется думать. Возможно, wifi с авторизацией посильнее поможет... тут хоть отключил бортовую сеть, и уже так просто не влезешь. Юзеров можно придавить хотя бы с помощью Security administrator- жестко ограничить приложения только необходимым списком.
-
SLEDopit
- Модератор
- Сообщения: 4824
- Статус: фанат консоли (=
- ОС: GNU/Debian, RHEL
Re: Запрет аплоада файлов
недавно похожая тема поднималась.
имхо, самое адекватное решение, это выдать людям компы с инетом, но без флешек, а важную информацию держать, скажем, на терминалках, где нет выхода в сеть, без возможности обмена данными между этими двумя средами.
имхо, самое адекватное решение, это выдать людям компы с инетом, но без флешек, а важную информацию держать, скажем, на терминалках, где нет выхода в сеть, без возможности обмена данными между этими двумя средами.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
-
Doublespace
- Сообщения: 275
- ОС: Debian Lenny,Squeeze,Centos
Re: Запрет аплоада файлов
Примерно к похожему и пришел после того, как два дня ломал голову в плане перекрыть все дырки в инете. Нет инета-нет проблемы.
-
shotdownsystem
- Сообщения: 423
- ОС: Basic command interpreter
Re: Запрет аплоада файлов
Doublespace писал(а): ↑02.12.2010 20:21пришлые ноутбуки... вот с этим придется думать. Возможно, wifi с авторизацией посильнее поможет... тут хоть отключил бортовую сеть,
даже без ВиФи здесь ВПН поможет ), хаб тоже можно отключать.
все зависит от ценности информации... я бы добавил котроль включения разъемов, целосности кабеля.
ЮСБи разъем можно вывести и подключить инверсивно на 12 в. - на первых парах выявит крыс ))
puts ("Working, please wait...");while(1);