17 октября, среда 14:23
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Терминальный сервер для выхода в интернет

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Терминальный сервер для выхода в интернет

    Сразу извиняюсь, за избитость темы..возможно она тут уже обсуждалась поэтому прошу дать ссылку на обсуждение.
    По теме вопрос такой.
    Стоит ли вводить терминальный сервер для интернета? Плюсы и минусы?
    Сразу оговорюсь я за него...собственно везде где я работаю всегда настаивал именно на таком подходе... однако зерно сомнений во мне посеяло то, что такой подход очень мало где используется, почему? Что интересно, компании занимающиеся внедрением очень удивляются, когда я предлагаю такую схему..неужели настолько неперспективно?
    Итак плюсы с моей точки зрения:
    настройки безопасности для всех сотрудников банка использующих доступ в сеть Интернет одинаковы;
    так как рабочие станции сотрудников напрямую не связаны с сетью Интернет, исчезает угроза передачи данных вредоносными приложениями (червями, троянами и пр.) которые не определились антивирусным ПО используемым в банке;
    невозможно переслать через веб интерфейс (имеются ввиду mail.ru, rambler.ru и пр.) большой массив данных (только если ручками набивать).
    данные, поступающие внутрь сети банка в обязательном порядке проверяются на наличие вредоносного кода антивирусным приложением установленным на Интернет сервере.

    И еще вопрос попутно чтобы не плодить новую тему никто не поделится таблицей разграничения доступа для Диасофта? Буду очень признателен

  • #2
    Snip неужели настолько неперспективно?

    Все просто.
    1. У всех уже есть обычные персоналки. Делать из них обычного терминального клиента нецелесообразно - деньги-то уже потрачены.
    2. Вам придется обновлять сервера, т.к. терминальные сервера должны быть куда более мощными, чем в клиент-серверной архитектуре. А это новые затраты, которые надо еще обосновать (ведь все и так работает).
    3. Не все типовые приложения работают с терминальным доступом.
    4. Мультимедиа-приложения (IP-телефония, видеоконференции) вообще мало приспособлены к терминальному доступу.
    5. Появляется точка отказа - серьезно повышаются требования по отказоустойчивости.
    6. Надо менять сознание ;-)

    Иными словами, терминальный доступ интересен только в случае постройки системы с нуля или при наступлении времени апгрейда техники. Во всех остальных случаях надо иметь очень серьезные обоснования для смены существующей не один год технологии на терминальный доступ.

    Комментарий


    • #3
      1. У всех уже есть обычные персоналки. Делать из них обычного терминального клиента нецелесообразно - деньги-то уже потрачены.

      Я не хочу делать из них клиета терминального, мне этот клиент нужен только чтобы веб странички пользователи смотрели и аськой пользовались, кому надо..т.е. только для досупа ПОЛЬЗОВАТЕЛЕЙ в интернет.

      2. Вам придется обновлять сервера, т.к. терминальные сервера должны быть куда более мощными, чем в клиент-серверной архитектуре. А это новые затраты, которые надо еще обосновать (ведь все и так работает).
      Собственно не обновлять, а закупать специально для этой цели, на данный момент рабочих машинок не так уж много порядка 200...

      3. Не все типовые приложения работают с терминальным доступом.
      4. Мультимедиа-приложения (IP-телефония, видеоконференции) вообще мало приспособлены к терминальному доступу.
      гм...речь и не шла о Ip телефонии и видеоконференциях для них пусть свой канал будет..ходили через шлюз и пусть ходят...через терминал пускаем только ПОЛЬЗОВАТЕЛЕЙ (извиняюсь, что сразу не пояснил)

      5. Появляется точка отказа - серьезно повышаются требования по отказоустойчивости.
      Собственно в чем они повышаются? если подумать то и шлюз мог помереть...примерно такая же вероятность смерти терминала..к тому же можно их 2-3 поставить, не вопрос...да и через проксю пусть ходят если вдруг все таки упадет...

      6. Надо менять сознание ;-)
      Пока, что самый серьезный аргумент

      Еще раз поясню, меня интерисует случай работы пользователей через ТС. Другие службы идут в обход напрямую с рабочего места, например обновления для АВЗ прописывается четко с такой то машинки на такой то ip и порт в инете. тоже для СКЗИ, видеоконференций и прочего. То есть с этих рабочих мест доступ не ко "всему" инету, а четко до конкретных ипов и портов, разница существенная..

      Комментарий


      • #4
        to Snip , а вы работали в Интернет через терминал? Удовольствие ниже среднего ))

        Разумеется, можно сделать доступ в интернет через терминал и “протоптать” безопасную тропу от терминала до lan (но не наоборот) для копирования файлов скачанных из интернет пользователями. Но …

        (-) решение с терминалом усложнит ИС. Прежняя инфраструктура (прокси, firewall, router …) останется + добавятся новые сервисы.
        (-) цена вопроса. Это сервер (-а) + ПО. А может нужен будет кластер. Сколько будет стоить один интернет пользователь? А сколько поддержка данного решения?
        (-) найдется десятка два программ, которые в терминале не заработают. Т.е. старое решение выхода в интернет напрямую с клиента останется. В усеченном виде, но останется. Безопасности это не прибавляет.

        (+?) если бизнесу важно максимально обезопасить себя от угроз связанных с работой сотрудников в интернет, то возможно это решение будет самым безопасным и выгодным. Безопасность вытекает из сути терминального доступа, а выгода может появиться после сравнения с альтернативными методами, например с решениями по контролю интернет трафика от InfoWatch.

        Комментарий


        • #5
          Сообщение от Snip Посмотреть сообщение
          Стоит ли вводить терминальный сервер для интернета? Плюсы и минусы?
          Я не очень вообще плюсы понимаю. Если так рассуждать, то можно все компьютеры превратить в терминальные станции - аргументация "за" примерно такая же. А вот что при этом решении будет дополнительная нагрузка на сеть и сервера - очевидно.

          Сообщение от Snip Посмотреть сообщение
          Итак плюсы с моей точки зрения:
          настройки безопасности для всех сотрудников банка использующих доступ в сеть Интернет одинаковы;
          Что мешает установить единую для всех пользователей домена политику безопасности?

          Сообщение от Snip Посмотреть сообщение
          так как рабочие станции сотрудников напрямую не связаны с сетью Интернет, исчезает угроза передачи данных вредоносными приложениями
          Стоп-стоп-стоп! А какже в последнем топике автор написал, что остальные службы выходят в инет, вот: "Другие службы идут в обход напрямую с рабочего места, например обновления для АВЗ прописывается четко с такой то машинки на такой то ip и порт в инете.". Я совершенно не понимаю что мешает всем ходить через файрволл, с установленным на нем фильтре контента и правилами - куда кому ходить. Но при этом нагрузка на сервер существенно понижается.

          Сообщение от Snip Посмотреть сообщение
          невозможно переслать через веб интерфейс (имеются ввиду mail.ru, rambler.ru и пр.) большой массив данных (только если ручками набивать).
          Но тогда и получить какой-либо файл из интернета тоже становится проблематичным! А если есть возможность обмена файлами (а терминальный сервер это позволяет), то почему мерзкий пользователь не сможет перекинуть файл на терминальный сервер, а оттуда передать его по внешней почте?
          И вообще, зачем огород городить? закройте для всех кроме почтовых серверов 25 порт, а в фильтре контента запретите работать по 80 порту с почтой. А еще лучше поставьте на файрволл нечто вроде SurfControl - там все сайты делятся примерно на 50 категорий и Вы элементарно запретите работать с почтой по вебу.

          Сообщение от Snip Посмотреть сообщение
          данные, поступающие внутрь сети банка в обязательном порядке проверяются на наличие вредоносного кода антивирусным приложением установленным на Интернет сервере.
          А поставить антивирусное ПО на файрволл не катит? Тоже будет проверяться весь проходящий поток.

          Комментарий


          • #6
            Я не очень вообще плюсы понимаю. Если так рассуждать, то можно все компьютеры превратить в терминальные станции - аргументация "за" примерно такая же. А вот что при этом решении будет дополнительная нагрузка на сеть и сервера - очевидно.

            Нагрузка конечно будет, но не такая уж и большая ) может быть поменьше даже чем при обычном способе доступа в интернет..нагрузка на сервера...ну для этого их и поставили...


            Что мешает установить единую для всех пользователей домена политику безопасности?

            Ничего конечно когда домен есть ))))))

            Стоп-стоп-стоп! А какже в последнем топике автор написал, что остальные службы выходят в инет, вот: "Другие службы идут в обход напрямую с рабочего места, например обновления для АВЗ прописывается четко с такой то машинки на такой то ip и порт в инете.". Я совершенно не понимаю что мешает всем ходить через файрволл, с установленным на нем фильтре контента и правилами - куда кому ходить. Но при этом нагрузка на сервер существенно понижается.

            Поясняю, а вы пробовали так сделать? У вас белый список или черный? Как реагирует народ на запреты? Как это спасает от уязвимостей нулевого дня? В смысле есть некий троянчик неизвестный который начинает, что то куда то слать...


            Но тогда и получить какой-либо файл из интернета тоже становится проблематичным! А если есть возможность обмена файлами (а терминальный сервер это позволяет), то почему мерзкий пользователь не сможет перекинуть файл на терминальный сервер, а оттуда передать его по внешней почте?

            обмен разрешен, но только в одну сторону, скачать с ТС можно, положить на ТС нельзя.

            И вообще, зачем огород городить? закройте для всех кроме почтовых серверов 25 порт, а в фильтре контента запретите работать по 80 порту с почтой. А еще лучше поставьте на файрволл нечто вроде SurfControl - там все сайты делятся примерно на 50 категорий и Вы элементарно запретите работать с почтой по вебу.

            Уязвимость нулевого дня...
            а еще запретить 21 и прочее и прочее...поверьте весь интернет вы не запретите, а за обновлением белого листа устанете следить, к тому же..сегодня сайт белый..завтра черный


            А поставить антивирусное ПО на файрволл не катит? Тоже будет проверяться весь проходящий поток

            собственно стоит и на машинках стоит..однако если есть програмка отсылающая что то куда то на 80 порт она это отошлет.

            Комментарий


            • #7
              а вы работали в Интернет через терминал? Удовольствие ниже среднего )) да, весьма долго..и не жаловался абсолютно

              (-) решение с терминалом усложнит ИС. Прежняя инфраструктура (прокси, firewall, router …) останется + добавятся новые сервисы.
              Согласен. Однако внедрение фильтрации контента тоже его усложнит.

              (-) цена вопроса. Это сервер (-а) + ПО. А может нужен будет кластер. Сколько будет стоить один интернет пользователь? А сколько поддержка данного решения?

              Цена вопроса - сервер..с моей точки зрения ПО бесплатное можно поставить и клиентам и на сервер. Поддержка? а что вы собственно собрались поддерживать? он как то регулярно падать будет? Если да, то тогда чур меня. Самому такого счастья не надо ) а вообще сервер создается отказоустойчивым.. )
              Да кстати...и сервер не такой уж мощный нужен, чес слово...по нынешним временам обычная машинка потянет вы же не 1С там крутить будете..

              (-) найдется десятка два программ, которые в терминале не заработают. Т.е. старое решение выхода в интернет напрямую с клиента останется. В усеченном виде, но останется. Безопасности это не прибавляет.
              А я разве спорю? останутся, а вот насчет безопасности не согласен, почему не прибавляет? вы четко знаете куда с этого рабочего места эта програмка ходит.

              (+?) если бизнесу важно максимально обезопасить себя от угроз связанных с работой сотрудников в интернет, то возможно это решение будет самым безопасным и выгодным. Безопасность вытекает из сути терминального доступа, а выгода может появиться после сравнения с альтернативными методами, например с решениями по контролю интернет трафика от InfoWatch.

              А инфоватч дешевле конечно будет

              Комментарий


              • #8
                to Snip

                Цена вопроса - сервер..с моей точки зрения ПО бесплатное можно поставить и клиентам и на сервер. Поддержка? а что вы собственно собрались поддерживать? он как то регулярно падать будет? Если да, то тогда чур меня. Самому такого счастья не надо ) а вообще сервер создается отказоустойчивым.. )
                Да кстати...и сервер не такой уж мощный нужен, чес слово...по нынешним временам обычная машинка потянет вы же не 1С там крутить будете..


                )))
                судя по этому ответу, опыта тех. реализации предлагаемого терминального решения у вас нету.. я не ошибся?

                А инфоватч дешевле конечно будет , если ПО бесплатно, а вместо сервера обычная машина, то Чего будет дешевле InfoWatch ?

                Комментарий


                • #9
                  )))
                  судя по этому ответу, опыта тех. реализации предлагаемого терминального решения у вас нету.. я не ошибся?

                  Есть опыт, но признаюсь на платном ПО, на WS2000 если быть точным.
                  Про бесплатное могу сказать следующее берем, Linux берем Xming получаем в принципе аналог ТС..по крайней мере для цели выхода в инет этого хватит..тут опыт есть только на виртуальных машинках..

                  А инфоватч дешевле конечно будет, если ПО бесплатно, а вместо сервера обычная машина, то Чего будет дешевле InfoWatch ?
                  вот и я спрашиваю...

                  теперь немножко критики что ли...или не критики, а так скажем недоумения..
                  1. помните как было раньше? стояла машинка под столом и это был СЕРВЕР и все работало и бизнес развивался и прибыль шла...прошло совсем немного времени и что же? При словах, "а что будет сервером" все впадают в панику..и ведь действительно, а что им будет???? Нужно на это дело 20 000$ и только на один сервер, а лучше кластер...и тоже не один )) и все для чего нам все это нужно ИНТЕРНЕТ...и ведь нас в этом все упорно убеждают те же саппорты говорят "как?! у вас будет бесплатное ПО?, но ведь риски!!! ведь фиг знает какие там нерегламентированые возможности!!! как?! у вас вместо серверов за 20 000$ стоят 2 рабочие станции и обслуживают 100 пользователей? но ведь это не кашерно..ой нам денег не переп...ой это риск, ведь рабочая станция не предназначена для ТАКИХ нагрузок, есть риск, что организация останется без ИНТЕРНЕТА, а ведь это БИЗНЕС-ПРОЦЕСС!!! Кто возьмет на себя ответственность?!

                  ужас правда? и действительно как же так можно?

                  а ведь можно! можно купить за эти деньги 10 - 20 вполне приличных машинок которые поверьте мне, влегкую будут обслуживать этих 200 несчастных пользователей по поводу выхода из строя...а не проще снять образ с диска и за полчаса переписать этот образ на диск в случае падения Интернет сервера?
                  поверьте полчаса ваши пользователи без своего майл.ру перебьются..
                  Короче нам компосируют мозги словами, так проще, так надежней, это нужно для обеспечения непрерывности бизнеса...ребят на самом то деле просто народ делает на безопасности деньги. И ничего кроме.

                  Комментарий


                  • #10
                    Если честно, не понимаю выигрыша. Единственный плюс - вы затрудняете отправку в инет конфиденциальных файлов, но добавляете уязвимый узел. К защите от атак извне вы ничего не добавляете.

                    В принципе, решение имеет право на существование - плюсы и минусы одинаково незначительны, плюс чуть весомее но компенсируется дополнительными затратами.

                    Комментарий


                    • #11
                      Сообщение от malotavr Посмотреть сообщение
                      Если честно, не понимаю выигрыша. Единственный плюс - вы затрудняете отправку в инет конфиденциальных файлов, но добавляете уязвимый узел. К защите от атак извне вы ничего не добавляете.
                      Единственный плюс - вы затрудняете отправку в инет конфиденциальных файлов
                      это очень большой +, и я согласен это основной + но он большой!

                      но добавляете уязвимый узел..гм..а вот тут не понял, как это вы так быстро оценили степень его уязвимости????

                      Комментарий


                      • #12
                        Сообщение от Snip Посмотреть сообщение
                        Единственный плюс - вы затрудняете отправку в инет конфиденциальных файлов
                        это очень большой +, и я согласен это основной + но он большой!

                        но добавляете уязвимый узел..гм..а вот тут не понял, как это вы так быстро оценили степень его уязвимости????
                        троян, шпионское ПО, считаются атакой извне? или уже изнутри?

                        Комментарий


                        • #13
                          Сообщение от Snip Посмотреть сообщение
                          Нагрузка конечно будет, но не такая уж и большая ) может быть поменьше даже чем при обычном способе доступа в интернет..нагрузка на сервера...ну для этого их и поставили...
                          Насколько я понял из дальнейшей дискуссии, вы собираетель на ваши 200 пользователей поставить 5-6 терминальных серверов а уже с них выходить в интернет. И Вы в самом деле полагаете, что такой зоопарк лучше одного файрволла?

                          Сообщение от Snip Посмотреть сообщение
                          Что мешает установить единую для всех пользователей домена политику безопасности?

                          Ничего конечно когда домен есть ))))))
                          Хотел задать вопрос "а что мешает поставить домен", но почувствовал что автор - юниксоид, ненавидящий виндовс. Я прав? :-)

                          Сообщение от Snip Посмотреть сообщение
                          Я совершенно не понимаю что мешает всем ходить через файрволл, с установленным на нем фильтре контента и правилами - куда кому ходить. Но при этом нагрузка на сервер существенно понижается.

                          Поясняю, а вы пробовали так сделать? У вас белый список или черный? Как реагирует народ на запреты? Как это спасает от уязвимостей нулевого дня? В смысле есть некий троянчик неизвестный который начинает, что то куда то слать...
                          Конечно пробовал! И не один год у меня все именно так и работало. Банк где я работал чуть меньше вашего, примерно 150 раб станций. А фильтрация контента организована очень удобно - списки категорий (около 50) регулярно обновляются (надо только подписку продлять) и вам делать ничего совершенно не надо! Лично наблюдал в реальном времени занимательную картинку как один "продвинутый" пользователь пытался ломиться через открытый прокси (а у меня эта категория была заблокирована). Через полчаса наблюдений за его попытками я сжалился и сказал ему что все вижу, и что так делать не надо.
                          На "нулевой день" наплюйте, потому что если его учитывать, то весь антивирусный софт надо выбрасывать.
                          Ах, вот еще, насчет пользователей. Дилеры меня упросили открыть им сайт "отсос ру", сказали. что у них нервная работа. Открыл. За пиво. :-) Так что договориться можно со всеми.

                          Сообщение от Snip Посмотреть сообщение
                          Уязвимость нулевого дня...
                          Да откуда у вас эта дикая боязнь! Даже в стандартах я это не видел, а там уж перечислено все что может быть и не может.

                          Сообщение от Snip Посмотреть сообщение
                          а еще запретить 21 и прочее и прочее...поверьте весь интернет вы не запретите, а за обновлением белого листа устанете следить, к тому же..сегодня сайт белый..завтра черный
                          "Давайте спорить о вкусах креветок с теми, кто их не пробовал" (с) Жванецкий. Вы вначале попробуйте какую-нть программу фильтрации контента, а потом будете говорить что Вас не устраивает. Неужели Вы думаете, что такое лежащее на поверхности замечание не учтено?

                          Сообщение от Snip Посмотреть сообщение
                          собственно стоит и на машинках стоит..однако если есть програмка отсылающая что то куда то на 80 порт она это отошлет.
                          Я не пойму, Вы просто не хотите чтоб было троянов? Поставьте сикрет нет с замкнутой программной средой. Вам не хочется чтоб пользователи пользовались внешней почтой? Закройте сайты и 25 порт. Вы хотите уберечь конфиденциальную информацию? Поставьте что-нть контролирующее трафик (а ничего, что на флешку скинут?), только не инфовоч (он вашей организации не по силам).

                          Комментарий


                          • #14
                            Сообщение от Snip Посмотреть сообщение
                            а ведь можно! можно купить за эти деньги 10 - 20 вполне приличных машинок которые поверьте мне, влегкую будут обслуживать этих 200 несчастных пользователей по поводу выхода из строя...а не проще снять образ с диска и за полчаса переписать этот образ на диск в случае падения Интернет сервера?
                            поверьте полчаса ваши пользователи без своего майл.ру перебьются..
                            Короче нам компосируют мозги словами, так проще, так надежней, это нужно для обеспечения непрерывности бизнеса...ребят на самом то деле просто народ делает на безопасности деньги. И ничего кроме
                            Мне признаться как то даже странно... видеть на форуме откровения типа "компьютер за 1000$ может полноценно заменить сервак за 20000$" вместе с идеей о раскрытии всемирного заговора " нам компосируют мозги... ...ребят на самом то деле " .

                            К чему это? Здесь вроде не любители собрались...

                            /* с радостью узнал, что храню деньги не в банке Snip*/

                            Комментарий


                            • #15
                              [QUOTE=Berrimor;2311365]Насколько я понял из дальнейшей дискуссии, вы собираетель на ваши 200 пользователей поставить 5-6 терминальных серверов а уже с них выходить в интернет. И Вы в самом деле полагаете, что такой зоопарк лучше одного файрволла?

                              Нет конечно 2, основной и дублирующий

                              нет я не юниксоид..так с полгода назад стало интересно можно ли на линуксе поднять домен и ТС не пользуясь командами, через GUI то есть..оказалось можно

                              На "нулевой день" наплюйте, потому что если его учитывать, то весь антивирусный софт надо выбрасывать.
                              Вы информатик?

                              уже говорил, что фильтрация контента это хорошо, я не против оной..но верите нет мне она как безопаснику ПО БАРАБАНУ! мне нет дела до того куда лезут пользователи, сколько они скачивают и т.п. моя цель сделать это безопасным! и решение для этого я вижу только в ТС. Нет конечно если ТС не получится пробить прийдется согласиться на полумеры в виде фильтрации

                              Я не пойму, Вы просто не хотите чтоб было троянов? Поставьте сикрет нет с замкнутой программной средой.
                              гм...то меня обвиняли, что я из пушки по воробьям, то сами туда же

                              Вам не хочется чтоб пользователи пользовались внешней почтой? Закройте сайты и 25 порт.

                              Да при чем тут почта? Почта частный случай. И кстати пользователи Вам очень хорошо расскажут для чего им эта почта нужна, так что просто так не запретишь..

                              Вы хотите уберечь конфиденциальную информацию?

                              Разумеется хочу...а мы разве не для этого тут собрались?

                              Поставьте что-нть контролирующее трафик (а ничего, что на флешку скинут?), только не инфовоч (он вашей организации не по силам).

                              Эти системы тоже не дешевы так то..на флешку девайс лок есть.

                              Комментарий


                              • #16
                                Мне признаться как то даже странно... видеть на форуме откровения типа "компьютер за 1000$ может полноценно заменить сервак за 20000$
                                ето вы где такое прочитали?
                                я то грешным делом пытался донести мысль простую, что под Интернет сервер не нужен сервак за 20 тыр $... (и кстати действительно может заменить, вопрос в том чего этот сервер делать будет) по опыту WS2000 проц 3Ггц, память 1Гб, пользователей 50, именно для выхода в интернет использовался..

                                "вместе с идеей о раскрытии всемирного заговора " нам компосируют мозги... ...ребят на самом то деле" .

                                К чему это? Здесь вроде не любители собрались...

                                да какой заговор? просто убежденность в том, что безопасность достигается вложением кучи денег лично меня убивает

                                Комментарий


                                • #17
                                  2box_roller
                                  to Snip , а вы работали в Интернет через терминал? Удовольствие ниже среднего ))
                                  У нас в аспирантуре все станции через терминалки выходят.
                                  В инете работать можно, дискомфорта не ощущаешь.

                                  2Snip При внедрении такой меры безопасности стоит обратить внимание на бизнес.
                                  Будут ли пользователи скачивать файлы на локальные станции с ТС?
                                  Будут ли отправлять файлы в интернет?
                                  Внешняя почта будет убрана в ТС или нет?
                                  И четко определить риски от которых вызащищаетесь?

                                  InfoWatch стоит достаточно прилично.
                                  Но они защищают каналы:
                                  -Интернет
                                  -Почта
                                  -Порты на локальных станциях

                                  Комментарий


                                  • #18
                                    Snip Я не хочу делать из них клиета терминального, мне этот клиент нужен только чтобы веб странички пользователи смотрели и аськой пользовались, кому надо..т.е. только для досупа ПОЛЬЗОВАТЕЛЕЙ в интернет.

                                    Т.е. всего для одной не самой важной задачи городить совершенно новое и непростое ИТ-решение? Есть ли смысл? Можно задачу проще решить.

                                    когда домен есть

                                    А поднять домен не дешевле будет, чем городить терминальный доступ.

                                    вы четко знаете куда с этого рабочего места эта програмка ходит.

                                    Это можно решить и без терминального доступа.

                                    организация останется без ИНТЕРНЕТА, а ведь это БИЗНЕС-ПРОЦЕСС!!!

                                    А у вас много БИЗНЕС-процессов, завязанных на Интернет?

                                    Единственный плюс - вы затрудняете отправку в инет конфиденциальных файлов
                                    это очень большой +, и я согласен это основной + но он большой!


                                    Закрыв этот канал, вы автоматически заставите потенциальных злоумышленников использовать флешки для кражи конфиденциальных данных.

                                    ЗЫ. Используйте, пожалуйста, механизм цитирования. Последние сообщения читать просто невозможно, т.е. теряется, кто, где и что сказал.

                                    Комментарий


                                    • #19
                                      Сообщение от Snip Посмотреть сообщение
                                      Сообщение от Berrimor Посмотреть сообщение
                                      Насколько я понял из дальнейшей дискуссии, вы собираетель на ваши 200 пользователей поставить 5-6 терминальных серверов а уже с них выходить в интернет. И Вы в самом деле полагаете, что такой зоопарк лучше одного файрволла?
                                      Нет конечно 2, основной и дублирующий
                                      А это вот кто написал: "можно купить за эти деньги 10 - 20 вполне приличных машинок которые поверьте мне, влегкую будут обслуживать этих 200 несчастных пользователей"?

                                      Сообщение от Snip Посмотреть сообщение
                                      нет я не юниксоид..
                                      Это легче. Тогда задам сакраментальный вопрос - что мешает поставить домен? Микрософтовский.

                                      Сообщение от Snip Посмотреть сообщение
                                      На "нулевой день" наплюйте, потому что если его учитывать, то весь антивирусный софт надо выбрасывать.
                                      Вы информатик?
                                      Ужас какой! Хорошо хоть не "электроник". :-)
                                      Я даже не знаю как ответить, потому что не понимаю о чем вопрос.

                                      Сообщение от Snip Посмотреть сообщение
                                      уже говорил, что фильтрация контента это хорошо, я не против оной..но верите нет мне она как безопаснику ПО БАРАБАНУ! мне нет дела до того куда лезут пользователи, сколько они скачивают и т.п. моя цель сделать это безопасным! и решение для этого я вижу только в ТС.
                                      Вот это классно! Так если Вы убеждены в своей правоте чего спрашивать совета? Вам все в один голос говорят, что Ваше решение не самле лучшее, а что в ответ? "решение для этого я вижу только в ТС"...

                                      Сообщение от Snip Посмотреть сообщение
                                      Я не пойму, Вы просто не хотите чтоб было троянов? Поставьте сикрет нет с замкнутой программной средой.
                                      гм...то меня обвиняли, что я из пушки по воробьям, то сами туда же
                                      Вы "как безопасник" хоть понимате о чем речь ведете? Сикрет нет стоит примерно 8000. Рублей. На станцию. Инфовоч 100000. Только долларов. Правда на всех. Но еще потребуется такая "мелочь" как отдельный сервер под Оракл, лицензию на него, специалиста на поддержку и само внедрение займет с год.

                                      Сообщение от Snip Посмотреть сообщение
                                      Да при чем тут почта? Почта частный случай. И кстати пользователи Вам очень хорошо расскажут для чего им эта почта нужна, так что просто так не запретишь..
                                      Да? И чем же внешний мейл-сервер лучше внутреннего? Почта быстрее ходит? :-)

                                      Сообщение от Snip Посмотреть сообщение
                                      Вы хотите уберечь конфиденциальную информацию?

                                      Разумеется хочу...а мы разве не для этого тут собрались?
                                      А!! Так значит в качестве меры сберегающей конфиденциальную информацию Вы выбрали терминальный сервер? Это новое слово в информационной безопасности!

                                      Мой Вам совет - подумайте, ведь сотни людей, которые делают не так как Вы предлагаете, наверно не дураки? Наверно, они не глупее Вас? Наконец, пошарьтесь в интернете - вряд ли Ваше решение для защиты конфиденциальной информации кем-то используется.

                                      Комментарий


                                      • #20
                                        Сообщение от barmalei
                                        InfoWatch стоит достаточно прилично.
                                        Но они защищают каналы:
                                        -Интернет
                                        -Почта
                                        -Порты на локальных станциях
                                        Инфовоч не отслеживает аську и ВСЕ инстант мессенджеры.
                                        А также возможность передачи через ту же аську файлов.

                                        Комментарий


                                        • #21
                                          Сообщение от Snip Посмотреть сообщение
                                          я то грешным делом пытался донести мысль простую, что под Интернет сервер не нужен сервак за 20 тыр $...
                                          Цифру в 20 тыс $ за сервак, написали - вы. Сначала написали сумму, а потом стали всех убеждать, что написанная Вами сумма слишком большая.



                                          Сообщение от Snip Посмотреть сообщение
                                          да какой заговор? просто убежденность в том, что безопасность достигается вложением кучи денег лично меня убивает
                                          И вместе с тем, это частное субъективное мнение, которое ни на чем не основано.
                                          имхо Любая оценка должна быть привязана к конкретной ситуации.

                                          Например:
                                          То что вас "убивает", назовем иначе: уменьшением рисков по доступности сервисов организации через интернет. Каких и куда - не суть важно. Биржа, банк, xxx-ресурс )))
                                          Потери: Первые 30 мин простоя - 15 тыс $. Следующие 30 мин - 30 тыс $. И так далее.

                                          В этих условиях дополнительные инвестиции в качество оборудования будут более чем оправданы.

                                          Комментарий


                                          • #22
                                            Сообщение от barmalei Посмотреть сообщение
                                            2box_roller
                                            У нас в аспирантуре все станции через терминалки выходят.
                                            В инете работать можно, дискомфорта не ощущаешь.

                                            2Snip При внедрении такой меры безопасности стоит обратить внимание на бизнес.
                                            Будут ли пользователи скачивать файлы на локальные станции с ТС?
                                            Будут ли отправлять файлы в интернет?
                                            Внешняя почта будет убрана в ТС или нет?
                                            И четко определить риски от которых вызащищаетесь?

                                            InfoWatch стоит достаточно прилично.
                                            Но они защищают каналы:
                                            -Интернет
                                            -Почта
                                            -Порты на локальных станциях
                                            Спасибо, хоть кто то написал кто работал
                                            1. Файлы обсуждается..скорее всего часть будет, а часть нет..ну и опять же выполняемые файлы скачивать точно никто не будет.
                                            2. Внешняя почта не будет убрана...хотя и хочется, но я не представляю как это организовать.
                                            3. Риски следующие: возможность передачи данных из ЛВС в Интернет, остается корпоративная почта, но тут идет копирование всей отсылаемой информации. В случае отсутствия домена, единые настройки рабочей среды при работе с интернетом. (сразу оговорюсь, домена будет..а вот когда.. ), + есть подозрение , что регуляторы запретят напрямую ходить с машинок где обрабатывается конфиденциальная инфа (да я знаю, что при наличие средств защиты можно и думается мне, что антивирус вряд ли будет признан таким средством)...основной риск устраняемый именно такой системой передача информации в интернет без ведома пользователей.

                                            Про InfoWatch
                                            да денежек нужно не мало...
                                            1. при организации выхода в интернет через ТС
                                            контролировать интернет трафик не нужно
                                            2. контролировать почтовый трафик нужно, но...решаем обойтись ведением архива переписки + ограничением лиц допущеных к переписке..за это так же говорит то, что распечатать никто документ не мешает..
                                            3. DeviceLock

                                            Комментарий


                                            • #23
                                              Цифру в 20 тыс $ за сервак, написали - вы. Сначала написали сумму, а потом стали всех убеждать, что написанная Вами сумма слишком большая.

                                              Согласен, но я имел ввиду, что не считаю ТС ДОРОГИМ решением и 20кб взял для примера..

                                              назовем иначе: уменьшением рисков по доступности сервисов организации через интернет. Каких и куда - не суть важно. Биржа, банк, xxx-ресурс ))) Потери: Первые 30 мин простоя - 15 тыс $. Следующие 30 мин - 30 тыс $. И так далее.

                                              Кто то кого то не понимает и по моему этот кто то я...
                                              Сервисов организации через интернет...какой организации? через какой интернет? вы читали чего я писал? я не наши сервисы через ТС пускаю, а пользователей нашей организации к веб (еще аська ирц и т.п) сервисам других организаций...
                                              доступ ко всем критическим для нас сервисам других организаций осуществляется напрямую через шлюз!
                                              Не вижу я потерь хоть убейте.

                                              Комментарий


                                              • #24
                                                1. Файлы обсуждается..скорее всего часть будет, а часть нет..ну и опять же выполняемые файлы скачивать точно никто не будет.
                                                2Snip Почему вы так уверены что исполняемые файлы не будут скачиваться? Я могу залить на webfile.ru файл без расширения или переименованный исполняемый файл.
                                                2. контролировать почтовый трафик нужно, но...решаем обойтись ведением архива переписки + ограничением лиц допущеных к переписке..
                                                Архив переписки более подходит для расследований уже произошедших утечек. Для предотвращения необходимо использовать другие контрмеры.
                                                3. Риски следующие: возможность передачи данных из ЛВС в Интернет
                                                У вас основной риск - утечка информации.
                                                Для подобных целей существует рынок средств защиты информации от утечек IDLP.
                                                Советую обратить внимание на продукты этого рынка.

                                                А!! Так значит в качестве меры сберегающей конфиденциальную информацию Вы выбрали терминальный сервер? Это новое слово в информационной безопасности!

                                                Мой Вам совет - подумайте, ведь сотни людей, которые делают не так как Вы предлагаете, наверно не дураки? Наверно, они не глупее Вас? Наконец, пошарьтесь в интернете - вряд ли Ваше решение для защиты конфиденциальной информации кем-то используется.
                                                2Berrimor Вам не стоит быть таким категоричным.
                                                Подобные решения используются, их предлагают интеграторы.
                                                Подобная контрмера имеет право быть.
                                                Мне, например, эта контрмера интересна со стороны соответствия Стандарту ЦБ, если он станет обязательным
                                                8.2.6.2. В организациях БС РФ, осуществляющих дистанционное банковское обслуживание клиентов, в связи с повышенными рисками информационной безопасности при взаимодействии с сетью Интернет обязательно должны применяться соответствующие средства защиты информации (межсетевые экраны, антивирусные средства, средства криптографической защиты информации (СКЗИ) и пр.), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии. Хорошей практикой является выделение и неподключение к внутренним сетям ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет.

                                                Комментарий


                                                • #25
                                                  Почему вы так уверены что исполняемые файлы не будут скачиваться? Я могу залить на webfile.ru файл без расширения или переименованный исполняемый файл.
                                                  Разумеется, но вы же читали от чего данная схема защищает...не от файлов, а от передачи информации. Или есть схема которая позволяет на 100% защититься от инсайдеров?

                                                  Архив переписки более подходит для расследований уже произошедших утечек. Для предотвращения необходимо использовать другие контрмеры.Тот же вопрос, ничего не мешает распечатать на бумаге и вынести...

                                                  У вас основной риск - утечка информации.
                                                  Для подобных целей существует рынок средств защиты информации от утечек IDLP.

                                                  Поправка утечка информации в скрытом от пользователя виде.(т.е. трояны и прочее..и да считайте меня параноиком )
                                                  Я почему то считаю, что если захочет вытащить документ...вытащит.

                                                  Советую обратить внимание на продукты этого рынка.
                                                  Обращу..но я так понимаю они не бесплатны? у меня ресурсы ограничены весьма...

                                                  Комментарий


                                                  • #26

                                                    У нас в Банке используется терминальный доступ в Инет. Правда из 150 рабочих станций на терминал ходит большая половина. Зачем нам это понадобилось - ДопОфисы на терминальных клиентах, дабы не городить огород - это было самым простым решением для организации доступа в Инет. Оставшаяся часть ходит со своих локальных станций напрямую - обусловлено функциональными задачами.
                                                    Что касается безопасности - есть +.
                                                    Передача инфы существенно затруднена, плюс вся инфа, копируема "в" и "из" складывается в папку, которая постоянно мониторится. Буфер обмена, также закрыт. Все дело организовано на ISA на виртуальном серваке (притормаживает правда, но никто не жалуется) )) В случае падения - восстанавливается за 5 минут.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от barmalei

                                                      2Berrimor Вам не стоит быть таким категоричным.
                                                      Подобные решения используются, их предлагают интеграторы.
                                                      Подобная контрмера имеет право быть.
                                                      Мне, например, эта контрмера интересна со стороны соответствия Стандарту ЦБ, если он станет обязательным
                                                      Вы внимательно прочли приведенный кусок стандарта? "выделение и неподключение к внутренним сетям" подрузамевает НЕВОЗМОЖНОСТЬ передачи любой информации между сетями. В данном же случае такая возможность есть, поэтому в качестве именно упомянутой меры СООТВЕТСТВИЯ стандарту, ТС использован быть не может.

                                                      Насчет "рещений предлагаемых интеграторами" - я ни разу не видел чтоб таким образом (с помощью ТС) защищали конфиденциальную информацию. Если слова "конфиденциальная информация" выбросить, то, безусловно, ТС вполне можно использовать. Как и все остальное, любую программу.

                                                      Комментарий


                                                      • #28
                                                        Вот это классно! Так если Вы убеждены в своей правоте чего спрашивать совета? Вам все в один голос говорят, что Ваше решение не самле лучшее, а что в ответ? "решение для этого я вижу только в ТС"...

                                                        Кто все??? Пока я не услышал ни одного аргумента кроме того что добавляется новый узел..аргументы хочу нормальные! Цена вопроса примерно одинаковая и в случае ТС и в случае контентной фильтрации.

                                                        Вы "как безопасник" хоть понимате о чем речь ведете? Сикрет нет стоит примерно 8000. Рублей. На станцию. Инфовоч 100000. Только долларов. Правда на всех. Но еще потребуется такая "мелочь" как отдельный сервер под Оракл, лицензию на него, специалиста на поддержку и само внедрение займет с год.
                                                        8000 не мало..вам не кажется...это тоже пушка но меньшего калибра

                                                        Да? И чем же внешний мейл-сервер лучше внутреннего? Почта быстрее ходит? :-)
                                                        есть мнение, что не всегда полезно светить корпоративные ящики в интернете.

                                                        А!! Так значит в качестве меры сберегающей конфиденциальную информацию Вы выбрали терминальный сервер? Это новое слово в информационной безопасности!

                                                        Мой Вам совет - подумайте, ведь сотни людей, которые делают не так как Вы предлагаете, наверно не дураки? Наверно, они не глупее Вас? Наконец, пошарьтесь в интернете - вряд ли Ваше решение для защиты конфиденциальной информации кем-то используется.

                                                        Бла..бла ..бла.. еще раз повторяю О ч е н ь хорошая защита от
                                                        уязвимости нулевого дня...от отсылки инфы БЕЗ ведома пользователя.
                                                        З.Ы. решение это много кем используется.

                                                        Комментарий


                                                        • #29
                                                          Разумеется, но вы же читали от чего данная схема защищает...не от файлов, а от передачи информации.
                                                          2Snip Я лишь отвечал на вашу цитату
                                                          ну и опять же выполняемые файлы скачивать точно никто не будет
                                                          Тот же вопрос, ничего не мешает распечатать на бумаге и вынести
                                                          Этот вопрос могут контролировать СЗИ от утечек.

                                                          Поправка утечка информации в скрытом от пользователя виде.(т.е. трояны и прочее..и да считайте меня параноиком )
                                                          Тогда вам необходимо почитать статьи:
                                                          http://www.securitylab.ru/analytics/350799.php
                                                          http://www.securitylab.ru/analytics/350909.php



                                                          Вы внимательно прочли приведенный кусок стандарта? "выделение и неподключение к внутренним сетям" подрузамевает НЕВОЗМОЖНОСТЬ передачи любой информации между сетями. В данном же случае такая возможность есть, поэтому в качестве именно упомянутой меры СООТВЕТСТВИЯ стандарту, ТС использован быть не может.
                                                          Внимательно, поэтому и написал
                                                          Мне, например, эта контрмера интересна

                                                          Комментарий


                                                          • #30
                                                            2Snip Я лишь отвечал на вашу цитату
                                                            Цитата:
                                                            ну и опять же выполняемые файлы скачивать точно никто не будет

                                                            согласен но все таки здорово затрудняет для обычного пользователя получение файлов, хотя это не основное

                                                            Тот же вопрос, ничего не мешает распечатать на бумаге и вынести
                                                            Этот вопрос могут контролировать СЗИ от утечек.

                                                            цена вопроса и контроля...все развивается постепенно никто не даст на безопасность сразу и много..да и фото экрана можно сделать словом не мне вам говорить, захотите утащите верно ведь

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X