Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Этап третий. «Кто куда, а мы к зайцам»
Этап этот оказался самым сложным и нудным. Нудным – из-за того, что пришлось обойти весь офис и выяснить, кто куда ходит, у кого какой внутренний номер телефона и так далее. А сложным – из-за того, что требовалось определить будущую политику безопасности и адресный план сети.
Было решено следующее: берется подсеть в диапазоне 10. и разбивается на 5 диапазонов. Первый диапазон – шеф и его замы. Могут видеть всех, заходить на любые ресурсы сети, кроме управления сетевым оборудованием. Во время работы в Интернете доступ к внутренним ресурсам заблокирован. Второй диапазон – сисадмины и программисты. Разрешен доступ до всего сетевого оборудования, в Интернет и к другим подсетям. Третий диапазон – бухгалтерия. Разрешен доступ только к бухгалтерскому серверу. Четвертый диапазон – секретарши, менеджеры и прочий офисный люд. Доступ в Интернет – только http через прокси, вырезающий баннеры и прочую мерзость. Пятый диапазон – интернетчики. Здесь сидят рекламщики и прочие люди, которым Интернет необходим для работы, сюда же попадают боссы, когда захотят воспользоваться Интернетом. А также заведен отдельный компьютер из бухгалтерии – бухгалтеры тоже люди и лишать их доступа к anekdot.ru плохо. Доступа из этой подсети в другие подсети нет. Все сервера, кроме бухгалтерского, располагаются в админской подсети.
Все адреса выдаются DHCP-сервером согласно МАС-адресам сетевых карт компьютеров. В VIP-зонах МАС- и IP-адреса прикреплены к портам соответствующего коммутатора. Доступ с этих портов другим адресам запрещен средствами ОС коммутатора. В других зонах неизвестным МАС-адресам выдаются IP-адреса из зоны, которая заблокирована на роутерах. Таким образом, друг менеджера (партнер или еще кто), который принес свой ноутбук и включился в сеть, с очень большой вероятностью не сможет без помощи администратора воспользоваться ресурсами сети.
Смену VIP-клиентам адреса при выходе в Интернет cделали просто. Им на десктоп ложится иконка, кликнув по которой, они поднимают VPN-соединение с «интернетовской» подсетью. Одновременно по факту поднятия VPN-соединения на коммутаторе поднимаются дополнительные правила, которые разрешают машине из VIP-зоны обмениваться пакетами только с VPN-сервером. На VPN-сервере стоят дополнительные правила, которые блокируют любые пакеты на опасные порты вроде 139-го и пакеты, используемые наиболее популярными атаками. В общем, дешево и сердито. Боссы пользуются Интернетом, а подростки, обчитавшиеся «Хакера», «пощупать» или достать их не смогут.