Forum » Omrežja in internet » VARNA priključitev računalnika v omrežje.
VARNA priključitev računalnika v omrežje.
freejack ::
Mam eno vprašanje. Postavljeno mam omrežje (ca. 80 računalnikov, DHCP na routerju). V eni izmed pisarn imam 2 računalnika, PC A in PC B.
PC B je v omrežju (se pravi; dostop do ostalih računalnikov, dostop do interneta, itd.). Na tem se dela milijon stvari, tudi brska po internetu in je kot tak ranljiv za viruse, spyware, itd.
PC A pa služi samo določenemu namenu. Ta računalnik ni priključen na omrežje, saj bi morebiten virus ali spyware lahko povzročil ogromno škodo, v primeru da program, ki teče na njem zataji oz. nedeluje, pa čeprav za par minut. Skratka, že ena sama napaka ali motnja v OS ni sprejemljiva.
Zdej ideja je, da bi se podatki, ki jih obdeluje ta računalnik, nekak začeli vnašat v en program, ki nam beleži zaloge, količine, itd. Da se seveda znebiš ročnega vnašanja.
Ker priključitev v omrežje ne pride v poštev, je trenutno opcija, da se podatki snemajo na disketo in prenesejo na PC B (če se teoretično kaj zgodi tem podatkom na disketi oz. če se ob prenosu oz. na PC B kako pokvarijo, še ni problema, se pač še enkrat posname disketa).
Kakšna bi bla alternativa snemanju disket? Računalnik nima USB izhoda, pa tudi če bi ga imel, snemanje je snemanje; gre za majhno količino podatkov in je vseeno ali je CD, disketa ali USB ključ. Kolk ranljiv bi bil PC A, če bi tega prek crossover kabla povezal z PC B?
Za gremo mal v teorijo. Router določa DHCP, od 192.168.0.100 pa do 192.168.0.200. Če povežem prek crossover, bi bil IP PC A dodeljen samodejno (DHCP) ali omrežje sploh ne bi delalo (zaradi crossover povezave na drug računalnik, ki zgolj izkorišča DHCP)? Gremo v drugo smer. IP PC A nastavim na 192.168.5.1, IP PC B pa na 192.168.5.2. Zdej zihr ni v enakem omrežju kot ostali računalniki in router. Nima dostopa do ostalih računalnikov, internet ne deluje, itd. Kakšna je potem varnost PC A, če je v omrežju z PC B, ki je ranljiv do okužb virusov, spywara, itd.?
Glede na to, da bi PC A dal v skupno rabo samo en direktorij, na katerem bi se nahajali podatki, mislim da možnosti da se karkoli okuži ni. Ne par txt datotek s podatki, niti OS.
Ali moje razmišljanje drži? Ima kdo kakšen komentar, predlog, pripombo?
PC B je v omrežju (se pravi; dostop do ostalih računalnikov, dostop do interneta, itd.). Na tem se dela milijon stvari, tudi brska po internetu in je kot tak ranljiv za viruse, spyware, itd.
PC A pa služi samo določenemu namenu. Ta računalnik ni priključen na omrežje, saj bi morebiten virus ali spyware lahko povzročil ogromno škodo, v primeru da program, ki teče na njem zataji oz. nedeluje, pa čeprav za par minut. Skratka, že ena sama napaka ali motnja v OS ni sprejemljiva.
Zdej ideja je, da bi se podatki, ki jih obdeluje ta računalnik, nekak začeli vnašat v en program, ki nam beleži zaloge, količine, itd. Da se seveda znebiš ročnega vnašanja.
Ker priključitev v omrežje ne pride v poštev, je trenutno opcija, da se podatki snemajo na disketo in prenesejo na PC B (če se teoretično kaj zgodi tem podatkom na disketi oz. če se ob prenosu oz. na PC B kako pokvarijo, še ni problema, se pač še enkrat posname disketa).
Kakšna bi bla alternativa snemanju disket? Računalnik nima USB izhoda, pa tudi če bi ga imel, snemanje je snemanje; gre za majhno količino podatkov in je vseeno ali je CD, disketa ali USB ključ. Kolk ranljiv bi bil PC A, če bi tega prek crossover kabla povezal z PC B?
Za gremo mal v teorijo. Router določa DHCP, od 192.168.0.100 pa do 192.168.0.200. Če povežem prek crossover, bi bil IP PC A dodeljen samodejno (DHCP) ali omrežje sploh ne bi delalo (zaradi crossover povezave na drug računalnik, ki zgolj izkorišča DHCP)? Gremo v drugo smer. IP PC A nastavim na 192.168.5.1, IP PC B pa na 192.168.5.2. Zdej zihr ni v enakem omrežju kot ostali računalniki in router. Nima dostopa do ostalih računalnikov, internet ne deluje, itd. Kakšna je potem varnost PC A, če je v omrežju z PC B, ki je ranljiv do okužb virusov, spywara, itd.?
Glede na to, da bi PC A dal v skupno rabo samo en direktorij, na katerem bi se nahajali podatki, mislim da možnosti da se karkoli okuži ni. Ne par txt datotek s podatki, niti OS.
Ali moje razmišljanje drži? Ima kdo kakšen komentar, predlog, pripombo?
primus1024 ::
Če dobiš virus na PC B, ga boš tudi na PC A, če sta povezana z crosswire.
http://securityresponse.symantec.com/av...
(stara zadeva, ampak dobro ilustrira delovanje)
Ni važno ali sharas en folder ali cel disk, ker napada service in ne sharan folder.
Lahko bi dal računalo posebej v mrežo in odprl samo dostop do ftp-ja in ftpjal podatke gor?
Tako se znebiš windows mreže in zapreš vse porte razen 20, 21 in 67 (DHCP) in s tem komunikacijo ven in noter razen ftp-ja. Mislim, da bi bil tako relativno varen, dosegel pa bi cilj za lažji prenos podatkov.
http://securityresponse.symantec.com/av...
(stara zadeva, ampak dobro ilustrira delovanje)
Ni važno ali sharas en folder ali cel disk, ker napada service in ne sharan folder.
Lahko bi dal računalo posebej v mrežo in odprl samo dostop do ftp-ja in ftpjal podatke gor?
Tako se znebiš windows mreže in zapreš vse porte razen 20, 21 in 67 (DHCP) in s tem komunikacijo ven in noter razen ftp-ja. Mislim, da bi bil tako relativno varen, dosegel pa bi cilj za lažji prenos podatkov.
Poldi112 ::
Se bolje pa SSH.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
GBX ::
Tegale ne jemlji kot neke dokončne rešitve, bolj kot glasno razmišljanje.
Kaj če bi računalnika povezal s serijskim null-modem kablom in uporabil kakšen protokol za prenos po serijski liniji (recimo Kermit ali Zmodem)? Datoteko bi lahko spravil na nek direktorij in dal dostop za branje vsem. Potem bi uporabnik z zelo omejenimi pravicami periodično poslal datoteko po serijskem kablu. Še vedno obstaja možnost, da nekdo pride v sistem, za katerega želiš, da je zaščiten, vendar ta možnost obstaja prav vedno, tudi z disketnim prenosom.
Če bi vdiralec prišel na izpostavljeni (omreženi PC), bi teoretično lahko izkoristil buffer overflow napako (če obstaja) v Kermit ali Zmodem klientu. Tak napad bi bil zelo neobičajen, verjetno bi moral biti ciljan točno na tvoj sistem, obranil pa bi se masovne virusne zalege.
Obstaja še bolj zaščitena varianta. Serijskemu kablu precvikaš Rx žičko, kar pomeni, da lahko samo oddaja. Kermit in Zmodem potem odpadeta, v bistvu bi rabil poseben program, ki bi samo snemal in shranjeval datoteke. Izvedljivo, a z nekaj poskušanja.
Kaj če bi računalnika povezal s serijskim null-modem kablom in uporabil kakšen protokol za prenos po serijski liniji (recimo Kermit ali Zmodem)? Datoteko bi lahko spravil na nek direktorij in dal dostop za branje vsem. Potem bi uporabnik z zelo omejenimi pravicami periodično poslal datoteko po serijskem kablu. Še vedno obstaja možnost, da nekdo pride v sistem, za katerega želiš, da je zaščiten, vendar ta možnost obstaja prav vedno, tudi z disketnim prenosom.
Če bi vdiralec prišel na izpostavljeni (omreženi PC), bi teoretično lahko izkoristil buffer overflow napako (če obstaja) v Kermit ali Zmodem klientu. Tak napad bi bil zelo neobičajen, verjetno bi moral biti ciljan točno na tvoj sistem, obranil pa bi se masovne virusne zalege.
Obstaja še bolj zaščitena varianta. Serijskemu kablu precvikaš Rx žičko, kar pomeni, da lahko samo oddaja. Kermit in Zmodem potem odpadeta, v bistvu bi rabil poseben program, ki bi samo snemal in shranjeval datoteke. Izvedljivo, a z nekaj poskušanja.
Daedalus ::
Jaz bi dal računalo v mrežo, na njega naštimal firewall in dovolil dostop samo enemu IP-ju, preko samo enega porta. Vse ostalo blokiraš. Dostop urediš preko ssh, pa maš mir. Vse ostalo pa na reject in se nima kaj zgoditi.
Pa nujno uštimaj backup mašino, ker če ti na tej crkne npr. disk, si itak mrzel. Pa sploh ne rabiš virusa. Kritični sistemi naj bojo kr lepo podvojeni.
Pa nujno uštimaj backup mašino, ker če ti na tej crkne npr. disk, si itak mrzel. Pa sploh ne rabiš virusa. Kritični sistemi naj bojo kr lepo podvojeni.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
Zgodovina sprememb…
- spremenilo: Daedalus ()
poweroff ::
Torej iz PC A, ki ni priključen v nikakršno omrežje (razen seveda električno), bi rad prenašal podatke na PC B, ki je vključen na internet.
Če je zadeva res kritična in ti ni škoda nekaj deset tisoš SIT, bi jaz naredil takole.
V PC B bi dal dve mrežni kartici. Ena je pač lepo priključena na router), tako kot dosedaj, druga pa bi bila priključena na PC C (nov računalnik). Ta druga mrežna kartica naj ima IP recimo 10.10.10.1 (ona prej ima pač IP, kot ga ima sedaj).
PC C bi bil en poceni, lahko rabljen računalnik, brez monitorja in tipkovnice z nameščenim Linuxom. V bistvu bi služil za router s firewallom. Namreč ideja, da bi imel na PC A firewall se mi ne zdi ravno najboljša, ker se da nekatere programske firewalle v Windowsih remote ugasnit (glej: Phrack Volume 0x0b, Issue 0x3e, Phile #0x0d of 0x10, Using Process Infection to Bypass Windows Software Firewalls, http://www.phrack.org/show.php?p=62&a=1...
PC C ima tudi dve mrežni kartici, ena ima IP 10.10.10.2, druga pa 10.10.10.3.
V PC A daš mrežno, ki ima IP 10.10.10.4. Zdaj povežeš 10.10.10.4 na 10.10.10.3 (ta IP ti služi kot gateway na PC A). V PC C odpreš nek direktorij, kjer je omogočen SMB sharing (windows network). Podatke iz PC A potem preko networka skopiraš na PC C (recimo z rsyncom, mislim, da obstaja tudi za winse). Od tam pa se avtomatsko skopirajo na PC B. Na PC C je nastavljen firewall, ki ne dovoli nobene incoming povezave iz PC B, PC A pa se lahko poveže samo na PC C (ni routinga iz 10.10.10.3 na 10.10.10.10.2).
Se pravi gredo podatki najpren (začasno) na PC C, potem pa na PC B, obratna povezava pa nikakor ni možna. Če si še maloparanoičen, na PC A nastaviš firewall, ki tudi iz PC C ne dovoli nobene povezave.
Če bi kdo hotel vdreti, bi moral najprej vdreti na Linux kišto, potem pa od tam podreti še windows firewall - to je pa že zelo težka naloga.
Druga možnost. PC C je vključen direktno na router (na internet). Gor je še vedno firewall, itd, seveda pa uporablja za povezavo z PC A drug subnet. Potem lahko dostop do PC C dovoliš iz samo nekega IP-ja (za razno vzdrževanje) in preko tega ti je potem omogočen dostop do PC A. Tako imam jaz narejeno za eno kritično omrežje, ki mora biti stalno dostopno, vendar hkrati ločeno od interneta.
Lahko si pa gor nastaviš pe port forwarding in VNC. Na PC C se povežeš preko sshja, potem zaženeš VNC over ssh in se priklopiš na PC A od zunaj (iz vnaprej določenega IPja).
Če je zadeva res kritična in ti ni škoda nekaj deset tisoš SIT, bi jaz naredil takole.
V PC B bi dal dve mrežni kartici. Ena je pač lepo priključena na router), tako kot dosedaj, druga pa bi bila priključena na PC C (nov računalnik). Ta druga mrežna kartica naj ima IP recimo 10.10.10.1 (ona prej ima pač IP, kot ga ima sedaj).
PC C bi bil en poceni, lahko rabljen računalnik, brez monitorja in tipkovnice z nameščenim Linuxom. V bistvu bi služil za router s firewallom. Namreč ideja, da bi imel na PC A firewall se mi ne zdi ravno najboljša, ker se da nekatere programske firewalle v Windowsih remote ugasnit (glej: Phrack Volume 0x0b, Issue 0x3e, Phile #0x0d of 0x10, Using Process Infection to Bypass Windows Software Firewalls, http://www.phrack.org/show.php?p=62&a=1...
PC C ima tudi dve mrežni kartici, ena ima IP 10.10.10.2, druga pa 10.10.10.3.
V PC A daš mrežno, ki ima IP 10.10.10.4. Zdaj povežeš 10.10.10.4 na 10.10.10.3 (ta IP ti služi kot gateway na PC A). V PC C odpreš nek direktorij, kjer je omogočen SMB sharing (windows network). Podatke iz PC A potem preko networka skopiraš na PC C (recimo z rsyncom, mislim, da obstaja tudi za winse). Od tam pa se avtomatsko skopirajo na PC B. Na PC C je nastavljen firewall, ki ne dovoli nobene incoming povezave iz PC B, PC A pa se lahko poveže samo na PC C (ni routinga iz 10.10.10.3 na 10.10.10.10.2).
Se pravi gredo podatki najpren (začasno) na PC C, potem pa na PC B, obratna povezava pa nikakor ni možna. Če si še maloparanoičen, na PC A nastaviš firewall, ki tudi iz PC C ne dovoli nobene povezave.
Če bi kdo hotel vdreti, bi moral najprej vdreti na Linux kišto, potem pa od tam podreti še windows firewall - to je pa že zelo težka naloga.
Druga možnost. PC C je vključen direktno na router (na internet). Gor je še vedno firewall, itd, seveda pa uporablja za povezavo z PC A drug subnet. Potem lahko dostop do PC C dovoliš iz samo nekega IP-ja (za razno vzdrževanje) in preko tega ti je potem omogočen dostop do PC A. Tako imam jaz narejeno za eno kritično omrežje, ki mora biti stalno dostopno, vendar hkrati ločeno od interneta.
Lahko si pa gor nastaviš pe port forwarding in VNC. Na PC C se povežeš preko sshja, potem zaženeš VNC over ssh in se priklopiš na PC A od zunaj (iz vnaprej določenega IPja).
sudo poweroff
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Kakšen 20m dolg kabel za internet?Oddelek: Omrežja in internet | 10934 (10543) | imagodei |
» | skupna raba(v omrežjuOddelek: Omrežja in internet | 3793 (3142) | Kankan |
» | Zna kdo povedat kaj je narobe?Oddelek: Omrežja in internet | 1935 (1666) | Pyr0Beast |
» | težava z domačim omrežjemOddelek: Omrežja in internet | 1290 (1290) | dolenska |
» | Nova anketa: zvočna kartica, da ali ne?Oddelek: Novice / Ankete | 3967 (3376) | sidd |