hi всезнающий all
собственно возникла проблема устроился админом в небольшой отдел (20 машин) большой фирмы.
сразу вижу очевидные проблемы с безопасностью - на многих из машин вирусы,трояны,удаленно рулятся неизвестно кем и тд итп как следствие машины работают тяжко и криво,чем вызывают неудовольствие пользователей.
нашел входящий конец utp кросс 100 из большой сети просто воткнутый в наш свитч(неуправляемый)
попытка предложить админам фирмы оградить отдел через установку роутера с фильтрами или подъема NAT моими силами и моим же оборудованием была жестко отметена из чего делаем вывод что им выгодна нынешняя ситуация..
понятно что в данной ситуации надо чистить и потом закрывать персональными файрволами каждую машину в отдельности...
засим вопрос сталкивался ли кто с данной проблемой и как её решал?! если есть что почитать также был бы премного благодарен. особенно было бы интересно почитать о сигнатуре вторжений и определить пользователей в моей сети которым я не могу доверять.
tnx
>hi всезнающий all
>собственно возникла проблема устроился админом в небольшой отдел (20 машин) большой
>фирмы.
>сразу вижу очевидные проблемы с безопасностью - на многих из машин вирусы,трояны,удаленно
>рулятся неизвестно кем и тд итп как следствие машины работают тяжко
>и криво,чем вызывают неудовольствие пользователей.
>нашел входящий конец utp кросс 100 из большой сети просто воткнутый в
>наш свитч(неуправляемый)
>попытка предложить админам фирмы оградить отдел через установку роутера с фильтрами
>или подъема NAT моими силами и моим же оборудованием была жестко
>отметена из чего делаем вывод что им выгодна нынешняя ситуация..
>понятно что в данной ситуации надо чистить и потом закрывать персональными
>файрволами каждую машину в отдельности...
>засим вопрос сталкивался ли кто с данной проблемой и как её решал?!
>если есть что почитать также был бы премного благодарен. особенно было
>бы интересно почитать о сигнатуре вторжений и определить пользователей в моей
>сети которым я не могу доверять.
>tnxкогда-то я начинал работать в таких-же условиях...
молча ставим роутер между соской большой конторы и своим свичом. С 0 подымаем везде клиентов, если всё завязано на виндах, лучше ставить NT4/5 с как можно более жёсткой политикой пользователей.
Затем плюя на вопли и маты оплачиваем за счёт компании ваш любимый антивирус, ставим клиентам.. ну скажем: http://checkcfg.narod.ru/ программа doberman
И начинаем пожинать плоды своей деятельности. Если всё будет сделано грамотно и аккуратно то на работу можно будет приходить раз в неделю почитать свою почту :)если это провалится - бегите из этой компании куда подальше.
Согласен, кстати, полностью. Более того, могу своей практикой подтвердить, что позже (не намного в принципе), начальство ОЧЕНЬ даже оценит такое вмешательство (роутер и прочее) и будет очень благодарно. А на админов.. положить на них. В принципе их никак не касается через что работает это "что". Ведь как я понимаю - теперь это ваша работа.
>Согласен, кстати, полностью. Более того, могу своей практикой подтвердить, что позже (не
>намного в принципе), начальство ОЧЕНЬ даже оценит такое вмешательство (роутер и
>прочее) и будет очень благодарно. А на админов.. положить на них.
>В принципе их никак не касается через что работает это "что".
>Ведь как я понимаю - теперь это ваша работа.Говно все это чистой воды - "сказки про доброе начальство" (не хочу тем не менее сказать, что его вообще в природе не существует). Контора большая - и кто там из тех, что сидят на верху, узнает, что лучше все стало благодаря Пети, а не Васе?
В общем-то весь вопрос сводится к тому, что "ввязываться мне в борьбу или нет". Тут (в смысле не в форуме - а по жизни) тебе никто не поможет - ты для себя сам должен это решить. А уж если ввязался, то я например постараюсь помочь в конкретных вопросах - но в любом случае, решение только за тобой...
Посоветовать могу (если уж борьба):
- сделать все правильно в своем отделе (здесь по идее особых проблем быть не должно, но только по идее....)
- после этого начать дергать вышестоящих админов (не злобно, чтобы не настроить их сразу против себя) на предмет проведения своей политики (а вдруг все-таки согласяться и поддержат?)
- если админы все это проигнорируют - начинать писать бумаги начальству|общаться с ним лично (причем нач. бери сразу как можно выше - не бойся, только подготовься к разговору) - на предмет обеспечения безопастности и добиваться формальных приказов (это основной момент. на 100% не существует нач., которому все похрену - сумеешь ли ты его заинтересовать|убедить зависит только от тебя)
- после этого этого с милой улыбкой говоришь тем админам - мол ребят, сделайте так-то и так-то + ссылка на царский указ :)
PS в больших котнорах ничего, без бумаг не получается, хоть ж... рви.
Из личного опыта...
1. Абсолютно трезво оцениваем "обстакановку"
2. Пишем на бумажке !!! все что считаем нужным делать по максимуму, потом вчитываемся вычеркиваем "особо зарвавшиеся моменты", переписываем бумажку и идем к начальнику (чем начальник круче, тем лучше для нас, самый крутой "ПАПА" как раз способен выслушать все, что ты хочешь ему сказать и если он видит в этом (в твоей писанине) рациональное зерно (он все равно ни хрена не понимает, поэтому писать надо на дурака)тебе обеспечен не только зеленый свет на все начинания, но и маленькие поблажки и глядишь премия за какой-либо отчетный период (главное что то воплотить а не просто на бумажном творчестве остановиться и не забыть при этом показать результаты труда))
Пример бумажки..
1. Создание более зашищеной сети
Перевод всех роутеров (файрволов) на Линукс «Восток 7.3», поднятие файрвола на базе iptables, автоматическое переключение между каналами, статистика, прокси сервера, системы оповещения о внештатных ситуациях, фтп сервер, система «антисканер». Данное решение вполне подходит для специфики работы предприятия (более сложную систему зашиты устанавливать нет необходимости)
Плюсы:
Стабильность работы;
Устойчивость к взлому;
Повышение времени работы в и-нете за счет переключения между каналами
Повышение точности расчетов с провайдерами. (достаточно существенная экономия денег)
Уменьшение трафика за счет кэширования и ограничения доступа пользователей и как следствие экономия денежных средств.
Минусы:
Система сложна в обслуживании, необходимо иметь достаточно глубокие знания не только самой системы, но и сетевых технологий.
Расходы: станет известно только после переписи машин.
Время: 2-3 недели для первой машины, потом 1-1.5 недели тестового режима и по 1-2 дня на каждую следующую.
Необходимо:
желательно иметь перепись машин,
узнать у провайдеров принцип привязки машины клиента и время и ответственного за перевод на новую сетевую карту,
перевод внутренней сети на жесткие ИП адреса по разработанной таблице,
Список «разрешенных адресов» для манагеровВот примерное более менее удобоваримая для начальства информация, что имеем при таком "бумажном подходе"
а. Начальник (если он не полный "профан", а таких не бывает) видит следующее :
- ты болеешь за дело
- что то знаешь (во всяком случае твои знания превосходят его по данному вопросу)
- он понимает всю информацию, т.к. видит плюсы, минусы, затраты, время, требуемые ресурсы как материальные так и людские, а так же, что ни маловажно ЭКОНОМИЮ средств и увеличение рентабельности....
Я не видел еще ни одного начальника, который бы не купился на этот пунктик...
Время исполнения ставить строго по своим знаниям и с учетом непоротливости самой системы предприятия.... Если точно видишь, что из-за Васи Пупкина дело затормозиться на 3-4 дня смело включай это время в свой план... лучше увеличить время (в разумных пределах, иногда лучше самостоятельно ускорять процесс, где будылкой пива, а где и прочишением мозговой массы...)
Что надо вобщем варианте.
1. Одного двух знакомых (друзей, приятелей), знания которых превосходят твои в данной области (естественно что эти знакомые должны быть в пределе досягаемости иначе они ни чего не насоветуют или насоветуют но за большой промежуток времени)
2. Острое, непреодолимое желание разобраться с проблемой
3. Ну хоть какие нить зачаточные знания, чтобы не смотреть на монитор с выражением лица как у Маклаута, в момент его разговора с кукушкой :))
4. Либо выход в нет, либо набор книжек по данной теме (лучше и то и другое)
Собственно все...
За то время которое указано в примере, ты не только разберешься, что к чему, но и поимеешь достаточно нормальный багаж знаний по данной теме, а гуру ты станешь потом....если захочешь .... :)))После того как проделал эту работенку... ты на хорошем счету в компании...дальнейший рост зависит только от тебя любимого....
IMHO лучше всего начать с составления подробного и аргументированного отчета о состоянии дел и о возможных финансовых потерях компании в случае продолжения бардака, отдельный раздел - конкретные предложения (начать с организационных мер - выработка политики безопасности, оценка затрат, состав рабочей группы и т.п.) по разруливанию бардака. Отчет и предложения - директору (техническому директору, если есть), потому как вполне вероятно, что директор ни ухом ни рылом (ни сном ни духом :)), а народ этим нахально пользуется, пудря мозги директору (сам столкнулся с такой же ситуацией, и решал ее так, как описываю).Дальше - добиться созыва совещания со всеми заинтересованными лицами, и требовать издания приказов, четко описывающих обязанности и полномочия админа, права и обязанности пользователей, политику информационной безопасности конторы. Потом с этими приказами на руках начать жестко карать, все случаи неповиновения - после предупреждения нарушителя докладными записками директору. Через пару месяцев имеем вполне управляемую и безопасную сетку.
Технические проблемы - это последняя очередь. Тем более, что в данном случае их не должно быть много. :)