Сообщений в теме: 132

[Дайвер]

Nmap не стали пробовать? Или из платных - LanSpy. Они покажут, к примеру, имя машинки, а машинку можно удалённо выключить, к примеру. С прокси что решили? По-моему, самое эффективное будет. Причём локальные запросы тоже через прокси направлять.

LanSpy и прочее пробовал в первую очередь, но это ни разу не помоет НАЙТИ ГДЕ сидит редиска... удаленно машину я могу выключить, но ТОЛЬКО после введения в домен, ибо если каждый сможет удаленно выключать комп, тогда нах нужны антивирусы, брендмауэры....
А от имени машины, равно как и от её МАС адреса мало толку ну увижу я что комп называется Pc-PC и является членом Workgroup... дальше то что?

Борец, видимо Вы невнимательно читали пост мой

Юзер - биллинг (АД на этом же сервере)-шлюзовой KWF

во первых чтобы юзеры видели проксю это не дело, да и извне прорваться сначала через KWF а потом через IIS и вовсе тяжко судя по логам, пробуют и пробуют с завидной регулярностью.
Во вторых загружать и без того паршивую сеть (ведь местные свичи это почти хабы тупые) смысла не вижу...

[Ванзан]

Скрытый текст

Доброе время дамы и господа. проблему имею, вот решил посоветоваться с умными людями <img data-cke-saved-src="http://vse.kz/public.../smile.png&#34; src="http://vse.kz/public.../smile.png&#34; class="bbc_emoticon" alt=""><br><br>Имеем:<br><br>Доменную сеть развернутую на 2008R2<br>Из роли:<br>DHCP<br>DNS<br>IIS<br>Доменные службы AD<br>Сервер приложений<br>Службы политики сети и доступа<br>Службы удаленных рабочих столов<br>Файловые службы<br>WSUS<br><br>Стоит биллинг + шлюзом KWF (но последний не видно из локальной сети, он просто шлюз между инетами и сервером)<br>Свичи не управляемые<br><br>Данную конфигурацию поменять увы нельзя.<br><br>Описание проблемы:<br><br>Из за неуправляемых&nbsp;&nbsp;свичей и службы&nbsp;&nbsp;dhcp&nbsp;&nbsp;любой (пардон) дятел, может включить свой ноут в розетку и получить адрес. равно как и (имея на своей машине права администратора)&nbsp;&nbsp;установить софт для прослушки всего того что крутится в локалке.<br><br>Суть проблемы:<br>Всех самовольно включащихся дятлов убить, чтобы они без ведома нас нифига не получали адреса, не видели сеть (включая сетевые принтеры и сканеры), да и вообще - ибо нефиг!<br><br>Повторюсь, данную конфигурацию менять нельзя, глупое распоряжение руководства, а так же из за того что есть юзеры кто иногда работает на win home и прочей гадости.<br><br>Применить к господам политики не представляется возможным из за того что они то не в домене.<br>Резервирование в таблице dhcp по мак адресам тоже не выход, пул адресов больше чем машин (опять же, фиг отключишь мать их)<br>Запрет в dhcp (на дятлов) не срабатывает, прописывают адреса ручками.<br><br>Не говоря уже о том что просто и тупо некоторые товарищи начинают забивать существующие адреса и несмотря на предупреждение оставляют их... как результат (весьма плачевный) - петля.<br>И уж до кучи, много дятлов приходящих имеют имена машин одинаковые (типа 1HP, член Workgroup)<br><br>Инет то им не дается, к ресурсам прописаны доступ только для пользователей домена.<br><br>Но сеть то пытается лечь регулярно.<br><br>Как их (биту не предлагать) "убить"? и ведь фиг найдешь то этих любопытных в здании. были бы свичи комутируемые, можно было бы определить хоть кто и где, а так... печально в общем.

Есть у кого опыт? поделитесь...

менять нельзя, а добавлять можно? а то, как вариант, внедрить файрвол и ДМЗ-сегмент. Не легитимные пользователи подключаются в этот сегмент, а файрволом все режется по максимуму. Возможности ограниченные. Раз свичи, то думаю, виланы понимают? Ну а выход в инет через прокси, либо натом определенным айпи.

[Триумфатор]

Есть "независимый" ноутбук с рабочей группой, на нем 3G модем и расшарен доступ в интернет. Соответственно, айпишник у него автоматически 192.168.137.1, так как вин7х64 фулл.
Есть рабочий комп, в домене, которому нужен инет. Если ему прописать айпи 192.168.137.137 и основной шлюз 192.168.137.1, то на нем появляется интернет, но проблема вот в чем. Он перестает быть частью домена, не видит рабочую локалку, а самое главное теряется доступ к программе, которая работает с базой данных на сервере и лицензию занимает оттуда же. То есть комп должен получать айпи-адрес автоматически. На компе тоже вин7х64 фулл.
Теперь вопрос - как сделать так, чтобы и овцы целы, и волки сыты, то есть чтобы комп продолжал быть частью домена и чтоб интернет на нем был? Может, есть какие-нибудь прокси или еще что?
Как скопировать айпиконфиг в буфер непонятно, а картинкой пихать неохота, поэтому:

Настройка протокола IP для Win
Основн. DNS-суффикс: имя_домена.local
Тип узла: Гибридный
IP-маршрутизация включена: нет
WINS прокси включен: нет
Порядок просмотра суффиксов DNS: имя_домена.local

Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения: имя_домена.local
Описание: Realtek PCIe ПИУ family controller
Физический адрес: BC-AE-C5-6E-B7-D0
DHCP включен - да
Автонастройка вкл. - да
Локальный Ipv6 адрес канала - (ерунда какая-то)
Ipv4 адрес - 192.168.1.104 (основной)
маска стандартная
Основной шлюз - 192.168.1.2
DHCP сервер - 192.168.1.250
IAID DHCPv6 - 247246533
DUID клиента дхцпв6 - (еще одна ерунда)
DNS серверы - 192.168.1.250
нетбиос через тисипиайпи - включен

Туннельный адаптер isatap.имя_домена.local:
Состояние среды - среда передачи недоступна
ДНС-суффикс подключения - имя_домена.local
Описание - адаптер майкрософт ISATAP
Физический адрес - куча нулей на конце E0
DHCP включен - нет
Автонастройка включена - да

Туннельный адаптер 6TO4 Adapter:
Состояние среды - недоступна
ДНС-суффикс подключения - пустое поле
Описание - Фдфптер Microsoft 6to4
Физ адрес - как предыдущий
DHCP включен - нет
Автонастройка включена - да

Туннельный адаптер Teredo Tunneling Pseudo-interface:
Состояние среды - недоступна
ДНС-суффикс подключения - пустое поле
Описание - Teredo Tunneling Pseudo-interface
Физ. адрес - такой же
DHCP включен - нет
Автонастройка включена - да.

Вообще, была идея сидеть в нете через удаленного помощника, но мастер настройки сказал что маршрутизатор не разрешает.

[Ванзан]

проще всего будет использовать прокси

[Триумфатор]

проще всего будет использовать прокси

Научите плиз. Как хоть называется.

[Ванзан]

CCProxy
Установка и настройка
ну это самый простецкий. В последующем, конечно, можно поднять более мощный по функционалу прокси-сервер с межсетевым экранированием. Если будет необходимость

[Триумфатор]

Поставил я CCProxy на ноут. Там написано что достаточно если клиент будет пинговать сервер. Но он не пингует нифига, хотя по сети в обмен можно заходить (на компе уже айпи автоматически получается). Поэтому решил прописать ноуту статику другую. Чтобы убрать 192.168.137.1 пришлось отключить общий доступ в инет. Поставил ноуту 192.168.1.254, теперь он пингуется с компа. На компе настроил файрфокс на inet.com 808, на ноуте в CCProxy где web authentication title прописал inet.com. Создал юзера на сервере. А файрфокс пишет что не нашел проксю.

[Ванзан]

телнетом пробовали? файрвол включен? пропишите для начала айпи адрес прокси, вместо имени

Сообщение отредактировал Ванзан: 25.04.2012, 17:08:06

[Триумфатор]

телнетом пробовали? файрвол включен? пропишите для начала айпи адрес прокси, вместо имени

Если вместо имени прокси айпи адрес прописать то файрфокс пишет "При загрузке страницы соединения с сервером было сброшено" (раньше было не могу найти проксю).
Файрвол включен. Что такое телнет?

Чувак, я тебя люблю, все заработало!

Сообщение отредактировал Триумфатор: 26.04.2012, 13:00:01

[Ванзан]

эммм....я жену люблю
в чем была причина?

[Дайвер]

менять нельзя, а добавлять можно? а то, как вариант, внедрить файрвол и ДМЗ-сегмент. Не легитимные пользователи подключаются в этот сегмент, а файрволом все режется по максимуму. Возможности ограниченные. Раз свичи, то думаю, виланы понимают? Ну а выход в инет через прокси, либо натом определенным айпи.

DMZ в данном случае можно применить, однако на программном уровне это гемор, да и к тому же "ломается" схема пользователь-биллинг(на том же сервере AD и т.д.)-шлюз (Kerio)
FW на кой мне внутри сети то? и что на каждую машину? а как оно работать должно?

DMZ с NAT

1. Вам понадобится 3-ий сетевой интерфейс установленный на WinRoute Firewall.
2. Назначить этому интерфейсу частный IP адрес, который находится в отдельной подсети IP от всех других сетевых интерфейсов. Не назначать шлюз по умолчанию для этого интерфейса.
3. Всем компьютерам, принадлежащим к этому DMZ сегменту должны назначаться частные IP-адреса из той же IP подсети, что и DMZ интерфейс компьютера WinRoute.
4. Их шлюз по умолчанию должен быть IP-адрес DMZ интерфейса WinRoute Firewall.DMZ с NAT

1. Вам понадобится 3-ий сетевой интерфейс установленный на WinRoute Firewall.
2. Назначить этому интерфейсу частный IP адрес, который находится в отдельной подсети IP от всех других сетевых интерфейсов. Не назначать шлюз по умолчанию для этого интерфейса.
3. Всем компьютерам, принадлежащим к этому DMZ сегменту должны назначаться частные IP-адреса из той же IP подсети, что и DMZ интерфейс компьютера WinRoute.
4. Их шлюз по умолчанию должен быть IP-адрес DMZ интерфейса WinRoute Firewall.

а схему ломать низя... да и придется статику юзерам прописывать.

Я так понимаю что Вы Ванзан тоже мои посты не внимательно прочитали... ВЫХОД в ИНЕТ это ни разу не проблема, моя проблема обезопасить трафик внутри сети... и "найти и уничтожить"!!!
Свичи хоть и тупые, но виланы "поймут" (они ж тупые, все передают!).. тут вопрос в том что принять трафиг "меченый" сможет только тот кто принадлежит к этому vlan.

Уж извините Ванзан, но Ваши ответы, гораздо больше похожи на "советы" даваемые из за плеча, сказанные ради поста и ради умного вида.


В воскресенье переезжать собираюсь на vlan по всей сети... позже отпишусь как и что было...

[Дайвер]

Есть "независимый" ноутбук с рабочей группой, на нем 3G модем и расшарен доступ в интернет. Соответственно, айпишник у него автоматически 192.168.137.1, так как вин7х64 фулл.
Есть рабочий комп, в домене, которому нужен инет. Если ему прописать айпи 192.168.137.137 и основной шлюз 192.168.137.1, то на нем появляется интернет, но проблема вот в чем. Он перестает быть частью домена, не видит рабочую локалку, а самое главное теряется доступ к программе, которая работает с базой данных на сервере и лицензию занимает оттуда же. То есть комп должен получать айпи-адрес автоматически. На компе тоже вин7х64 фулл.
Теперь вопрос - как сделать так, чтобы и овцы целы, и волки сыты, то есть чтобы комп продолжал быть частью домена и чтоб интернет на нем был? Может, есть какие-нибудь прокси или еще что?

как раз "отстрелом" таких как вы я и пытаюсь заниматься в своей сети...
по факту, если ваш dhcp сервер выдает адреса, то примите их своим ноутом (ноут в розетку воткните), и будут они у вас в одной сети. дальше просто шлюзом прописать ноут, програмка ваша что с сервера таскает данные, будет работать, а инет будет браться из места которое вы указали шлюзом.

Только непонятно мне, на кой Х админы оставили юзверю доступ к изменению адресов, установки софта и вообще?
Гнать в шею(админов)! Юзер должен сидеть в ГПО!

поделитесь адресом конторы где работаете, глядишь кто нить из наших и покажет вашему руководству как сеть херово настроена

[Ванзан]

Я так понимаю что Вы Ванзан тоже мои посты не внимательно прочитали... ВЫХОД в ИНЕТ это ни разу не проблема, моя проблема обезопасить трафик внутри сети... и "найти и уничтожить"!!!

я так и понял. Обезопасить сеть можно путем изоляции подозрительных объектов, к примеру. Для начала. А доступ в вашу сеть фильтровать. Выявляется подозрительный трафик IDS/IPS сенсорами (это также к примеру). Либо сниферами. К слову о безопасности хостов: был у Циски замечательный продукт под названием CSA. Но он снят с продаж, к сожалению. Пока хороших аналогов не видел

Уж извините Ванзан, но Ваши ответы, гораздо больше похожи на "советы" даваемые из за плеча, сказанные ради поста и ради умного вида.

странная реакция. Если вы ко всем советам относитесь подобным способом, то для чего спрашивать?

[Дайвер]

я так и понял. Обезопасить сеть можно путем изоляции подозрительных объектов, к примеру. Для начала. А доступ в вашу сеть фильтровать. Выявляется подозрительный трафик IDS/IPS сенсорами (это также к примеру). Либо сниферами. К слову о безопасности хостов: был у Циски замечательный продукт под названием CSA. Но он снят с продаж, к сожалению. Пока хороших аналогов не видел

да в том то и СУТЬ что КАК найти эти объекты если комутаторы не управляемые? ну пингую я его ну и что? вижу МАС, узнаю производителя оборудования, а дальше ЧТО??? Слушаю я wireshark трафик в сетке, но толку это НИ РАЗУ не прибавляет...
Была бы циска в распоряжении или любой другой управляемый, я бы даже не задумываясь понимал хоть ОТКУДА пакеты идут... а тут по всем этажам бегать, свичи по одному проводу отцеплять, да дурдом это...

странная реакция. Если вы ко всем советам относитесь подобным способом, то для чего спрашивать?

я отношусь так к советам тех людей кто говорит чтобы говорить... проехали, извините, забудьте, не обращайте внимание.


2all совета спрашиваю у людей потому что думаю наверняка кто то сталкивался. ведь и пингами самовольновключенную машину не убьешь... и выключить удаленно не выключишь (без взлома)

[admin_it]

Суть проблемы:
1) Всех самовольно включащихся дятлов убить,
2) чтобы они без ведома нас нифига не получали адреса, не видели сеть (включая сетевые принтеры и сканеры), да и вообще - ибо нефиг!
3) Повторюсь, данную конфигурацию менять нельзя, глупое распоряжение руководства, а так же из за того что есть юзеры кто иногда работает на win home и прочей гадости.

а) Проблема в корне/полноценно не решаемая, из за дизайна Вашего конфига и распоряжение руководство
б) но кое что, по мелочи сделать можно

Итак задачи и решение
1) Всех самовольно включащихся дятлов убить,
Решение:
Тушим все свободные порты на коммутаторах. Делаем инвентаризацию всех МАСов в сети и их владельцев. Поднимаем порт на свиче только по заявке, где указано
- ФИО
- Оборудование
- МАС
- Адрес (физический)
- Тел для связи
- Продолжительность доступа
- Отметка об ознакомление правил и обязанности следования политик использования ЛВС компании
- Дата / роспись

Если коммутаторы позволяют это , то привязать МАС адрес к порту.

Задача
2) чтобы они без ведома нас нифига не получали адреса, не видели сеть (включая сетевые принтеры и сканеры), да и вообще - ибо нефиг!
Решение:
Вам нужно 2 под сети иметь как минимум.
1-ая Корпорейт / Приват под сеть. Основана на АД и всех корпоративных ресурсах
Трафик шифруется на уровне IPSec. Изоляция трафика на уровне VLAN.
2-ая подсеть - Публик. Все гуест машины в эту сеть, с отдельным VLAN

Задача.
3) Повторюсь, данную конфигурацию менять нельзя, глупое распоряжение руководства, а так же из за того что есть юзеры кто иногда работает на win home и прочей гадости.
Решение:
Посчитайте риски и затраты на восстановления информации на случай хака или диверсии.
Если руководство видит риски в связи с изменением конфигурации сети, то нужно лишь предложить расписанный план по переходу на новый конфиг с возможностью "возврата/отмены" всех изменении. Также по возможности попытаться учесть все требования руководство по сохранению "работоспособности" текущей конфигурации. Например в Казахтелекоме обязательно требуют запуск пилотного проекта, по итогом которого руководство принимает решения.

4) Про внедрение !Р в6
Не каждое ПО умеет с ним работать. Вам нужно протестировать Ваше бизнес приложение на совместимость с !Р в6.

Если нужна консультация сертифицированных специалистов, то пожалуйста, обращайтесь.

[admin_it]

дополнение к ответу
Идеальная схема работы , решение Вашей проблемы
Где,
Супликант - любой пользователь сети
Аутентификатор - ваше сетевое оборудование
Сервер аутентификации - ваш домен сервер (АД ДС)
Облако - сетевые ресурсы

[TimSan]

Кто может показать основы настройки АД, DHCP windows server 2003 or 2008. На курсы дорого, а начинать с книгой сложновато и много непонятного. Есть ноут, на нем стоит WmVare с установленным сервером. AD,DCP,DNS поднял, дальше что не знаю....

[vladimir55]

Кто может показать основы настройки АД, DHCP windows server 2003 or 2008. На курсы дорого, а начинать с книгой сложновато и много непонятного. Есть ноут, на нем стоит WmVare с установленным сервером. AD,DCP,DNS поднял, дальше что не знаю....

Посмотрите этот справочник

[TimSan]

спасибо!

[borec_za_istinu]

Зайдите на teachdays.ru - там много видеоматералов.