Защита от «дурака». Тонкие клиенты для построения безопасных сетей::Приложение к журналу СА №2(2010)
www.samag.ru
Журнал «БИТ. Бизнес&Информационные технологии»      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Сетевая инфраструктура  

Как удаленная работа меняет подход к сетевой инфраструктуре?

С увеличением числа сотрудников, работающих из дома, организации сталкиваются с необходимостью создания

 Читать далее...

Мониторинг  

Какой мониторинг нужен сегодня?

По мнению экспертов ГК InfoWatch, действия сотрудников – самая распространенная причина инцидентов

 Читать далее...

Книжная полка  

Руководство для тех, кто увлечен ИИ, программированием. И дизайном

Накануне лета издательство «БХВ» выпустило книжные новинки, от которых любителям чтения будет

 Читать далее...

Мобильные приложения  

Искусственный интеллект в мобильных приложениях: возможности и перспективы

Обзор современных применений ИИ в мобильных приложениях, анализ перспектив развития этой технологии,

 Читать далее...

ИТ-образование  

Как сделать ИТ-образование эффективным?

Эксперты ИТ-отрасли отвечают на вопросы «СА». Обсуждаем ключевые аспекты для улучшения образовательных

 Читать далее...

Work-life balance  

Как айтишнику найти баланс между работой и личной жизнью?

Обсуждаем инструменты для эффективного управления временем, снижения уровня стресса и достижения гармонии. На

 Читать далее...

Книжная полка  

Всё самое нужное – под одной обложкой

Отличительная черта книжных новинок, выпущенных недавно издательством «БХВ» – это их универсальность. Не просто

 Читать далее...

ИТ-инфраструктура  

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

 Читать далее...

Открытое ПО  

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

 Читать далее...

Работа с нейросетью  

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

 Читать далее...

Опрос  

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

 Читать далее...

Опрос  

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

 Читать далее...

Опрос  

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

 Читать далее...

Рынок труда  

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 8148
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 8410
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 5739
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3610
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 4394
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 4403
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6953
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3749
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 4020
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7924
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 11280
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 13001
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14763
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9704
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7657
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5946
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 5127
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3971
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3674
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3897
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 Защита от «дурака». Тонкие клиенты для построения безопасных сетей

Архив номеров / 2010 / Выпуск №2 (2) / Защита от «дурака». Тонкие клиенты для построения безопасных сетей

Рубрика: Безопасность /  Безопасное «Железо»

Эрик Палванов ЭРИК ПАЛВАНОВ, генеральный директор ООО «Удаленные системы» (http://www.remotesystems.ru). Профессиональные интересы: построение безопасной и надежной ИТ-инфраструктуры для современного бизнеса

Защита от «дурака»
Тонкие клиенты для построения безопасных сетей*

Как построить безопасную сеть? Ответить на этот вопрос можно, соблюдая системный и последовательный подход. Построить полностью безопасную сеть нельзя – можно лишь снизить риски по различным направлениям потенциальных угроз

В этой статье я расскажу вам о защите пользовательских рабочих мест – казалось бы, незатейливой, однако самой значительной части любой информационной корпоративной сети.

Исходные данные

Заказчик – оптово-розничная сеть продажи станочного инструмента. Заказчик имеет в своем активе:

  • 1 шлюзовой интернет-сервер и контроллер Active Directory;
  • 1 терминальный сервер для работы с бухгалтерией;
  • 1 терминальный сервер для работы с офисными документами, электронной почтой и CRM;
  • примерно 50 постоянных пользователей;
  • примерно 10 со «своими» ноутбуками;
  • 3 удаленных рабочих места (склад).

Задача

Максимально снизить риски инсайдерских повреждений/взломов и вирусных опасностей при повседневной работе персонала компании.

После рекогносцировки на местности заказчика делаем неутешительный вывод, что ситуация, как обычно, стандартная: достаточно грамотный администратор, построив единожды хорошую сетевую инфраструктуру, со временем потерял контроль над ситуацией из-за того, что руководство загрузило его смежными задачами. Руководство в условиях кризиса, естественно, старалось сэкономить на всем на чем можно.

В результате информация пользователей в компании размазалась вместо общего сетевого ресурса и перемещаемых/перенаправленных профилей по локальным компьютерам. Часть баз открывалась с компьютеров бухгалтеров, резервные копии не охватывали полностью всей наработанной пользователями информации.

Ко всему прочему, как и везде, персонал норовил при отсутствии постоянного контроля тратить время на всяческие онлайн-сервисы вроде социальных сетей, флеш-игр и портабельных программ для развлечений.

Само собой разумеется, что все это было хорошо приправлено периодическими эпидемиями вирусов.

После очередного увольнения менеджера произошла утечка коммерческой информации, и терпение руководства кончилось – было решило обратиться в стороннюю организацию. А именно – к нам.

Реализация

Поскольку серверная часть была отстроена хорошо, а проблемы связаны со сложностью контроля рабочих мест, было решено использовать в организации рабочих мест тонких клиентов, которые могли решить множество проблем:

  • вирусы;
  • локальное использование компьютеров не по назначению;
  • постоянные перенастройки локальных программ;
  • несанкционированный внос/вынос данных с рабочего места;
  • установка легальных программных средств на каждом рабочем месте (локальные лицензии на тонкие клиенты);
  • готовность к использованию «из коробки»;
  • дистанционный контроль и настройки рабочего места;
  • унификация рабочего места;
  • эргономика рабочего пространства пользователей;
  • снижение уровня шума и энергопотребления.

После анализа представленных на рынке тонких клиентов и пассивных сетевых компьютеров было решено использовать продукцию компании «ТОНК» (http://www.tonk.ru) по следующим причинам: широкий выбор как ОС (MS Windows Compact, MS Windows Standard, LinuxEmbedded), так и платформ, вплоть до производительности «продвинутых неттопов» при форм-факторе компактного терминала.

Все эти факторы при примерно одинаковой цене на аналогичные, но менее производительные продукты других вендоров склонили чашу весов в пользу ТОНКих.

В линейке производителя были выбраны модели:

  • ТОНК 1207 (AMD Geode LX800 с предустановленной MS WinCE6) – для большинства рабочих мест;
  • ТОНК 1411 (Intel Dothan 1 ГГц c предустановленной MS WinXPe) – для рабочих мест, где стояли МФУ и сканеры;
  • ТОНК 1611 (Intel Atom N270 1,6 ГГц c предустановленной MS WinXPe) – для замены рабочих ноутбуков.

Быстрее всего процесс установки прошел для 43 самых маленьких терминалов ТОНК 1207 – их все подключили за день.

Выяснилась особенность – нет возможности скопировать файл на все тонкие клиенты с настройками подключений. Однако имеется встроенный VNC-сервер, благодаря которому бегать после подключения к каждому ТОНКу уже не приходилось.

На рис. 1 предcтавлен снимок экрана ТОНК 1207 с MS WinCE6. Запуск VNC-сервера обеспечивается в приложении Others, сами настройки VNC-сервера легко изменяются через утилиту, доступную в Control Panel тонкого клиента.

Рисунок 1. Снимок экрана тонкого клиента ТОНК 1207 (AMD Geode LX800 с предустановленной MS WinCE6)

Рисунок 1. Снимок экрана тонкого клиента ТОНК 1207 (AMD Geode LX800 с предустановленной MS WinCE6)

С тремя терминалами на Дотане (ТОНК 1411) и семью моноблоками в 19-тидюймовых ЖК на Атоме (ТОНК 1611) пришлось повозиться подольше – там все, как и с обычной Windows XP. Пришлось установить драйверы МФУ и крипто-систем банк-клиентов. В процессе настроек явственно ощущалась полезность функции Enhanced Write Filter (расширенного фильтра на запись).

Работает она очень просто: установив все необходимое программное обеспечение и настроив терминал, необходимо запустить команду ewfmgr c: -commit для сохранения настроек, в противном случае все останется таким, какми было на момент включения.

Иными словами, все изменения за время сеанса работы с момента включения (например, сохраненный портабельный софт и испорченные настройки программ) отменятся, все вернется к исходному настроенному состоянию! Замечательная защита от «дурака».

Можно работать не с командной строкой, а через приложение Disk manager, доступное из панели управления системы, – так, как это показано на рис. 2.

Рисунок 2. Снимок экрана тонкого клиента ТОНК 1411 (Intel Dothan 1 ГГц c предустановленной MS WinXPe)

Рисунок 2. Снимок экрана тонкого клиента ТОНК 1411 (Intel Dothan 1 ГГц c предустановленной MS WinXPe)

Отдельно скажем про трех кладовщиков. Там тоже установили модели с MS Windows Compact, причем подключение осуществлялось по VPN – благо имеется встроенный клиент PPTP. Для раздачи Интернета использовался недорогой роутер, в котором был задан единственный маршрут – к IP-адресу главного офиса. Это избавило кладовщиков от ненужного им Интернета, оставив их наедине с работой. Сканеры штрих-кода пришлось заменить на включаемые в разрыв клавиатуры, т.к. те, что были с USB-интерфейсом, отказались работать с WinCE6, а ставить более дорогие терминалы с MS Windows Standard на склад не хотелось.

Полученный результат полностью оправдал ожидания. Весь рабочий документооборот стал проходить только в терминальных сессиях, возможности «растащить» информацию с серверов исчезли – на ТОНК с MS WinCE6 ее нельзя использовать, а на моделях тонких клиентов с MS Windows Standard она не сохраняется локально после перезагрузки. Эпидемии вирусов стали невозможны, а контроль оставшихся трех ноутбуков уже не доставлял никаких проблем. Возможности встроенных браузеров Интернета не позволяли использовать интерактивные онлайн-сервисы, что заставило менеджеров не отвлекаться от работы, а также снизило потребление интернет-трафика.

К тому же у всех расчистилось жизненное пространство под ногами и на столах. Отдельно порадовала тишина – действительно, никаких движущихся частей в терминалах нет, как и было заявлено производителем.

***

Наша цель была достигнута. Избавив рабочие места от присущих им «болячек», мы подняли безопасность сети на качественно иной уровень. Руководство было удовлетворено, системный администратор, поняв, что ему осталось лишь лелеять серверы и уделять внимание только «директорским» ноутбукам, с удовольствием принял работу. Правда, ворчал персонал на существенное ограничение «свобод», но что поделать, всем не угодишь.

* На правах рекламы


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru