Защита от «дурака». Тонкие клиенты для построения безопасных сетей::Приложение к журналу СА №2(2010)
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6414
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7118
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4396
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3086
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3882
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3897
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6386
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3234
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3530
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7364
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10726
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12445
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14097
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7142
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5447
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3496
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3213
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Защита от «дурака». Тонкие клиенты для построения безопасных сетей

Архив номеров / 2010 / Выпуск №2 (2) / Защита от «дурака». Тонкие клиенты для построения безопасных сетей

Рубрика: Безопасность /  Безопасное «Железо»

Эрик Палванов ЭРИК ПАЛВАНОВ, генеральный директор ООО «Удаленные системы» (http://www.remotesystems.ru). Профессиональные интересы: построение безопасной и надежной ИТ-инфраструктуры для современного бизнеса

Защита от «дурака»
Тонкие клиенты для построения безопасных сетей*

Как построить безопасную сеть? Ответить на этот вопрос можно, соблюдая системный и последовательный подход. Построить полностью безопасную сеть нельзя – можно лишь снизить риски по различным направлениям потенциальных угроз

В этой статье я расскажу вам о защите пользовательских рабочих мест – казалось бы, незатейливой, однако самой значительной части любой информационной корпоративной сети.

Исходные данные

Заказчик – оптово-розничная сеть продажи станочного инструмента. Заказчик имеет в своем активе:

  • 1 шлюзовой интернет-сервер и контроллер Active Directory;
  • 1 терминальный сервер для работы с бухгалтерией;
  • 1 терминальный сервер для работы с офисными документами, электронной почтой и CRM;
  • примерно 50 постоянных пользователей;
  • примерно 10 со «своими» ноутбуками;
  • 3 удаленных рабочих места (склад).

Задача

Максимально снизить риски инсайдерских повреждений/взломов и вирусных опасностей при повседневной работе персонала компании.

После рекогносцировки на местности заказчика делаем неутешительный вывод, что ситуация, как обычно, стандартная: достаточно грамотный администратор, построив единожды хорошую сетевую инфраструктуру, со временем потерял контроль над ситуацией из-за того, что руководство загрузило его смежными задачами. Руководство в условиях кризиса, естественно, старалось сэкономить на всем на чем можно.

В результате информация пользователей в компании размазалась вместо общего сетевого ресурса и перемещаемых/перенаправленных профилей по локальным компьютерам. Часть баз открывалась с компьютеров бухгалтеров, резервные копии не охватывали полностью всей наработанной пользователями информации.

Ко всему прочему, как и везде, персонал норовил при отсутствии постоянного контроля тратить время на всяческие онлайн-сервисы вроде социальных сетей, флеш-игр и портабельных программ для развлечений.

Само собой разумеется, что все это было хорошо приправлено периодическими эпидемиями вирусов.

После очередного увольнения менеджера произошла утечка коммерческой информации, и терпение руководства кончилось – было решило обратиться в стороннюю организацию. А именно – к нам.

Реализация

Поскольку серверная часть была отстроена хорошо, а проблемы связаны со сложностью контроля рабочих мест, было решено использовать в организации рабочих мест тонких клиентов, которые могли решить множество проблем:

  • вирусы;
  • локальное использование компьютеров не по назначению;
  • постоянные перенастройки локальных программ;
  • несанкционированный внос/вынос данных с рабочего места;
  • установка легальных программных средств на каждом рабочем месте (локальные лицензии на тонкие клиенты);
  • готовность к использованию «из коробки»;
  • дистанционный контроль и настройки рабочего места;
  • унификация рабочего места;
  • эргономика рабочего пространства пользователей;
  • снижение уровня шума и энергопотребления.

После анализа представленных на рынке тонких клиентов и пассивных сетевых компьютеров было решено использовать продукцию компании «ТОНК» (http://www.tonk.ru) по следующим причинам: широкий выбор как ОС (MS Windows Compact, MS Windows Standard, LinuxEmbedded), так и платформ, вплоть до производительности «продвинутых неттопов» при форм-факторе компактного терминала.

Все эти факторы при примерно одинаковой цене на аналогичные, но менее производительные продукты других вендоров склонили чашу весов в пользу ТОНКих.

В линейке производителя были выбраны модели:

  • ТОНК 1207 (AMD Geode LX800 с предустановленной MS WinCE6) – для большинства рабочих мест;
  • ТОНК 1411 (Intel Dothan 1 ГГц c предустановленной MS WinXPe) – для рабочих мест, где стояли МФУ и сканеры;
  • ТОНК 1611 (Intel Atom N270 1,6 ГГц c предустановленной MS WinXPe) – для замены рабочих ноутбуков.

Быстрее всего процесс установки прошел для 43 самых маленьких терминалов ТОНК 1207 – их все подключили за день.

Выяснилась особенность – нет возможности скопировать файл на все тонкие клиенты с настройками подключений. Однако имеется встроенный VNC-сервер, благодаря которому бегать после подключения к каждому ТОНКу уже не приходилось.

На рис. 1 предcтавлен снимок экрана ТОНК 1207 с MS WinCE6. Запуск VNC-сервера обеспечивается в приложении Others, сами настройки VNC-сервера легко изменяются через утилиту, доступную в Control Panel тонкого клиента.

Рисунок 1. Снимок экрана тонкого клиента ТОНК 1207 (AMD Geode LX800 с предустановленной MS WinCE6)

Рисунок 1. Снимок экрана тонкого клиента ТОНК 1207 (AMD Geode LX800 с предустановленной MS WinCE6)

С тремя терминалами на Дотане (ТОНК 1411) и семью моноблоками в 19-тидюймовых ЖК на Атоме (ТОНК 1611) пришлось повозиться подольше – там все, как и с обычной Windows XP. Пришлось установить драйверы МФУ и крипто-систем банк-клиентов. В процессе настроек явственно ощущалась полезность функции Enhanced Write Filter (расширенного фильтра на запись).

Работает она очень просто: установив все необходимое программное обеспечение и настроив терминал, необходимо запустить команду ewfmgr c: -commit для сохранения настроек, в противном случае все останется таким, какми было на момент включения.

Иными словами, все изменения за время сеанса работы с момента включения (например, сохраненный портабельный софт и испорченные настройки программ) отменятся, все вернется к исходному настроенному состоянию! Замечательная защита от «дурака».

Можно работать не с командной строкой, а через приложение Disk manager, доступное из панели управления системы, – так, как это показано на рис. 2.

Рисунок 2. Снимок экрана тонкого клиента ТОНК 1411 (Intel Dothan 1 ГГц c предустановленной MS WinXPe)

Рисунок 2. Снимок экрана тонкого клиента ТОНК 1411 (Intel Dothan 1 ГГц c предустановленной MS WinXPe)

Отдельно скажем про трех кладовщиков. Там тоже установили модели с MS Windows Compact, причем подключение осуществлялось по VPN – благо имеется встроенный клиент PPTP. Для раздачи Интернета использовался недорогой роутер, в котором был задан единственный маршрут – к IP-адресу главного офиса. Это избавило кладовщиков от ненужного им Интернета, оставив их наедине с работой. Сканеры штрих-кода пришлось заменить на включаемые в разрыв клавиатуры, т.к. те, что были с USB-интерфейсом, отказались работать с WinCE6, а ставить более дорогие терминалы с MS Windows Standard на склад не хотелось.

Полученный результат полностью оправдал ожидания. Весь рабочий документооборот стал проходить только в терминальных сессиях, возможности «растащить» информацию с серверов исчезли – на ТОНК с MS WinCE6 ее нельзя использовать, а на моделях тонких клиентов с MS Windows Standard она не сохраняется локально после перезагрузки. Эпидемии вирусов стали невозможны, а контроль оставшихся трех ноутбуков уже не доставлял никаких проблем. Возможности встроенных браузеров Интернета не позволяли использовать интерактивные онлайн-сервисы, что заставило менеджеров не отвлекаться от работы, а также снизило потребление интернет-трафика.

К тому же у всех расчистилось жизненное пространство под ногами и на столах. Отдельно порадовала тишина – действительно, никаких движущихся частей в терминалах нет, как и было заявлено производителем.

***

Наша цель была достигнута. Избавив рабочие места от присущих им «болячек», мы подняли безопасность сети на качественно иной уровень. Руководство было удовлетворено, системный администратор, поняв, что ему осталось лишь лелеять серверы и уделять внимание только «директорским» ноутбукам, с удовольствием принял работу. Правда, ворчал персонал на существенное ограничение «свобод», но что поделать, всем не угодишь.

* На правах рекламы


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru