Поиск

www.samag.ru

Web

0 товаров , сумма 0 руб.

	Журнал "Системный администратор"
	Журнал «БИТ»
	Подписка
	Архив номеров
	Где купить
	Наука и технологии
	Авторам
	Рекламодателям
	Контакты

Опросы

Статьи

Дата-центры

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

Событие

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

Организация бесперебойной работы

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

Книжная полка

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

СУБД PostgreSQL

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

Критическая инфраструктура

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

Архитектура ПО

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

Как хорошо вы это знаете

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

Графические редакторы

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

День сисадмина

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

День сисадмина

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

Виртуализация

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

Книжная полка

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

Книжная полка

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

1001 и 1 книга

19.03.2018г.

Комментарии: 0

Машинное обучение с использованием библиотеки Н2О

12.03.2018г.

Комментарии: 0

Особенности киберпреступлений в России: инструменты нападения и защита информации

12.03.2018г.

Комментарии: 0

Глубокое обучение с точки зрения практика

12.03.2018г.

Комментарии: 0

Изучаем pandas

12.03.2018г.

Комментарии: 0

Программирование на языке Rust (Цветное издание)

19.12.2017г.

Комментарии: 0

Глубокое обучение

19.12.2017г.

Комментарии: 0

Анализ социальных медиа на Python

19.12.2017г.

Комментарии: 0

Основы блокчейна

19.12.2017г.

Комментарии: 0

Java 9. Полный обзор нововведений

16.02.2017г.

Комментарии: 0

Опоздавших не бывает, или книга о стеке

17.05.2016г.

Комментарии: 0

Теория вычислений для программистов

30.03.2015г.

Комментарии: 0

От математики к обобщенному программированию

18.02.2014г.

Комментарии: 0

Рецензия на книгу «Читаем Тьюринга»

13.02.2014г.

Комментарии: 0

Читайте, размышляйте, действуйте

12.02.2014г.

Комментарии: 0

Рисуем наши мысли

10.02.2014г.

Комментарии: 3

Страна в цифрах

18.12.2013г.

Комментарии: 0

Большие данные меняют нашу жизнь

18.12.2013г.

Комментарии: 0

Компьютерные технологии – корень зла для точки роста

04.12.2013г.

Комментарии: 0

Паутина в облаках

03.12.2013г.

Комментарии: 0

Рецензия на книгу «MongoDB в действии»

02.12.2013г.

Комментарии: 0

Не думай о минутах свысока

Друзья сайта

Защита от «дурака». Тонкие клиенты для построения безопасных сетей

Архив номеров / 2010 / Выпуск №2 (2) / Защита от «дурака». Тонкие клиенты для построения безопасных сетей

Рубрика: Безопасность / Безопасное «Железо»

ЭРИК ПАЛВАНОВ, генеральный директор ООО «Удаленные системы» (http://www.remotesystems.ru). Профессиональные интересы: построение безопасной и надежной ИТ-инфраструктуры для современного бизнеса

Защита от «дурака»
Тонкие клиенты для построения безопасных сетей^*

Как построить безопасную сеть? Ответить на этот вопрос можно, соблюдая системный и последовательный подход. Построить полностью безопасную сеть нельзя – можно лишь снизить риски по различным направлениям потенциальных угроз

В этой статье я расскажу вам о защите пользовательских рабочих мест – казалось бы, незатейливой, однако самой значительной части любой информационной корпоративной сети.

Исходные данные

Заказчик – оптово-розничная сеть продажи станочного инструмента. Заказчик имеет в своем активе:

1 шлюзовой интернет-сервер и контроллер Active Directory;
1 терминальный сервер для работы с бухгалтерией;
1 терминальный сервер для работы с офисными документами, электронной почтой и CRM;
примерно 50 постоянных пользователей;
примерно 10 со «своими» ноутбуками;
3 удаленных рабочих места (склад).

Задача

Максимально снизить риски инсайдерских повреждений/взломов и вирусных опасностей при повседневной работе персонала компании.

После рекогносцировки на местности заказчика делаем неутешительный вывод, что ситуация, как обычно, стандартная: достаточно грамотный администратор, построив единожды хорошую сетевую инфраструктуру, со временем потерял контроль над ситуацией из-за того, что руководство загрузило его смежными задачами. Руководство в условиях кризиса, естественно, старалось сэкономить на всем на чем можно.

В результате информация пользователей в компании размазалась вместо общего сетевого ресурса и перемещаемых/перенаправленных профилей по локальным компьютерам. Часть баз открывалась с компьютеров бухгалтеров, резервные копии не охватывали полностью всей наработанной пользователями информации.

Ко всему прочему, как и везде, персонал норовил при отсутствии постоянного контроля тратить время на всяческие онлайн-сервисы вроде социальных сетей, флеш-игр и портабельных программ для развлечений.

Само собой разумеется, что все это было хорошо приправлено периодическими эпидемиями вирусов.

После очередного увольнения менеджера произошла утечка коммерческой информации, и терпение руководства кончилось – было решило обратиться в стороннюю организацию. А именно – к нам.

Реализация

Поскольку серверная часть была отстроена хорошо, а проблемы связаны со сложностью контроля рабочих мест, было решено использовать в организации рабочих мест тонких клиентов, которые могли решить множество проблем:

вирусы;
локальное использование компьютеров не по назначению;
постоянные перенастройки локальных программ;
несанкционированный внос/вынос данных с рабочего места;
установка легальных программных средств на каждом рабочем месте (локальные лицензии на тонкие клиенты);
готовность к использованию «из коробки»;
дистанционный контроль и настройки рабочего места;
унификация рабочего места;
эргономика рабочего пространства пользователей;
снижение уровня шума и энергопотребления.

После анализа представленных на рынке тонких клиентов и пассивных сетевых компьютеров было решено использовать продукцию компании «ТОНК» (http://www.tonk.ru) по следующим причинам: широкий выбор как ОС (MS Windows Compact, MS Windows Standard, LinuxEmbedded), так и платформ, вплоть до производительности «продвинутых неттопов» при форм-факторе компактного терминала.

Все эти факторы при примерно одинаковой цене на аналогичные, но менее производительные продукты других вендоров склонили чашу весов в пользу ТОНКих.

В линейке производителя были выбраны модели:

ТОНК 1207 (AMD Geode LX800 с предустановленной MS WinCE6) – для большинства рабочих мест;
ТОНК 1411 (Intel Dothan 1 ГГц c предустановленной MS WinXPe) – для рабочих мест, где стояли МФУ и сканеры;
ТОНК 1611 (Intel Atom N270 1,6 ГГц c предустановленной MS WinXPe) – для замены рабочих ноутбуков.

Быстрее всего процесс установки прошел для 43 самых маленьких терминалов ТОНК 1207 – их все подключили за день.

Выяснилась особенность – нет возможности скопировать файл на все тонкие клиенты с настройками подключений. Однако имеется встроенный VNC-сервер, благодаря которому бегать после подключения к каждому ТОНКу уже не приходилось.

На рис. 1 предcтавлен снимок экрана ТОНК 1207 с MS WinCE6. Запуск VNC-сервера обеспечивается в приложении Others, сами настройки VNC-сервера легко изменяются через утилиту, доступную в Control Panel тонкого клиента.

Рисунок 1. Снимок экрана тонкого клиента ТОНК 1207 (AMD Geode LX800 с предустановленной MS WinCE6)

С тремя терминалами на Дотане (ТОНК 1411) и семью моноблоками в 19-тидюймовых ЖК на Атоме (ТОНК 1611) пришлось повозиться подольше – там все, как и с обычной Windows XP. Пришлось установить драйверы МФУ и крипто-систем банк-клиентов. В процессе настроек явственно ощущалась полезность функции Enhanced Write Filter (расширенного фильтра на запись).

Работает она очень просто: установив все необходимое программное обеспечение и настроив терминал, необходимо запустить команду ewfmgr c: -commit для сохранения настроек, в противном случае все останется таким, какми было на момент включения.

Иными словами, все изменения за время сеанса работы с момента включения (например, сохраненный портабельный софт и испорченные настройки программ) отменятся, все вернется к исходному настроенному состоянию! Замечательная защита от «дурака».

Можно работать не с командной строкой, а через приложение Disk manager, доступное из панели управления системы, – так, как это показано на рис. 2.

Рисунок 2. Снимок экрана тонкого клиента ТОНК 1411 (Intel Dothan 1 ГГц c предустановленной MS WinXPe)

Отдельно скажем про трех кладовщиков. Там тоже установили модели с MS Windows Compact, причем подключение осуществлялось по VPN – благо имеется встроенный клиент PPTP. Для раздачи Интернета использовался недорогой роутер, в котором был задан единственный маршрут – к IP-адресу главного офиса. Это избавило кладовщиков от ненужного им Интернета, оставив их наедине с работой. Сканеры штрих-кода пришлось заменить на включаемые в разрыв клавиатуры, т.к. те, что были с USB-интерфейсом, отказались работать с WinCE6, а ставить более дорогие терминалы с MS Windows Standard на склад не хотелось.

Полученный результат полностью оправдал ожидания. Весь рабочий документооборот стал проходить только в терминальных сессиях, возможности «растащить» информацию с серверов исчезли – на ТОНК с MS WinCE6 ее нельзя использовать, а на моделях тонких клиентов с MS Windows Standard она не сохраняется локально после перезагрузки. Эпидемии вирусов стали невозможны, а контроль оставшихся трех ноутбуков уже не доставлял никаких проблем. Возможности встроенных браузеров Интернета не позволяли использовать интерактивные онлайн-сервисы, что заставило менеджеров не отвлекаться от работы, а также снизило потребление интернет-трафика.

К тому же у всех расчистилось жизненное пространство под ногами и на столах. Отдельно порадовала тишина – действительно, никаких движущихся частей в терминалах нет, как и было заявлено производителем.

***

Наша цель была достигнута. Избавив рабочие места от присущих им «болячек», мы подняли безопасность сети на качественно иной уровень. Руководство было удовлетворено, системный администратор, поняв, что ему осталось лишь лелеять серверы и уделять внимание только «директорским» ноутбукам, с удовольствием принял работу. Правда, ворчал персонал на существенное ограничение «свобод», но что поделать, всем не угодишь.

* На правах рекламы

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

Tel.: (499) 277-12-45
E-mail: sa@samag.ru