Как защитить сетку от программ удалённого доступа?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Как защитить сетку от программ удалённого доступа? - 2011-06-09 10:49:32.443333
|
|
|
Питонио
Сообщений: 7
Оценки: 0
Присоединился: 2011-06-09 10:38:11.166666
|
Доброго дня уважаемые.
Имеется сетка из 10+ компов.
Недавно приходили товарищи ставить 1С, и через неделю, когда появилась проблема, сказали "не парьтесь, ща по удалённому доступу всё вам сделаем"
Руководство сказало WTF!?! и удивилось, какого хрена товарищи поставили без нашего ведома программы удалённого доступа к компу?!
В общем, я нагружен вопросом ограничения удалённых доступов.
Машины на Win XP / Win7
Соответственно, прошу подсказать мне некоторые вопросы:
1. Я так понимаю, что все проги удалённого доступа можно условно разделить на два типа - те, которые используют собственный клиент, и те, которые используют стандартный виндусовый удаленный доступ. Это правильно?
2. Мой мозг взрывается, когда я читаю на сайте ammyy.com/ru/ фразу "Не требует установки и прав администратора!" - это вообще как может быть?
3. Существуют ли программки, который позволяют просканировать компы на предмет установленных клиентских приложений от программ удалённого доступа? (я понимаю, что программ может быть море, но всё же, хотелось бы компы проверить)
4. Можно ли выделить и сгруппировать, по каким протоколам/портам работают программы удалённого доступа? Если это вообще возможно, я бы просто на фаерволе роутера нахрен закрыл бы диапазон портов, и не парился бы больше.
5. Что ещё рекомендуете сделать в плане усиления защиты от удалённого доступа к компам?
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 11:00:40.140000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
1. Да верно
2. Да возможно, но тогда права у того кто зашел будут соотвествующие. Это как бы и есть главная задача которую вам надо реализовать. Опишу ниже.
3. Называются они фаервол.
4. Если это виндовый до 3389, если собственный клиент, то любой порт.
5. Опишу ниже.
Отказываться от помощи офф поддержки 1С я бы не рекомендовал.
Что вам надо сделать:
1) Создать на каждом компе ограниченную учетку с правами доступа только к КОНФИГАМ 1С.
2) Поставить фаервол на сервак как минимум. На каждую машину не обязательно.
опять же реализация каждого пункта зависит от топологии сети, от настроек 1С и предпочтений начальства.
Хотите обломать всех? Ставьте керио и шлите внешние конекты нафиг. Следите за внутренними конектами наружу.
Я не думаю что они юзают своего клиента ,поэтому достаточно проверить выключена ли служба удаленного доступа. Запоролить все учетки.
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 11:04:22.613333
|
|
|
Питонио
Сообщений: 7
Оценки: 0
Присоединился: 2011-06-09 10:38:11.166666
|
простите, но фаервол никак нельзя назвать программной сканирование компа.
я имел в виду программу, которой можно просканировать комп, типа AVZ, на предмет "шпионского ПО"
по второму вопросу ответ не понял.
а для собственного клиента можно определить диапазон портов ?
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 11:19:43.206666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
AVZ и прочие программы настроенные на вредоносный КОД не найдут легальные программы типа VNC. Антивирусы могут обнаружить странную активность, но они не смогут её объяснить нормально, да и накладно это. Фаерволу же пофигу на код программы, ему важно что и куда ломится, а значит в случае активных действий он сразу отсигнализирует.
Во ответе на второй вопрос я говорил что если вы настроите учетку пользователя работающего за компом, таким образом что он сможет изменять только конфиг базы, то при удаленном подключении только это и будет доступно подключившемуся.
Нет для собственного клиента нельзя определить диапазон.
Кроме того практически все легальные программы управления палевны по движению мыши. Остальное ПО причисляется к вредоносному.
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 11:43:35.160000
|
|
|
Питонио
Сообщений: 7
Оценки: 0
Присоединился: 2011-06-09 10:38:11.166666
|
Простите, опять же не понимаю, как мне фаервол поможет, от ЛЕГАЛЬНО установленных программ (установленных легально, но без ведома руководства)
У мну есть статистика на фаерволе роутера, кто, куда, по какому порту и какому протоколу ломился. Но как я вычленю активность удалённого доступа, если пользователь не жалуется, а порта программы удаленного доступа я не знаю !?
P.S. кстати, не могу найти VNC (Virtual Network Computing) - их сайт похоже не доступен
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 11:51:27.370000
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
Да что вообще за проблема. Тут 2 варианта: трояны с функционалом удаленного управления и легальные проги.
Трояны вычистишь антивирусом ( если есть), но я не думаю что 1С-ники вам подкинули троянов.
Обычные проги чтобы работать должны быть в автозагрузке. причем они используют совершенно обычную (HKLM(HKCU)/…/run и т.д.) и легко находяться авторунс или другими прогами. А также обычно висят в трее.
Стандартный RDP легко отключаеться.
quote:
диапазон портов
да такой есть 1-65535
________________________________________
А вообще странно как-то. У вас админов что-ли совсем никаких нет?
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 11:58:45.090000
|
|
|
Питонио
Сообщений: 7
Оценки: 0
Присоединился: 2011-06-09 10:38:11.166666
|
quote:
Трояны вычистишь антивирусом ( если есть), но я не думаю что 1С-ники вам подкинули троянов.
Обычные проги чтобы работать должны быть в автозагрузке. причем они используют совершенно обычную (HKLM(HKCU)/…/run и т.д.) и легко находяться авторунс или другими прогами. А также обычно висят в трее.
Стандартный RDP легко отключаеться.
смотреть автозагрузку на предмет незнакомых программ тяжеловато будет.
quote:
да такой есть 1-65535
Му-ха-ха-ха ! Смишно )))
quote:
А вообще странно как-то. У вас админов что-ли совсем никаких нет?
На десять компов нерентабельно получается, по мнению руководства
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 12:07:24.643333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Может не стоит выдумывать велосипед. Позвоните в техподдержку и откажитесь от услуги "удаленный доступ".
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 12:09:04.806666
|
|
|
Питонио
Сообщений: 7
Оценки: 0
Присоединился: 2011-06-09 10:38:11.166666
|
quote:
ORIGINAL: Flint_ta
Может не стоит выдумывать велосипед. Позвоните в техподдержку и откажитесь от услуги "удаленный доступ".
Ха! проблема не в доступе конкретных 1С-ников
проблема в том, что руководство сказало "проверить безопасность по всем компам с точки зрения наличия удалённого доступа"
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 12:13:22.976666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
quote:
"проверить безопасность по всем компам с точки зрения наличия удалённого доступа"
Я чего-то недопонимаю, вам уже сказали, что удаленный доступ есть. Зачем еще раз в этом убеждаться? А раз вам необходимо узнать как он реализован обратитесь в техподдержку.
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 12:18:57.900000
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
quote:
На десять компов нерентабельно получается, по мнению руководства
Есть админы по вызову.
Ваша квалификация не позволяет делать какие-то проверки. Как вы можете проверить если не понимаете что проверяете?
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 12:28:15.450000
|
|
|
Питонио
Сообщений: 7
Оценки: 0
Присоединился: 2011-06-09 10:38:11.166666
|
quote:
Я чего-то недопонимаю, вам уже сказали, что удаленный доступ есть. Зачем еще раз в этом убеждаться? А раз вам необходимо узнать как он реализован обратитесь в техподдержку.
Руководство желает проверить все компы. Мало ли, ещё чего-то есть (
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 12:30:14.880000
|
|
|
Питонио
Сообщений: 7
Оценки: 0
Присоединился: 2011-06-09 10:38:11.166666
|
quote:
Есть админы по вызову.
Ваша квалификация не позволяет делать какие-то проверки. Как вы можете проверить если не понимаете что проверяете?
Пожалуйста, не пишите ничего в мой топик, если не можете сказать по делу.
У меня нет иллюзий по поводу моей низкой квалификации.
Но сюда пришёл не за тем, что бы выслушивать это, а за советом, и что бы научиться.
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 12:32:37.556666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Ну так проверяйте все подозрительные процессы на всех компах. Смотрите какие подозрительные процессы прослушивают порты (ожидают подключения) - потенциальный удаленный доступ.
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 12:38:45.150000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
значит ставьте фаер на все компы. Фаер покажет сайт и ip и протокол что куда ломится. Неужели вы не отличите mail.ru от незнакомого pool.94.54.65.44.supersite.ru
Вконце концов есть сниферы. Начальство все равно не поймет есть ли он этот доступ или нет. Вам уже перечислили все варианты поймать в случае его активности. Сервер же не только порт показывает. А если у вас на серваке такой гавенный фаер, то выбросите его в ближайшее ведро.
У меня даже дома хоть и через жопу на стандартном wifi маршрутизаторе можно узнать что и куда.
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 12:44:35.543333
|
|
|
vcat
Сообщений: 8
Оценки: 0
Присоединился: 2011-06-07 11:31:37.570000
|
Как правило удаленный доступ происходит по паролю. Установив сниффер (Cain) и мониторя пароли (все) можно вычислить доступ из вне и определить с какого и на какой IP (порт) происхордит обращение. (можно спровоцировать доступ - попросить об исправлении чего то там заранее) Зная порт на локальном РС в режиме cmd выполнить команду netstat -a -b и узнать какая программа открывает данный порт для доступа. Удалив автозагрузку - решим проблему, если конечно нет миграции приложения в системные процессы.
Вместо Cain можно попробовать консольный сниффер [www . depositfiles . com / files/1smwmp69b] с фильтром по локальному IP и протоколу TCP - результат тот же - какой порт сквозит …
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 18:34:12.250000
|
|
|
Hulio
Сообщений: 89
Оценки: 0
Присоединился: 2011-04-03 16:00:09.076666
|
Скачиваете Kaspersky Virus Removant Tool, сканируете компьютеры
Cкачиваете Security Task Manager, запускаете, потом делаете скреншот, выкладываете сюда.
Набираете win+r, пишите msconfig, переходите во вкладку автозагрузка, делаете скриншот, выкладываете сюда.
Мы здесь разберёмся, раз сами не понимаете есть у вас вредоносное ПО, или нет.
После того как мы разберёмся меняете пароль на компьютерах. ВСЁ.
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-09 21:51:14.730000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Питонио
Цитирую:
"Руководство желает проверить все компы. Мало ли, ещё чего-то есть ("
А готово оно за это платить? Твоего уровня явно не хватает для выполнения данной работы. Это видно из твоих постов. Просканировать компы не так уж и сложно. Другое дело, что нужно разобраться что за инфа выдаётся спецпрогами. Тут ты явно в пролёте. И удалённо тебе никто не подскажет. Нужно за машиной сидеть, смотреть что у вас установлено, как работает, что можно и нужно пускать, что левое, что за процесс, откуда, куда лезет и т.д. Значит что? Нужен спец. Админ дорого? Ну тады наймите приходящего. Ах дорого? Ну тады не плачте, что у вас будут то проблемы с сеткой, то будут данные куда-то улетать, то комп медленно работать. Поверь, я знаю кучу фирм на 5-7 человек персонала, которые обслуживает приходящий админ, чаще всего удалённо. И стоит это не так уж и дорого. Даже за пару штук в месяц можно нанять. Или это дорого?
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-26 02:14:56.216666
|
|
|
Vanessa_Li
Сообщений: 4
Оценки: 0
Присоединился: 2011-06-26 00:55:41.740000
|
Мой уровень еще ниже, но защитить домашний комп и ноут хочется. Подскажите, что лучше поставить, чтобы и в настройке было не слишком сложным, и надежным.
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-06-26 09:58:33.566666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Не слишком сложно и при этом ещё надёжно… Хм.
Не слишком сложно - практически любой известный русскоязыческий файрволл. Из такой серии можно назвать Comodo ( http://personalfirewall.comodo.com/international/russian/download_firewall.html , при установке откажись от антивируса, там он не очень хорош, а вот файрволл неплох и к тому же бесплатен).
А вот надёжность… надёжность - это прежде всего мозги и знания пользователя.
Поясню проще.Пусть для примера файрволл работает с режиме "обучения" (назовём так этот режим), и он обнаруживает, что в инет ломиться программа. Его действия? Сообщить об этом пользователю и пусть он решает, что делать с данной прогой: запретить на одни раз, запретить навсегда, разрешить на данный момент, разрешить всегда ходить. И что делает тупой пользователь? Он даже не читая и не разбираясь давит "разрешить всегда и мне не напоминать". Оно вишь ему мешает своим напоминанием!
Вот и подумай, будет надёжность при таком уме и соображении?
Лучшая защита на своём домашнем компе - это ты! И обратно - самый страшный вирус на своём домашнем компе - это ты!
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-07-13 01:23:22.303333
|
|
|
Sl00p$
Сообщений: 17
Оценки: 0
Присоединился: 2011-07-13 00:53:23.580000
|
quote:
ORIGINAL: Питонио
quote:
ORIGINAL: Flint_ta
Может не стоит выдумывать велосипед. Позвоните в техподдержку и откажитесь от услуги "удаленный доступ".
Ха! проблема не в доступе конкретных 1С-ников
проблема в том, что руководство сказало "проверить безопасность по всем компам с точки зрения наличия удалённого доступа"
Ну в таком случае необходимо задуматься о "рентабельности", как Вы сказали сис. админа. Выявить порт программы-клиента "удаленного доступа" оч просто. Достаточно любого сканера портов… Лучшим вариантом будет XSpider. Он Вам и разжует, и в ротик положит. Заодно проверите и все остальные дыры…
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-07-13 01:45:08.460000
|
|
|
Alianna
Сообщений: 1922
Оценки: 356
Присоединился: 2010-03-02 11:27:12.343333
|
quote:
Лучшим вариантом будет XSpider.
Лол. Вы про nmap слышали?
|
|
|
|
|
RE: Как защитить сетку от программ удалённого доступа? - 2011-07-13 12:33:45.500000
|
|
|
Sl00p$
Сообщений: 17
Оценки: 0
Присоединился: 2011-07-13 00:53:23.580000
|
Ну как вариант[sm=1121523253_download.gif]Лишь бы понимал что делает и зачем….
|
|
|
|
|
|
