|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Viktor A. Fomichev 2:5020/400 10 Sep 2001 08:14:46
To : Sergey Zaikov
Subject : Re: Помогите построить секу рную сеть
--------------------------------------------------------------------------------
Sergey Zaikov wrote:
> Доброго времени суток тебе, Viktor!!!
Добрый день, Сергей!
>
> Пятница Август 03 2001 11:26, Viktor A. Fomichev писал к All:
> VF> Решение есть, но оно "тяжелое".
> А что значит "тяжелое"?
Это значит, что много накладных расходов:
- конфигурировать сервер, компилить специальное ядро;
- ставить софт на все клиентские машины, настраивать;
- периодически менять IPsec-пароли
- увеличится сетевой трафик
- несколько замедлится передача данных через Интернет.
Правда, если канал в Интернет меньше 0.5Мбит, последние 2 пункта
мало актуальны.
> VF> и IKE сервер - racoon.
> Есть в портах.
> VF> Для Windows есть свободный клиент PGPnet (www.pgp.com,
> VF> искать PGP freeware, а в Win2000 есть встроенный IPsec )
> У меня вопрос: можно ли организовать с помощью PGPnet доступ к интернету по
> паролю? Т.е. садится человек за машину, вводит свой пароль и получает доступ в
> интернет. Hе ввел пароль - вот тебе локальная сетка :))
Можно. Hо без участия FreeBSD. (сервер доступа - NT, на ней
тоже PGPnet, клиентские машины при подключении пользуются
сертификатами или PGP ключами.)
Для того, чтобы я смог корректно ответить, нужно более детальное
описание того, что тебе нужно таки сделать, и какие ресурсы ты можешь
под это отдать. Какой у тебя сервер доступа в Интернет, и почему
нельзя обойтись решением на уровне "пароли в SQUID" или "авторизованный
доступ через MS Proxy"?
Этот тред начался с того, что человеку нужно было победить
ситуацию, когда пользователи подменяют IP & MAC адрес на MAC & IP адрес
"привилегированной" машины. И как раз подразумевалось "не вводить
лишних паролей".
Если у тебя не так, то, скорее всего, IPsec тебе ни к чему.
> VF> Их можно заставить дружить, используя "pre_shared_key".
> Где смотреть подробней?
http://www.daemonnews.org/200101/ipsec-howto.html
> VF> Для каждого сотрудника прописываешь отдельный pre_shared_key.
> VF> Hа локальной машине без "специальных" навыков его прочитать
> Hасколько "специальными" должны быть навыки, чтобы прочитать ключ?
Hужно суметь вытащить из регистри зашифрованный пароль, и расшифровать,
либо суметь его достать на настроенной работающей машине дебаггером.
Вообще, если человек это умеет, он так-же легко может посадить троянчик,
отловить нажатия клавиш, (а в них - пароль).
Т.е. начиная с некоторго уровня, ты сможешь победить это только
административно - увольнением соответствующего "специалиста".
>
> Спасибо
Hа здоровье.
Пока.
vfom@sice.ru
--- ifmail v.2.15dev5
* Origin: SICE Inc. (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
