Dotaz: Potrestat nebo nepotrestat ?

Ahoj, předem se omlouvám za z větší části OT dotaz, ale abych tak řekl - může se to stát i Vám. Jsme již větší firma (> 300 PC zde v hlavní lokalitě ) a máme tu problém s lidma, kteří si donášejí vlastní PC a zapojují je do sítě. Přestože máme napatchovány jen ty zásuvky po kancelářich kde jsou zapojena pracovní PC, někteří nelení a donesený komp zapojují místo svého pracovního. Nejen, že hrozí že donesou nejaký virus apd. ale ještě "importují" do firmy svoje soukromé kompy s ilegálním sw (a pochopitelně si aktualizují kradená Windows a Office ). Teď se nám tu dokonce objevil člověk který si donesl PC, na kterém mimo kradené Windows je i více linuxových distribucí, v nichž ( v té nejpoužívanější) bylo letmým nahlédnutím spatřeno např. nessus,nmap,dsniff a řada dalších "nástrojů na testování bezpečnosti sítě" .

Také máte podobné problémy ? Jak to řešíte ? Upozorňuju předem, že domluvy zcela evidentně nefungují a ty lidi si prostě z domluvy per huba nic nedělají - jsou abych tak řekl, jako naši politici, splachovací. Doteď jsem byl zastánce svobody a nijak jsem nikoho nechtěl nejak významně omezovat, ale tenhle typ lidí mě krká a asi bude prostě potřeba ukázat temnou stranu síly ( např. onoho nebohého linuxového nadšence exemplárně sejmout ( byl to již 3 prohřešek) ). Je nás tu málo (na správu 18 serverů,sítě,firewallu, vpn sítí do poboček 2 lidi ) a prostě není čas ani chuť abysme se obden zabývali věcma který někdo vyvede jen tak pro zábavu nebo z neznalosti. (nehledě na sniffování hesel kterýžto je nebezpečný už z principu ... ) Ať si ty lidi hrajou jak chtějí, ale doma. ( Řešíte podobné situace ? Nějaké rady, nápady, zkušenosti ?

Nevím jestli je to pro vás schůdné řešení, ale co zkusit povolit jen určité MAC síťovek v těch pracovních stanicích, co tam patří? Dost ale záleží na topologii vaší sítě. Klidně si pak kompr přinést může, ale na internet se nedostane (a scan vnitřní sítě řeště vyhozením . Btw: opravdu scanuje? Prakticky v kterékoliv distribuci je nmap a spousta snifferů.

MAC filtr?

Jestliže zaměstancům lépe vyhovuje vlastní počítač než ten firemní, tak bych jim to nezakazoval. Co má kdo na svém počítači nainstalované, je jeho soukromá věc (pokud je to legální soft).

Ale jestliže někdo škodí ostatním, je to něco úplně jiného!

V každém případě by bylo dobré nepoužívat plain-text hesla.

Diky všem za reakce. MAC filter to skutečně neřeší. Aplikujem směrnici ředitele, která toto řeší. Doteď bohužel nebyla vůle jí prosazovat, což se teď doufám změní.

Podle mne si administrator musi "hrát na boha" - tzn. ze jeho slovo je svate. Ja napriklad mam ve firme na starost pres 50 Win klientu + dalsi Linux klienty a 5 serveru. Pro uzivatele je tabu nainstalovat libovolny program. Je tabu strcit do PC libovolne CD. Vybrani jedinci si nesmi ani zmenit obrazek na plose, nebo sporic obrazovky. Internet maji nasi uzivatele docela volny - samozdrejme ne aby cumeli na nej v pracovni dobe. S Windowsy nemam sebemensi problem - vse funguje tak jak ma. Celkem pocitacum a sprave venuji max. 2 hodiny tydne - a funguje to.

Me zasady - noveho pracovnika proskolit - dojebat ho co to da a vse mu zakazat - az se urazi - za nejaky cas, az vam odpusti vase jebani, tak ho dojebat znova - preventivne. Musi mit pocit ze vite o kazdem jeho klepnuti do klavesnice.

Je to blbe, ale je to tak - bud ma firma bude zamestnavat administratora na plny uvazek, nebo si hraju "na boha" a venuji pocitacum ty 2 hodiny tydne - staci si vybrat co je pro firmu prednejsi.

Hoj, me napadla jedna finta, ale nevim jestli je to prakticky proveditelne, tak me nekamenujete v pripade ze je to hovadina.... Co takhle MAC filter + ping? Kazdej pocitac v siti by moh pravidelne pingovat nejaky pro to urceny stroj, ktery by vedel ze v cas ten a ten ma dostat nejakej ping od od ostatnich pocitacu. O kazdem konto pingu by si udelal treba zaznam do logu. Pokud by nejaky ping neprisel, opingoval (nebo by se dala pouzit nejaka sofistikovanejsi metoda, jako port scanner, kterej dokaze aspon castecne obejit firewall - jediny co potrebujem vedet je, jestli je pocitac aktivni, nebo ne) by ten pocitac, ktery se vcas neohlasil. V pripade, ze by pocitac neodpovedel, vypovidalo by to o jeho necinosti, coz je spise v poradku. Ale v pripade, ze je pocitac aktivni ale nehlasi se sam od sebe, je jasne, ze se jedna se o onejake neaautorizovane pripojeni do site. V pripade ze zamestnanec si nezmeni svou mac, tak se do site nedostane a v pripade ze ji zmeni bude snadno odhalen. No snad je to aspon trochu pochopitelne a snad to i muze nejak fungovst (to fakt netusim ale nevidim nic co by tomu mohlo branit... ale ze nevidim muze taky znamenat, ze dostatek znalosti ).
Cheers...
ps: jinak urcite takove samovolne jednani trestat, ale za urcitych podminek treba i povolit (po domluve s vedenim a adminem)
pss: zajimalo by me jak ses dozvedel ze ma onen zamestnanec na svem kompu nainstalovane ony sitove utility??

Jedna se o Windows nebo linux klienty (nikde to nevidim), je to domena nebo workgrupa?

MAC adresa se nezda resenim, ale kdyz by se na firemnich pocitacich zakazala instalace jakykoliv programu, odstranily mechaniky(kdyby nejaky stoura chtel nasledujici zarizeni odstranit) a prihlasovani do site by se autorizovalo pomoci hardware (treba md5sum serioveho cisla disku a neceho jineho) tak by to mohlo jit.

Proste hned po bootu by si server pozadal o autorizaci, firemmni pocitac by spocital md5sum treba z disku a sitovky(aby nebylo tak snadne zjistit z ceho se pocita) a odeslal ho na server. Pokud by odeslal spatny, nebo by neodeslal zadny, tak by bloknul sit. Nebo mozna lip neblokl, ale odeslal sefovi mail, ze ten a ten dela neco, co nema a at ho de zjebat.

OT: máme taky nějaká pravidla v práci, dovolil jsem si občas přinést noťas, připojit ho na adslko a surfovat. Nic víc, nic míň. Nějaký P-III se 128MB RAM jsou pro úřednickou práci ve woknech docela únavný. Tj. snažim se chovat tak, aby toto mé chování mohlo mít dlouhé trvání. Cizí konta mne nezajímaj a tolik času na to taky nemam, ale je to pohodlné.

Nesnažil bych se to řešit na nejnižší úrovni (MAC), ale právě naopak. Možná je to nesmysl, ale představte si toto:

- na každém klientu poběží nějaký démon/služba, která pomocí nějakého challenge-response mechanismu (něco jednoduchého) se bude schopna na dotaz (DHCP serveru) autorizovat. dejme tomu, že vrátí nějaké svoje ID, které bude spočítáné třeba z ID systému nebo tak něco. server bude mít seznam IP adres a seznam ID autorzivaných počítačů samozřejmě. to tam nabuší admin

- DHCP server bude rozdávat IP adresy a na serveru (Linux) poběží skript (třeba v Perlu), který bude postupně každou hodinu (nebo častěji) klienty autorizovat. který počítač nevrátí korektní odezvu, ten bude na firewallu odblokován na www stránku s kontaktem na admina. tímto by se mohlo zabránit ukradnutí leasnuté IP adresy (se domnívám

- 99 % vykuků bude bezradných, případný schopnější vykuk bude muset daemona cracknout, tj. zjistit, z čeho generuje ID. když se použije víc faktorů (MAC adresa, nějaké soubory v systému, registr woken, aktuální datum), tak to bude docela oříšek. možná se rozmyslí, jestli není lepší zajít do i-kavárny. no a odposlouchat komunikaci snadno taky nepůjde, sic bude použit ten CR mechanismus...

Třeba je to úplná blbost, a možná už něco podobného funguje. Názory?

Koukám, že jdu s křížkem po funuse, ale stejně si rýpnu...

Myslím, že pokud je personální obsazení správné, neměl bys vůbec potřebovat vnitřní zabezpečení. Pokud jsou ve firmě lidé, kterým nemůžeš věřit, je třeba to řešit s nimi, ne přes elektroniku. Čím víc technických omezení budeš dělat, tím víc to bude štvát ty slušné, kromě toho si budou připadat jako trestanci.

Ad neposlušný zaměstnanec - umístit ho vedle šéfa je podle mého názoru zbytečné prodlužování agónie. Nadřízený bude mít vztek, že funguje jako bachař, zaměstnanec bude naštvaný, že se s ním jedná jako se zločincem (ano, můžeš argumentovat, že si to zavinil sám, ale každý člověk má svou hrdost a ta to nesnese). To už ho radši vyhoď rovnou, je to férovější než ho takhle trápit.