На предприятии есть обменник уже много лет.
Там храниться всякая информация и важная и не важная.
Тут недавно узнали, что кто-то из сотрудников сливает информацию о нашем предприятии не лево.
Причем сливает именно файлы из обменника.

Руководство поставило задачу такого характера:
1. Отслеживать кто и когда входил в обменник (локальный ip-адрес).
2. Какой файл открывал или копировал.
3. Программа для "слежения" должна быть простой, чтобы пользователь не заметил ее работы. Возможно выявим этого человека.

Что имеем:
Сеть 30 компьютеров. У большинства права Windows только "Пользователь". Обменник на линукс, на отдельной старой машине.

Даже не знаю, с какой стороны начать решать эту задачу.
Подскажите кто сталкивался.

(0) Главная задача сейчас не защита на будущее, а поиск человека сливающего информацию.

фтп?

(0) Это получается тебе надо на все компы ставить фиксатор на открытие файлов в шаре?

Виндовый аудит

(3) Вариантов пока не знаю.

(4) Любой windows или только серверный?
Включен по умолчанию или нужно включать?

(2) Свой фтп сервер поднять?
И там есть логирование?

(0) в гугуле "линукс самба фтп аудит"

(8) Спасибо погуглю.

Может есть варианты, типа Kerio только для локальной сети.

(7) Одно из условий(0): чтобы пользователь не заметил. Если ты будешь ходить и переводить всех на фтп и объяснять пользователям, как работать с этим, будет незаметно для них? Почти наверняка сливальщик перестанет пользоваться для этих целей шарой и найдет другой путь.

(10) Понятно. Да думаю это насторожит.

что-то я нифига не понимаю. У вас обменник на весь интернет вывален?

(12) Нет, кто-то из сотрудников из локалки копирует файлы.

Для примера.
На некоторое время главный бухгалтер выложила устав предприятия в обменник. Буквально на неделю.
И он оказался у посторонних лиц.

выложи несколько файлов, количество файлов = количеству пользователей. каждый пользователь имеет доступ только к своему файлу. осталось проконтролировать, чей файл всплывет у посторонних лиц

(15) Хороший вариант.
Но этот инцидент всплыл случайно.
Мы не узнаем о других передачах файлов скорее всего.

Узнали буквально о паре таких сливов. Но значит они идут регулярно.

(16) службу безопасности нужно привлечь, пусть спровоцируют как-нибудь :)

(6) Хз, Я не админ

(17) Фирма маленькая. Нет службы безопасности.

-У нас дыра в безопасности
-Ну хоть что то у нас в безопасности

изначально бредовая идея. Всплыл некий файл, по логам в него заходили 30 человек. Что дальше? уволить всех?

(0) Ну скопировал человек файл, и вы узнали об этом. Дальше что?

есть 1000 причин зачем понадобилось скопировать файл. Вы же так неуиноуных по увольняете, ни за что.

(0) ты как программист вообще такую програмку должен за пол дня сам наклепать XD

так скорее всего утекает через человека у которого доступ есть.
Как будете различать правомерно ли он файл открывал или с целью похитить?

(22) Если он один то утечка налицо, ну и потом - оперативная информация.
(14) Устав может быть у каждого учредителя и у налоговой.

(24) Хотябы сузить круг подозреваемых, а дальше терморектальный криптоанализ

Так то интересная идея я бы тоже у конкурентов базу бы с удовольствием посмотрел)

Понятно что каждый файл анализировать не будем.
Но вот если бы рядовой сотрудник скопировал устав к нему были бы вопросы.

+(27) Гонца заслать что ли, на работу устроиться к ним?

(19) Накой черт вы тогда нужны вообще... я думаю это соучредители мониторят директора через своих агентов. Дабы не проворовался.

(28) А нафига у рядового сотрудника доступ к уставу?

+(30) Традиционные вопросы - кому выгодно быстрее выведут вас на заказчика.

(31) Ну это ведь настраивать нужно

(31) Так видимо у них файлопомойка общая для всех...  Не удивлюсь что у них там корпоративы и прочая там валяются, обычное дело.

Короче, в первую очередь за слив нужно адимназапицундуинакуканить, а уже потом крота искать

(30) Учредитель он же и директор у нас.
(31) Я отвечал уже, бух. выложила на время.

(34) Фирма растет, понятно что и безопасность нужно подтягивать.
Раньше все на доверии было.
Я думаю это так во многих маленьких фирмах.

(36) Эта фраза не даёт ответа на мой вопрос.

В маленьких нищих фирмах обычно нет таких секретов, которые могут кого-нибудь заинтересовать

Копию Устав любой фирмы можно заказать в налоговой.

Сабж самодурство директора

+при заключении любого договора организации предъявляют копии учредительных документов. Проще говоря, всем с кем вы работаете вы отправляете Копию своего устава

(38) Размер фирмы не имеет значения.
(39) Мне поставили задачу, я должен ее решить по возможности.
(40) Устав для примера привел.
Ушли документы, которые никому не передавались.

(41) а что если ты и есть человек, который сливает информацию и хочешь обезопасить себя?

Для начала наведите порядок с доступами к файлам.
Чтобы рядовые сотрудники не видели файлы финотдела, например.
Теми же средствами доступа к папкам.

Вот у нас, например, сотрудники могут только читать документы отдела кадров - образцы бланков заявлений.
Файлы отдела логистики видят только члены отдела логистики.
Файлы финотдела только финотдел и главбух.
Файлы из папки со сканами документов (сертификаты, экспертизы и т.д.) на чтение отделу продаж, на запись только у отдела регистрации.
и т.д.

Так что если после раздачи прав на документы где-то "всплыл" устав - ищите среди тех, кто имел к нему доступ на файлопомойке или в локальной сети предприятия.

Закажите аудит безопасности у аутсорсеров - такие компании гуглятся легко, выполните их рекомендации раз сами не можете придумать.

По делу лучше скажите есть возможность или нет возможности.
Если есть то куда копать.
(8) Пока только одни вариант предложили. Но с линуксом у нас никто не дружит. Поставили только для обменника его, с минимальными настройками.

(43) Спасибо.
Да настал тот момент, когда нужно наводить порядок в документообороте.

Аудит для Samba http://www.linuxjournal.su/samba-аудит-операций-с-файлами-и-контроль-о/
Но нужен тот, кто дружит с Linux.

(45) В конторе никто не дружит с ОСью на серваке - значит самое время его перенастроить

Вместо помойки можно установить Документооброт

(48) А вместо Excel-я ERP

допустим, сценарий ситуации выглядит примерно так:
- файлы на шару вброшены в форме документов Excel
- Я открыл этот файл, посмотрел, подумал - клевая штука.
- Жму в своей программе "Сохранить как..." и записываю на локальную машину или на флешку.
- Пользуюсь для выноса файла любой флешкой.
- Пользуюсь электронной почтой.

Вот и думайте теперь, что в этом сценарии можно порезать

(48) Спасибо тоже почитаю по этой теме.
(50) Спасибо, понятно. Идеально конечно изначально всем права назначить, эта работа на будущее.

Сделайте (43)
(51) почему? делаете новую шару с правами, на старую ставите только чтение, всё

ДО самый правильный вариант, и плюс куча плюшек в дополнении.
Типа: Марьиванна, а я там файл кинул, посмотри

(53) У документаоборота есть 1 большой минус.
Чтобы начать им пользоватся, нужно обучение сотрудников.

Где-то год назад, по поручению директора, я поставил 1с-Документооборот. Разобрался в нем. Причем для наших задач, там  нужно было использовать очень мало из представлены инструментов.
Провел демонстрацию программы директору, он сказал это очень сложно. На том и закончили.

Разграничение прав это простой путь и обучать никого не нужно.

(52) Сейчас задача стоит именно контроля.
В будущем уже директор примет решение, как он хочет защитить свои данные.
Понятно, что способы есть различные. Но опять же нужно рассказать какие есть, простые, сложные, сколько будет стоить.

Нужно ПО, которое логирует доступ к общему ресурсу.
Стоит вот у нас прокси сервер, и директор знает, кто на какие сайты ходил, когда и зачем. Вот, что-то подобное, для локальной сети.

(54) У вас групповое редактирование в почете?

(57) Не особо.
Было дело внедрили OneNote, так он не прижился.
Там есть возможность, группового редактирования и видно кто и когда сделал.

(55) в (4) ответ https://habrahabr.ru/post/150149/ но это не взлетит т.к. по имени сложно понять, но что то вытащите

(54) // Провел демонстрацию программы директору, он сказал это очень сложно. На том и закончили.

А версию ДО какую показывал? Если не КОРП версию, то надо было его взять и показать - оно валит с ног практически наверняка любого директора.

(59) Сложноватый вариант. Хотелось бы готовое ПО на данную тему.
(60) Документооборот 8 КОРП, редакция 1.4 (1.4.7.1) Вот эта. Причем нам нужно было только формирование задании и хранение файлов. Но ему виднее.

(6) надо включать

(61) сложноватый?
https://en.wikipedia.org/wiki/Nextcloud
Logging of file-related actions as well as disallowing access based on file access rules is also available.

(0)если цель изловить шпиона, то пока-что шару не трогать, а на клиентах поставить ПО фиксирующее все действия и систематично их изучать. Вариант?

(61) Избыточный функционал КОРП. Хранение файлов в нем идет как служебно-системное обеспечение...

В отличие от заведомо открываемых только на чтение файлов, ваша внутренняя файловая помойка должна быть доступна на чтение всем пользователям сети без ограничений. Это сейчас так у вас. Логировать, что некто из общего числа пользователей внезапно решил открыть какой-то случайный файл - таким способом вы просто установите факт наличия излишней сетевой активности.

Вот пример. http://tulun-admin.ru/logirovanie-v-samba.html
---
с файловой помойки удалили файл который был мне нужен, конечно, копию этого файла я сразу нашел, но нужно было что-то делать потому что это повторялось регулярно...
---

или вот еще https://www.linux.org.ru/forum/general/3250642
ай-пи внутренние вычислишь мгновенно

Подобных ссылок в сети много можно найти.
Логгирование в самбе для юзера совершенно незаметно будет. Настройки не так-то и сложные, надо только поэкспериментировать аккуратно, потратить время на разбор полетов.

вот еще ссыль докину

http://www.qinet.ru/2012/02/442/

(65) (66) Спасибо, буду изучать.

(28) http://dvkuot.ru/index.php/uper/679-kom
"Не являются коммерческой тайной:
   - учредительные документы (решение о создании предприятия или договор учредителей) и Устав;"
Вывод: смысл заморачиваться "на поиск крота". Походу ТС делать нефик. Просто аккуратно закрыть дырку или для ОСОБОответственных лиц замутить другой обменник.

П.С. Работал в банке. Там особоотвественные лица вели переписку шифрованную КриптоПро.

разграничить права на потенциально ценные файлы по ip чтобы сузить круг подозреваемых.
например учредительные документы. дать доступ на 5-6 человек.
установить им tight vnc и иногда посматривать что делают.

(70) "например учредительные документы. дать доступ на 5-6 человек" Это надо было перед тем как их в налоговую относить, теперь налоговая будет сливать вашу учредилку любому желающему

или внедрять систему типа secure tower

(0) Что в локалке используется? Рабочая группа, домен? На линуксовом сервере на обменник в шаре SMB как организован? Полный доступ всем, по личному паролю, по общему или авторизация доменная используется?

(73) Рабочая группа.
На линуксе полный доступ к шаре всем.
Домена нет.

короче украли арендованный степлер и профиль на налог.ру

(74) Плохо, чо. Из рук вон плохо. Даже на домашней технике обычно делают для людей разные логины.
Для Самбы на Линуксе можно попробовать настройить логирование
http://www.qinet.ru/2012/02/442/ (эту ссылку уже давали)
Может там в логи будет писаться IP-клиента или его NetBIOS, тогда хоть как-то можно будет определить что и кто читал/записывал и когда.

Всё это слишком сложно. в том плане что логи эти потом читать замучаешься. такие вещи предупреждать нужно. или инсайдера посадить чтоб следил.
а если "фирма маленькая и нет денег на инсайдера" то значит не важная эта тема

(77) А зачем их все читать? Регулярные выражения и grep в Линуксе или find в Винде "спасут отца русской демократии".

А некуй было права на обменник раздавать как попало. а если ушла важная инфа, по любому видно куда копать. А если ещё знать куда ушла, то и копать не надо ответ всегда на поверхности.