Имя: Пароль:
IT
Админ
Контроль над обменником?
, ,
0 Храбрый
 
07.08.17
08:57
На предприятии есть обменник уже много лет.
Там храниться всякая информация и важная и не важная.
Тут недавно узнали, что кто-то из сотрудников сливает информацию о нашем предприятии не лево.
Причем сливает именно файлы из обменника.

Руководство поставило задачу такого характера:
1. Отслеживать кто и когда входил в обменник (локальный ip-адрес).
2. Какой файл открывал или копировал.
3. Программа для "слежения" должна быть простой, чтобы пользователь не заметил ее работы. Возможно выявим этого человека.

Что имеем:
Сеть 30 компьютеров. У большинства права Windows только "Пользователь". Обменник на линукс, на отдельной старой машине.

Даже не знаю, с какой стороны начать решать эту задачу.
Подскажите кто сталкивался.
1 Храбрый
 
07.08.17
08:59
(0) Главная задача сейчас не защита на будущее, а поиск человека сливающего информацию.
2 1dvd
 
07.08.17
09:00
фтп?
3 Андрюха
 
07.08.17
09:01
(0) Это получается тебе надо на все компы ставить фиксатор на открытие файлов в шаре?
4 Cyberhawk
 
07.08.17
09:01
Виндовый аудит
5 Храбрый
 
07.08.17
09:01
(3) Вариантов пока не знаю.
6 Храбрый
 
07.08.17
09:02
(4) Любой windows или только серверный?
Включен по умолчанию или нужно включать?
7 Храбрый
 
07.08.17
09:06
(2) Свой фтп сервер поднять?
И там есть логирование?
8 arsik
 
гуру
07.08.17
09:07
(0) в гугуле "линукс самба фтп аудит"
9 Храбрый
 
07.08.17
09:08
(8) Спасибо погуглю.

Может есть варианты, типа Kerio только для локальной сети.
10 Zombi
 
07.08.17
09:13
(7) Одно из условий(0): чтобы пользователь не заметил. Если ты будешь ходить и переводить всех на фтп и объяснять пользователям, как работать с этим, будет незаметно для них? Почти наверняка сливальщик перестанет пользоваться для этих целей шарой и найдет другой путь.
11 Храбрый
 
07.08.17
09:14
(10) Понятно. Да думаю это насторожит.
12 1dvd
 
07.08.17
09:16
что-то я нифига не понимаю. У вас обменник на весь интернет вывален?
13 Храбрый
 
07.08.17
09:18
(12) Нет, кто-то из сотрудников из локалки копирует файлы.
14 Храбрый
 
07.08.17
09:19
Для примера.
На некоторое время главный бухгалтер выложила устав предприятия в обменник. Буквально на неделю.
И он оказался у посторонних лиц.
15 Дмитрий
 
07.08.17
09:21
выложи несколько файлов, количество файлов = количеству пользователей. каждый пользователь имеет доступ только к своему файлу. осталось проконтролировать, чей файл всплывет у посторонних лиц
16 Храбрый
 
07.08.17
09:26
(15) Хороший вариант.
Но этот инцидент всплыл случайно.
Мы не узнаем о других передачах файлов скорее всего.

Узнали буквально о паре таких сливов. Но значит они идут регулярно.
17 Дмитрий
 
07.08.17
09:28
(16) службу безопасности нужно привлечь, пусть спровоцируют как-нибудь :)
18 Cyberhawk
 
07.08.17
09:28
(6) Хз, Я не админ
19 Храбрый
 
07.08.17
09:31
(17) Фирма маленькая. Нет службы безопасности.
20 Джо-джо
 
07.08.17
09:38
-У нас дыра в безопасности
-Ну хоть что то у нас в безопасности
21 Звездец
 
07.08.17
09:57
изначально бредовая идея. Всплыл некий файл, по логам в него заходили 30 человек. Что дальше? уволить всех?
22 Starhan
 
07.08.17
09:59
(0) Ну скопировал человек файл, и вы узнали об этом. Дальше что?

есть 1000 причин зачем понадобилось скопировать файл. Вы же так неуиноуных по увольняете, ни за что.
23 Starhan
 
07.08.17
10:00
(0) ты как программист вообще такую програмку должен за пол дня сам наклепать XD
24 Вафель
 
07.08.17
10:05
так скорее всего утекает через человека у которого доступ есть.
Как будете различать правомерно ли он файл открывал или с целью похитить?
25 DenVaz
 
07.08.17
10:06
(22) Если он один то утечка налицо, ну и потом - оперативная информация.
(14) Устав может быть у каждого учредителя и у налоговой.
26 Джо-джо
 
07.08.17
10:07
(24) Хотябы сузить круг подозреваемых, а дальше терморектальный криптоанализ
27 DenVaz
 
07.08.17
10:08
Так то интересная идея я бы тоже у конкурентов базу бы с удовольствием посмотрел)
28 Храбрый
 
07.08.17
10:08
Понятно что каждый файл анализировать не будем.
Но вот если бы рядовой сотрудник скопировал устав к нему были бы вопросы.
29 DenVaz
 
07.08.17
10:09
+(27) Гонца заслать что ли, на работу устроиться к ним?
30 DenVaz
 
07.08.17
10:10
(19) Накой черт вы тогда нужны вообще... я думаю это соучредители мониторят директора через своих агентов. Дабы не проворовался.
31 Джо-джо
 
07.08.17
10:10
(28) А нафига у рядового сотрудника доступ к уставу?
32 DenVaz
 
07.08.17
10:11
+(30) Традиционные вопросы - кому выгодно быстрее выведут вас на заказчика.
33 Вафель
 
07.08.17
10:12
(31) Ну это ведь настраивать нужно
34 DenVaz
 
07.08.17
10:12
(31) Так видимо у них файлопомойка общая для всех...  Не удивлюсь что у них там корпоративы и прочая там валяются, обычное дело.
35 Джо-джо
 
07.08.17
10:13
Короче, в первую очередь за слив нужно адимназапицундуинакуканить, а уже потом крота искать
36 Храбрый
 
07.08.17
10:14
(30) Учредитель он же и директор у нас.
(31) Я отвечал уже, бух. выложила на время.
37 Храбрый
 
07.08.17
10:17
(34) Фирма растет, понятно что и безопасность нужно подтягивать.
Раньше все на доверии было.
Я думаю это так во многих маленьких фирмах.
38 Джо-джо
 
07.08.17
10:20
(36) Эта фраза не даёт ответа на мой вопрос.

В маленьких нищих фирмах обычно нет таких секретов, которые могут кого-нибудь заинтересовать
39 Джо-джо
 
07.08.17
10:21
Копию Устав любой фирмы можно заказать в налоговой.

Сабж самодурство директора
40 Джо-джо
 
07.08.17
10:24
+при заключении любого договора организации предъявляют копии учредительных документов. Проще говоря, всем с кем вы работаете вы отправляете Копию своего устава
41 Храбрый
 
07.08.17
10:26
(38) Размер фирмы не имеет значения.
(39) Мне поставили задачу, я должен ее решить по возможности.
(40) Устав для примера привел.
Ушли документы, которые никому не передавались.
42 Numerus Mikhail
 
07.08.17
10:26
(41) а что если ты и есть человек, который сливает информацию и хочешь обезопасить себя?
43 Vladal
 
07.08.17
11:02
Для начала наведите порядок с доступами к файлам.
Чтобы рядовые сотрудники не видели файлы финотдела, например.
Теми же средствами доступа к папкам.

Вот у нас, например, сотрудники могут только читать документы отдела кадров - образцы бланков заявлений.
Файлы отдела логистики видят только члены отдела логистики.
Файлы финотдела только финотдел и главбух.
Файлы из папки со сканами документов (сертификаты, экспертизы и т.д.) на чтение отделу продаж, на запись только у отдела регистрации.
и т.д.

Так что если после раздачи прав на документы где-то "всплыл" устав - ищите среди тех, кто имел к нему доступ на файлопомойке или в локальной сети предприятия.

Закажите аудит безопасности у аутсорсеров - такие компании гуглятся легко, выполните их рекомендации раз сами не можете придумать.
44 Храбрый
 
07.08.17
11:02
По делу лучше скажите есть возможность или нет возможности.
Если есть то куда копать.
(8) Пока только одни вариант предложили. Но с линуксом у нас никто не дружит. Поставили только для обменника его, с минимальными настройками.
45 Храбрый
 
07.08.17
11:03
(43) Спасибо.
Да настал тот момент, когда нужно наводить порядок в документообороте.
46 ansh15
 
07.08.17
11:42
Аудит для Samba http://www.linuxjournal.su/samba-аудит-операций-с-файлами-и-контроль-о/
Но нужен тот, кто дружит с Linux.
47 Джо-джо
 
07.08.17
11:44
(45) В конторе никто не дружит с ОСью на серваке - значит самое время его перенастроить
48 Вафель
 
07.08.17
11:45
Вместо помойки можно установить Документооброт
49 Джо-джо
 
07.08.17
11:46
(48) А вместо Excel-я ERP
50 Фрэнки
 
07.08.17
11:50
допустим, сценарий ситуации выглядит примерно так:
- файлы на шару вброшены в форме документов Excel
- Я открыл этот файл, посмотрел, подумал - клевая штука.
- Жму в своей программе "Сохранить как..." и записываю на локальную машину или на флешку.
- Пользуюсь для выноса файла любой флешкой.
- Пользуюсь электронной почтой.

Вот и думайте теперь, что в этом сценарии можно порезать
51 Храбрый
 
07.08.17
12:04
(48) Спасибо тоже почитаю по этой теме.
(50) Спасибо, понятно. Идеально конечно изначально всем права назначить, эта работа на будущее.
52 Йохохо
 
07.08.17
12:10
Сделайте (43)
(51) почему? делаете новую шару с правами, на старую ставите только чтение, всё
53 Вафель
 
07.08.17
12:14
ДО самый правильный вариант, и плюс куча плюшек в дополнении.
Типа: Марьиванна, а я там файл кинул, посмотри
54 Храбрый
 
07.08.17
12:18
(53) У документаоборота есть 1 большой минус.
Чтобы начать им пользоватся, нужно обучение сотрудников.

Где-то год назад, по поручению директора, я поставил 1с-Документооборот. Разобрался в нем. Причем для наших задач, там  нужно было использовать очень мало из представлены инструментов.
Провел демонстрацию программы директору, он сказал это очень сложно. На том и закончили.

Разграничение прав это простой путь и обучать никого не нужно.
55 Храбрый
 
07.08.17
12:19
(52) Сейчас задача стоит именно контроля.
В будущем уже директор примет решение, как он хочет защитить свои данные.
Понятно, что способы есть различные. Но опять же нужно рассказать какие есть, простые, сложные, сколько будет стоить.
56 Храбрый
 
07.08.17
12:20
Нужно ПО, которое логирует доступ к общему ресурсу.
Стоит вот у нас прокси сервер, и директор знает, кто на какие сайты ходил, когда и зачем. Вот, что-то подобное, для локальной сети.
57 Вафель
 
07.08.17
12:21
(54) У вас групповое редактирование в почете?
58 Храбрый
 
07.08.17
12:23
(57) Не особо.
Было дело внедрили OneNote, так он не прижился.
Там есть возможность, группового редактирования и видно кто и когда сделал.
59 Йохохо
 
07.08.17
12:23
(55) в (4) ответ https://habrahabr.ru/post/150149/ но это не взлетит т.к. по имени сложно понять, но что то вытащите
60 Фрэнки
 
07.08.17
12:24
(54) // Провел демонстрацию программы директору, он сказал это очень сложно. На том и закончили.

А версию ДО какую показывал? Если не КОРП версию, то надо было его взять и показать - оно валит с ног практически наверняка любого директора.
61 Храбрый
 
07.08.17
12:33
(59) Сложноватый вариант. Хотелось бы готовое ПО на данную тему.
(60) Документооборот 8 КОРП, редакция 1.4 (1.4.7.1) Вот эта. Причем нам нужно было только формирование задании и хранение файлов. Но ему виднее.
62 Pav2016
 
07.08.17
12:35
(6) надо включать
63 Йохохо
 
07.08.17
12:40
(61) сложноватый?
https://en.wikipedia.org/wiki/Nextcloud
Logging of file-related actions as well as disallowing access based on file access rules is also available.
64 Looking
 
07.08.17
12:50
(0)если цель изловить шпиона, то пока-что шару не трогать, а на клиентах поставить ПО фиксирующее все действия и систематично их изучать. Вариант?
65 Фрэнки
 
07.08.17
12:51
(61) Избыточный функционал КОРП. Хранение файлов в нем идет как служебно-системное обеспечение...

В отличие от заведомо открываемых только на чтение файлов, ваша внутренняя файловая помойка должна быть доступна на чтение всем пользователям сети без ограничений. Это сейчас так у вас. Логировать, что некто из общего числа пользователей внезапно решил открыть какой-то случайный файл - таким способом вы просто установите факт наличия излишней сетевой активности.

Вот пример. http://tulun-admin.ru/logirovanie-v-samba.html
---
с файловой помойки удалили файл который был мне нужен, конечно, копию этого файла я сразу нашел, но нужно было что-то делать потому что это повторялось регулярно...
---

или вот еще https://www.linux.org.ru/forum/general/3250642
ай-пи внутренние вычислишь мгновенно

Подобных ссылок в сети много можно найти.
Логгирование в самбе для юзера совершенно незаметно будет. Настройки не так-то и сложные, надо только поэкспериментировать аккуратно, потратить время на разбор полетов.
66 Фрэнки
 
07.08.17
12:53
вот еще ссыль докину

http://www.qinet.ru/2012/02/442/
67 Храбрый
 
07.08.17
12:54
(65) (66) Спасибо, буду изучать.
68 NikVars
 
07.08.17
13:04
(28) http://dvkuot.ru/index.php/uper/679-kom
"Не являются коммерческой тайной:
   - учредительные документы (решение о создании предприятия или договор учредителей) и Устав;"
Вывод: смысл заморачиваться "на поиск крота". Походу ТС делать нефик. Просто аккуратно закрыть дырку или для ОСОБОответственных лиц замутить другой обменник.
69 NikVars
 
07.08.17
13:05
П.С. Работал в банке. Там особоотвественные лица вели переписку шифрованную КриптоПро.
70 Silence63
 
08.08.17
08:17
разграничить права на потенциально ценные файлы по ip чтобы сузить круг подозреваемых.
например учредительные документы. дать доступ на 5-6 человек.
установить им tight vnc и иногда посматривать что делают.
71 Джо-джо
 
08.08.17
09:14
(70) "например учредительные документы. дать доступ на 5-6 человек" Это надо было перед тем как их в налоговую относить, теперь налоговая будет сливать вашу учредилку любому желающему
72 Silence63
 
08.08.17
10:15
или внедрять систему типа secure tower
73 SiAl-chel
 
08.08.17
11:10
(0) Что в локалке используется? Рабочая группа, домен? На линуксовом сервере на обменник в шаре SMB как организован? Полный доступ всем, по личному паролю, по общему или авторизация доменная используется?
74 Храбрый
 
08.08.17
11:29
(73) Рабочая группа.
На линуксе полный доступ к шаре всем.
Домена нет.
75 Йохохо
 
08.08.17
11:36
короче украли арендованный степлер и профиль на налог.ру
76 SiAl-chel
 
08.08.17
13:26
(74) Плохо, чо. Из рук вон плохо. Даже на домашней технике обычно делают для людей разные логины.
Для Самбы на Линуксе можно попробовать настройить логирование
http://www.qinet.ru/2012/02/442/ (эту ссылку уже давали)
Может там в логи будет писаться IP-клиента или его NetBIOS, тогда хоть как-то можно будет определить что и кто читал/записывал и когда.
77 Silence63
 
08.08.17
14:17
Всё это слишком сложно. в том плане что логи эти потом читать замучаешься. такие вещи предупреждать нужно. или инсайдера посадить чтоб следил.
а если "фирма маленькая и нет денег на инсайдера" то значит не важная эта тема
78 SiAl-chel
 
16.08.17
14:26
(77) А зачем их все читать? Регулярные выражения и grep в Линуксе или find в Винде "спасут отца русской демократии".
79 Irbis
 
16.08.17
14:29
А некуй было права на обменник раздавать как попало. а если ушла важная инфа, по любому видно куда копать. А если ещё знать куда ушла, то и копать не надо ответ всегда на поверхности.