|
Контроль над обменником? | ☑ | ||
---|---|---|---|---|
0
Храбрый
07.08.17
✎
08:57
|
На предприятии есть обменник уже много лет.
Там храниться всякая информация и важная и не важная. Тут недавно узнали, что кто-то из сотрудников сливает информацию о нашем предприятии не лево. Причем сливает именно файлы из обменника. Руководство поставило задачу такого характера: 1. Отслеживать кто и когда входил в обменник (локальный ip-адрес). 2. Какой файл открывал или копировал. 3. Программа для "слежения" должна быть простой, чтобы пользователь не заметил ее работы. Возможно выявим этого человека. Что имеем: Сеть 30 компьютеров. У большинства права Windows только "Пользователь". Обменник на линукс, на отдельной старой машине. Даже не знаю, с какой стороны начать решать эту задачу. Подскажите кто сталкивался. |
|||
1
Храбрый
07.08.17
✎
08:59
|
(0) Главная задача сейчас не защита на будущее, а поиск человека сливающего информацию.
|
|||
2
1dvd
07.08.17
✎
09:00
|
фтп?
|
|||
3
Андрюха
07.08.17
✎
09:01
|
(0) Это получается тебе надо на все компы ставить фиксатор на открытие файлов в шаре?
|
|||
4
Cyberhawk
07.08.17
✎
09:01
|
Виндовый аудит
|
|||
5
Храбрый
07.08.17
✎
09:01
|
(3) Вариантов пока не знаю.
|
|||
6
Храбрый
07.08.17
✎
09:02
|
(4) Любой windows или только серверный?
Включен по умолчанию или нужно включать? |
|||
7
Храбрый
07.08.17
✎
09:06
|
(2) Свой фтп сервер поднять?
И там есть логирование? |
|||
8
arsik
гуру
07.08.17
✎
09:07
|
(0) в гугуле "линукс самба фтп аудит"
|
|||
9
Храбрый
07.08.17
✎
09:08
|
(8) Спасибо погуглю.
Может есть варианты, типа Kerio только для локальной сети. |
|||
10
Zombi
07.08.17
✎
09:13
|
(7) Одно из условий(0): чтобы пользователь не заметил. Если ты будешь ходить и переводить всех на фтп и объяснять пользователям, как работать с этим, будет незаметно для них? Почти наверняка сливальщик перестанет пользоваться для этих целей шарой и найдет другой путь.
|
|||
11
Храбрый
07.08.17
✎
09:14
|
(10) Понятно. Да думаю это насторожит.
|
|||
12
1dvd
07.08.17
✎
09:16
|
что-то я нифига не понимаю. У вас обменник на весь интернет вывален?
|
|||
13
Храбрый
07.08.17
✎
09:18
|
(12) Нет, кто-то из сотрудников из локалки копирует файлы.
|
|||
14
Храбрый
07.08.17
✎
09:19
|
Для примера.
На некоторое время главный бухгалтер выложила устав предприятия в обменник. Буквально на неделю. И он оказался у посторонних лиц. |
|||
15
Дмитрий
07.08.17
✎
09:21
|
выложи несколько файлов, количество файлов = количеству пользователей. каждый пользователь имеет доступ только к своему файлу. осталось проконтролировать, чей файл всплывет у посторонних лиц
|
|||
16
Храбрый
07.08.17
✎
09:26
|
(15) Хороший вариант.
Но этот инцидент всплыл случайно. Мы не узнаем о других передачах файлов скорее всего. Узнали буквально о паре таких сливов. Но значит они идут регулярно. |
|||
17
Дмитрий
07.08.17
✎
09:28
|
(16) службу безопасности нужно привлечь, пусть спровоцируют как-нибудь :)
|
|||
18
Cyberhawk
07.08.17
✎
09:28
|
(6) Хз, Я не админ
|
|||
19
Храбрый
07.08.17
✎
09:31
|
(17) Фирма маленькая. Нет службы безопасности.
|
|||
20
Джо-джо
07.08.17
✎
09:38
|
-У нас дыра в безопасности
-Ну хоть что то у нас в безопасности |
|||
21
Звездец
07.08.17
✎
09:57
|
изначально бредовая идея. Всплыл некий файл, по логам в него заходили 30 человек. Что дальше? уволить всех?
|
|||
22
Starhan
07.08.17
✎
09:59
|
(0) Ну скопировал человек файл, и вы узнали об этом. Дальше что?
есть 1000 причин зачем понадобилось скопировать файл. Вы же так неуиноуных по увольняете, ни за что. |
|||
23
Starhan
07.08.17
✎
10:00
|
(0) ты как программист вообще такую програмку должен за пол дня сам наклепать XD
|
|||
24
Вафель
07.08.17
✎
10:05
|
так скорее всего утекает через человека у которого доступ есть.
Как будете различать правомерно ли он файл открывал или с целью похитить? |
|||
25
DenVaz
07.08.17
✎
10:06
|
(22) Если он один то утечка налицо, ну и потом - оперативная информация.
(14) Устав может быть у каждого учредителя и у налоговой. |
|||
26
Джо-джо
07.08.17
✎
10:07
|
(24) Хотябы сузить круг подозреваемых, а дальше терморектальный криптоанализ
|
|||
27
DenVaz
07.08.17
✎
10:08
|
Так то интересная идея я бы тоже у конкурентов базу бы с удовольствием посмотрел)
|
|||
28
Храбрый
07.08.17
✎
10:08
|
Понятно что каждый файл анализировать не будем.
Но вот если бы рядовой сотрудник скопировал устав к нему были бы вопросы. |
|||
29
DenVaz
07.08.17
✎
10:09
|
+(27) Гонца заслать что ли, на работу устроиться к ним?
|
|||
30
DenVaz
07.08.17
✎
10:10
|
(19) Накой черт вы тогда нужны вообще... я думаю это соучредители мониторят директора через своих агентов. Дабы не проворовался.
|
|||
31
Джо-джо
07.08.17
✎
10:10
|
(28) А нафига у рядового сотрудника доступ к уставу?
|
|||
32
DenVaz
07.08.17
✎
10:11
|
+(30) Традиционные вопросы - кому выгодно быстрее выведут вас на заказчика.
|
|||
33
Вафель
07.08.17
✎
10:12
|
(31) Ну это ведь настраивать нужно
|
|||
34
DenVaz
07.08.17
✎
10:12
|
(31) Так видимо у них файлопомойка общая для всех... Не удивлюсь что у них там корпоративы и прочая там валяются, обычное дело.
|
|||
35
Джо-джо
07.08.17
✎
10:13
|
Короче, в первую очередь за слив нужно адимназапицундуинакуканить, а уже потом крота искать
|
|||
36
Храбрый
07.08.17
✎
10:14
|
(30) Учредитель он же и директор у нас.
(31) Я отвечал уже, бух. выложила на время. |
|||
37
Храбрый
07.08.17
✎
10:17
|
(34) Фирма растет, понятно что и безопасность нужно подтягивать.
Раньше все на доверии было. Я думаю это так во многих маленьких фирмах. |
|||
38
Джо-джо
07.08.17
✎
10:20
|
(36) Эта фраза не даёт ответа на мой вопрос.
В маленьких нищих фирмах обычно нет таких секретов, которые могут кого-нибудь заинтересовать |
|||
39
Джо-джо
07.08.17
✎
10:21
|
Копию Устав любой фирмы можно заказать в налоговой.
Сабж самодурство директора |
|||
40
Джо-джо
07.08.17
✎
10:24
|
+при заключении любого договора организации предъявляют копии учредительных документов. Проще говоря, всем с кем вы работаете вы отправляете Копию своего устава
|
|||
41
Храбрый
07.08.17
✎
10:26
|
(38) Размер фирмы не имеет значения.
(39) Мне поставили задачу, я должен ее решить по возможности. (40) Устав для примера привел. Ушли документы, которые никому не передавались. |
|||
42
Numerus Mikhail
07.08.17
✎
10:26
|
(41) а что если ты и есть человек, который сливает информацию и хочешь обезопасить себя?
|
|||
43
Vladal
07.08.17
✎
11:02
|
Для начала наведите порядок с доступами к файлам.
Чтобы рядовые сотрудники не видели файлы финотдела, например. Теми же средствами доступа к папкам. Вот у нас, например, сотрудники могут только читать документы отдела кадров - образцы бланков заявлений. Файлы отдела логистики видят только члены отдела логистики. Файлы финотдела только финотдел и главбух. Файлы из папки со сканами документов (сертификаты, экспертизы и т.д.) на чтение отделу продаж, на запись только у отдела регистрации. и т.д. Так что если после раздачи прав на документы где-то "всплыл" устав - ищите среди тех, кто имел к нему доступ на файлопомойке или в локальной сети предприятия. Закажите аудит безопасности у аутсорсеров - такие компании гуглятся легко, выполните их рекомендации раз сами не можете придумать. |
|||
44
Храбрый
07.08.17
✎
11:02
|
По делу лучше скажите есть возможность или нет возможности.
Если есть то куда копать. (8) Пока только одни вариант предложили. Но с линуксом у нас никто не дружит. Поставили только для обменника его, с минимальными настройками. |
|||
45
Храбрый
07.08.17
✎
11:03
|
(43) Спасибо.
Да настал тот момент, когда нужно наводить порядок в документообороте. |
|||
46
ansh15
07.08.17
✎
11:42
|
Аудит для Samba http://www.linuxjournal.su/samba-аудит-операций-с-файлами-и-контроль-о/
Но нужен тот, кто дружит с Linux. |
|||
47
Джо-джо
07.08.17
✎
11:44
|
(45) В конторе никто не дружит с ОСью на серваке - значит самое время его перенастроить
|
|||
48
Вафель
07.08.17
✎
11:45
|
Вместо помойки можно установить Документооброт
|
|||
49
Джо-джо
07.08.17
✎
11:46
|
(48) А вместо Excel-я ERP
|
|||
50
Фрэнки
07.08.17
✎
11:50
|
допустим, сценарий ситуации выглядит примерно так:
- файлы на шару вброшены в форме документов Excel - Я открыл этот файл, посмотрел, подумал - клевая штука. - Жму в своей программе "Сохранить как..." и записываю на локальную машину или на флешку. - Пользуюсь для выноса файла любой флешкой. - Пользуюсь электронной почтой. Вот и думайте теперь, что в этом сценарии можно порезать |
|||
51
Храбрый
07.08.17
✎
12:04
|
(48) Спасибо тоже почитаю по этой теме.
(50) Спасибо, понятно. Идеально конечно изначально всем права назначить, эта работа на будущее. |
|||
52
Йохохо
07.08.17
✎
12:10
|
Сделайте (43)
(51) почему? делаете новую шару с правами, на старую ставите только чтение, всё |
|||
53
Вафель
07.08.17
✎
12:14
|
ДО самый правильный вариант, и плюс куча плюшек в дополнении.
Типа: Марьиванна, а я там файл кинул, посмотри |
|||
54
Храбрый
07.08.17
✎
12:18
|
(53) У документаоборота есть 1 большой минус.
Чтобы начать им пользоватся, нужно обучение сотрудников. Где-то год назад, по поручению директора, я поставил 1с-Документооборот. Разобрался в нем. Причем для наших задач, там нужно было использовать очень мало из представлены инструментов. Провел демонстрацию программы директору, он сказал это очень сложно. На том и закончили. Разграничение прав это простой путь и обучать никого не нужно. |
|||
55
Храбрый
07.08.17
✎
12:19
|
(52) Сейчас задача стоит именно контроля.
В будущем уже директор примет решение, как он хочет защитить свои данные. Понятно, что способы есть различные. Но опять же нужно рассказать какие есть, простые, сложные, сколько будет стоить. |
|||
56
Храбрый
07.08.17
✎
12:20
|
Нужно ПО, которое логирует доступ к общему ресурсу.
Стоит вот у нас прокси сервер, и директор знает, кто на какие сайты ходил, когда и зачем. Вот, что-то подобное, для локальной сети. |
|||
57
Вафель
07.08.17
✎
12:21
|
(54) У вас групповое редактирование в почете?
|
|||
58
Храбрый
07.08.17
✎
12:23
|
(57) Не особо.
Было дело внедрили OneNote, так он не прижился. Там есть возможность, группового редактирования и видно кто и когда сделал. |
|||
59
Йохохо
07.08.17
✎
12:23
|
(55) в (4) ответ https://habrahabr.ru/post/150149/ но это не взлетит т.к. по имени сложно понять, но что то вытащите
|
|||
60
Фрэнки
07.08.17
✎
12:24
|
(54) // Провел демонстрацию программы директору, он сказал это очень сложно. На том и закончили.
А версию ДО какую показывал? Если не КОРП версию, то надо было его взять и показать - оно валит с ног практически наверняка любого директора. |
|||
61
Храбрый
07.08.17
✎
12:33
|
(59) Сложноватый вариант. Хотелось бы готовое ПО на данную тему.
(60) Документооборот 8 КОРП, редакция 1.4 (1.4.7.1) Вот эта. Причем нам нужно было только формирование задании и хранение файлов. Но ему виднее. |
|||
62
Pav2016
07.08.17
✎
12:35
|
(6) надо включать
|
|||
63
Йохохо
07.08.17
✎
12:40
|
(61) сложноватый?
https://en.wikipedia.org/wiki/Nextcloud Logging of file-related actions as well as disallowing access based on file access rules is also available. |
|||
64
Looking
07.08.17
✎
12:50
|
(0)если цель изловить шпиона, то пока-что шару не трогать, а на клиентах поставить ПО фиксирующее все действия и систематично их изучать. Вариант?
|
|||
65
Фрэнки
07.08.17
✎
12:51
|
(61) Избыточный функционал КОРП. Хранение файлов в нем идет как служебно-системное обеспечение...
В отличие от заведомо открываемых только на чтение файлов, ваша внутренняя файловая помойка должна быть доступна на чтение всем пользователям сети без ограничений. Это сейчас так у вас. Логировать, что некто из общего числа пользователей внезапно решил открыть какой-то случайный файл - таким способом вы просто установите факт наличия излишней сетевой активности. Вот пример. http://tulun-admin.ru/logirovanie-v-samba.html --- с файловой помойки удалили файл который был мне нужен, конечно, копию этого файла я сразу нашел, но нужно было что-то делать потому что это повторялось регулярно... --- или вот еще https://www.linux.org.ru/forum/general/3250642 ай-пи внутренние вычислишь мгновенно Подобных ссылок в сети много можно найти. Логгирование в самбе для юзера совершенно незаметно будет. Настройки не так-то и сложные, надо только поэкспериментировать аккуратно, потратить время на разбор полетов. |
|||
66
Фрэнки
07.08.17
✎
12:53
|
||||
67
Храбрый
07.08.17
✎
12:54
|
(65) (66) Спасибо, буду изучать.
|
|||
68
NikVars
07.08.17
✎
13:04
|
(28) http://dvkuot.ru/index.php/uper/679-kom
"Не являются коммерческой тайной: - учредительные документы (решение о создании предприятия или договор учредителей) и Устав;" Вывод: смысл заморачиваться "на поиск крота". Походу ТС делать нефик. Просто аккуратно закрыть дырку или для ОСОБОответственных лиц замутить другой обменник. |
|||
69
NikVars
07.08.17
✎
13:05
|
П.С. Работал в банке. Там особоотвественные лица вели переписку шифрованную КриптоПро.
|
|||
70
Silence63
08.08.17
✎
08:17
|
разграничить права на потенциально ценные файлы по ip чтобы сузить круг подозреваемых.
например учредительные документы. дать доступ на 5-6 человек. установить им tight vnc и иногда посматривать что делают. |
|||
71
Джо-джо
08.08.17
✎
09:14
|
(70) "например учредительные документы. дать доступ на 5-6 человек" Это надо было перед тем как их в налоговую относить, теперь налоговая будет сливать вашу учредилку любому желающему
|
|||
72
Silence63
08.08.17
✎
10:15
|
или внедрять систему типа secure tower
|
|||
73
SiAl-chel
08.08.17
✎
11:10
|
(0) Что в локалке используется? Рабочая группа, домен? На линуксовом сервере на обменник в шаре SMB как организован? Полный доступ всем, по личному паролю, по общему или авторизация доменная используется?
|
|||
74
Храбрый
08.08.17
✎
11:29
|
(73) Рабочая группа.
На линуксе полный доступ к шаре всем. Домена нет. |
|||
75
Йохохо
08.08.17
✎
11:36
|
короче украли арендованный степлер и профиль на налог.ру
|
|||
76
SiAl-chel
08.08.17
✎
13:26
|
(74) Плохо, чо. Из рук вон плохо. Даже на домашней технике обычно делают для людей разные логины.
Для Самбы на Линуксе можно попробовать настройить логирование http://www.qinet.ru/2012/02/442/ (эту ссылку уже давали) Может там в логи будет писаться IP-клиента или его NetBIOS, тогда хоть как-то можно будет определить что и кто читал/записывал и когда. |
|||
77
Silence63
08.08.17
✎
14:17
|
Всё это слишком сложно. в том плане что логи эти потом читать замучаешься. такие вещи предупреждать нужно. или инсайдера посадить чтоб следил.
а если "фирма маленькая и нет денег на инсайдера" то значит не важная эта тема |
|||
78
SiAl-chel
16.08.17
✎
14:26
|
(77) А зачем их все читать? Регулярные выражения и grep в Линуксе или find в Винде "спасут отца русской демократии".
|
|||
79
Irbis
16.08.17
✎
14:29
|
А некуй было права на обменник раздавать как попало. а если ушла важная инфа, по любому видно куда копать. А если ещё знать куда ушла, то и копать не надо ответ всегда на поверхности.
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |