>[оверквотинг удален]
>>> случайному постороннему человеку дают rdp доступ к консоли бухгалтерского сервера... какая
>>> там уж "безопасность" :)
>> Ну, это уже головняк руководства - кого они нанимают и какую степень
>> ответственности они на него возлагают. Раз они ему доверяют - я
>> человеку даю доступ. Искать компромат на новых сотрудников - это уже
>> не моя компетенция.
> Вы не можете организовать к нему VPN канал потому что он "нэ
> хочэт". При этом говорите что определение его компетентности и прав в
> вашей орагнизации не ваша компетенция...
> Ну так откройте ему прокинутый порт 3389 и все.Как ему прокинуть, если у него динамический IP? Давайте будем читать исходную задачу полностью, а не через строчку.
> К чему весь это геморр с открытием портов по стуку? ради безопасности?
> Она не в вашей комптенции. сами только что сказали.
Вернёмся ещё раз к прочтению исходной задачи. В мою задачу входит обеспечение безопасности сети. Но я не должен устраивать квест-тест новому сотруднику для проверки его лояльности конторе. Его кто-то нашёл, начальство собеседовало, кадровую проверку он прошёл и приказом оформлен. Про этику и коммерческую тайну предприятия не я должен с ним инструктаж проводить. Поставленная передо мной задача теперь - предоставить ему доступ к 1С. Если ему чьим-то решением был предоставлен допуск к важной информации, то не мне запрещать ему доступ. Если он сольёт важные данные на сторону, я, конечно, свою часть неприятностей получу, но не я буду отвечать за то, что ему дали допуск к этим данным. В данном случае я исхожу из предположения, что программер, нанятый конторой, действует в интересах конторы. Проверка его лояльности - не моя задача. НОНД.
> Послушайте меня внимательно.
> Вот как это должно быть:
> сервер разработки находится в ДМЗ.
> все действия логируются. никакого админского доступа.
> На сервере лежат ОБФУСЦИРОВАННЫЕ данные
> Доступ к серверу через VPN.
> Контроль чего там чувак наработал- производится вашими специалистами, и ТОЛЬКО ТОГДА переносятся
> в тест на реальных данных и только после этого теста- идут
> на продуктовую систему.
Это всё правильно и здорово, особенно, когда про это рассказывают в институте на факультете защиты информации, или на соответствующих курсах повышения квалификации. А, ну ещё у проверяющих органов на бумаге тоже здорово расписано, как оно должно быть. И эту теорию я тоже хорошо знаю. Но в жизни бывает "немного по другому", увы. Можно написать какую угодно идеальную политику безопасности сети и даже долго пытаться пилить сеть, идеально подгоняя её под эту политику, защищая её ключами и токенами. А потом приходит хозяин фирмы, показывает тебе Nokia 9000 и, мягко говоря, настаивает сделать так, чтобы он мог в любой момент с этого, тогда ещё, шедевра получить доступ к сети конторы. А на твои слова про безопасность и политику, которую он сам же подписывал и до всех доводил на большом собрании, говорит - "ну мне же надо всегда быть в курсе положения дел на фирме. И я видел в Watcom, как у них это всё здорово работает!"... А когда ему приносишь раскладку по расчёту стоимости, он говорит, что столько денег нет и, вообще, надоело ему с этим брелочком (токеном) ходить - сделай ему так, чтобы у него всё работало без аутентификации. Вот тогда понимаешь, что на самом деле безопасность сети это как сферический конь в вакууме: где-то там оно есть, но его никто не видел (или видел в гробу), и все знают, какой он должен быть - один ты идиот.
> Ничего этого у вас нет и это "не ваша область компетанции" а
> вы носитесть с порткноком... у вас дыра на всю ширину канала
> а вы латаете какие-то ручейки...
Действительно нет... Чего это я?.. Приглашаю протестировать нашу сеть на предмет дыр.
PS: Дискуссия сваливается в непродуктивную, не соответствующую тематике. Предлагаю закончить её. Решение найдено, сделано, протестировано, работает. Всем, кто подтолкнул к решению - спасибо! Остальным - тоже спасибо за потраченное на чтение время.
Вариант для распечатки
