wi fi точка доступа.

@Bomomd · Регистрация: 29.03.2010

Author24 — интернет-сервис помощи студентам

Это может показаться идиотизмом, но тем не менее так оно и есть. По работе часто приходится иметь дело с ноутбуками клиентов, которые их привозят для обновления, настройки софта и т.п. Для этого нужен интернет. Интернет на наши компы приходит по LAN, все машины включены в домен, поэтому так просто переткнуть витуху в ноут клиента не получается. Естественное решение, поставить вафлю. Пошел я к директору и сказал "купи, очень надо". Так блять, вы можете себе представить, он сомневается насколько это все безопасно, он думает что с компьютера клиента какой нибудь вирус, червь и прочее говно может залезть в нашу локалку и домен и похерить там все. Скажите, знающие люди, как его уговорить чтобы он таки купил эту ебучую копеечную точку доступа? А может он прав? Я вообще в этих делах полный нуб.

@Josom · 23.01.2013, 21:35

Сообщение от Bomomd

он думает что с компьютера клиента какой нибудь вирус, червь и прочее говно может залезть в нашу локалку и домен и похерить там все. Скажите, знающие люди, как его уговорить чтобы он таки купил эту ебучую копеечную точку доступа? А может он прав?

Он таки прав.
Если у клиента живет вирус, то при подключении к сети он вполне может просканировать доступные на запись сетевые шары(таковые как правило есть всегда, но в случае с нормальной доменной политикой это ему сложнее сделать будет) и позаражать файлы там.

@Bomomd · 23.01.2013, 21:38

мда, я подозревал такой вариант. Если только на подать на точку доступа линию напрямую с прокси, минуя домен. Прокся у нас вроде на линуксе.

@sobokymk · 23.01.2013, 21:43

Начальник всегда прав. (эт, первое)
Взломать через wifi, как два пальца... Даж, при wpa2.(ет, второе)

Это задача местного админа, который отвечает за работу локалки и доступа в инет.
Пусть директор поручит ему нормально организовывать конкретное рабочее место...

@Ymk · 23.01.2013, 22:54

как там wpa2 за два пальца ломается-то? ;)

@BorMys · 23.01.2013, 23:03

Сообщение от Bomomd

... он сомневается насколько это все безопасно....

И правильно сомневается!
Иди к админу, это дело можно разрулить выделив виртуальную сеть внутри основной сети или создать отдельную сеть изолировав её через шлюз. Делается всё это дело на коммутаторе и достаточно геморойно.

@dosykus_2 · 23.01.2013, 23:04

Если уж так боязно, запрети выход через вафлю в локалку, только интернет .

@ImTuTb! · 23.01.2013, 23:06

Получил комп, проверил доктор вебом бесплатным. На "C" както называется - не помню. Ахуенная вещь. Не засирает ОС и находит все дерьмо.
Потом чистый комьютер подключил к вафле. Ваще дирик конечно дятел, зубов бояца - в рот не давать. А вафля - это прогресс!
Простите, немного выпил.

@dosykus_2 · 23.01.2013, 23:20

Сообщение от ImTuTb!

Получил комп, проверил доктор вебом бесплатным. На "C" както называется - не помню.

Curelt . Есть и более радикальное решение - Dr_ web LiveCD.

@Bomomd · 23.01.2013, 23:47

Сообщение от dosykus_2

Если уж так боязно, запрети выход через вафлю в локалку, только интернет .

Да мне не боязно, а вот такая опция (запрети выход через вафлю в локалку, только интернет) есть в wifi роутерах? Как называется?

@Ymk · 23.01.2013, 23:53

если сосед вчера написал троянца, никакой антивирус его не найдет. так что только правильно сеть настраивать, чтобы доступа к локалке не было.

Сообщение от Bomomd

а вот такая опция (запрети выход через вафлю в локалку, только интернет) есть в wifi роутерах? Как называется?

что-то типа гостевого выхода в инет (там отдельный пароль будет).

@sobokymk · 24.01.2013, 00:00

Сообщение от Ymk

как там wpa2 за два пальца ломается-то? ;)

Брутфорсят PSK по словарю.:) Внезапно, ключ, почему то и почти всегда оказывается 12345678 или qwirty12)))

@okotimiv · 24.01.2013, 00:01

Это называется гостевой доступ. Есть, к примеру, во второй версии прошивки кинетиков. Получается две беспроводных сети с разными названиями, разными настройками безопасности, и разными сетевыми интерфейсами.

Но это не совсем ваш случай, потому что вам нужна именно точка доступа, а не домашний маршрутизатор.

Ваш случай проще. Надо купить любую точку доступа, подключить ее к отдельному порту вашего маршрутизатора, либо напрямую, либо через vlan, и настроить nat. Дел на 10 минут.

С безопасностью никаких проблем не будет.

Есть и более изощренные способы, но у вас их видимо некому реализовывать, так что не будем о них.

Отправлено с моего GT-N8000 через Tapatalk

@Bomomd · 24.01.2013, 00:07

спасибо, значит буду копать в сторону гостевого доступа. Админ у нас нуб еще похлеще меня.

@okotimiv · 24.01.2013, 00:12

В случае обостренной паранойи можно купить не обычную точку доступа, а специальную точку доступа для публичных сетей (примерно такую, какие стоят на публичных хотспотах во всяких кафе). У них есть режим, когда клиенты одной беспроводной сети не имеют доступа друг к другу, а могут обращаться только к самой точке доступа (и к интернету, соответственно), несмотря на то, что все они в одной подсети. Но такие точки доступа стоят заметно дороже, впрочем цены и в этом случае не запредельные.

Но в общем для вас будет вполне достаточно сделать для таких беспроводных устройств отдельную подсеть любым удобным способом, и ограничить или вообще убрать марщрутизацию между этой подсетью и вашей основной подсетью. Можно оставить, например, только доступ к какой-то файлопомойке со всякими драйверами, открытой только на чтение.

Любой хоть минимально вменяемый системный администратор выполнит эту работу за час-другой максимум.

24.01.2013, 00:28

Надо же, насколько совпадает наш с вами стиль жизни: меня тут озадачили проблемой прикрутить к ZyXEL Kiimetic Giga сервер баз данных от 1С. Да ещё и видеопоток от камер из внутренней сетки в интернет. :)
Вот думаю, с чего начать избиение младенца?

@okotimiv · 24.01.2013, 00:30

С установки второй версии прошивки.

@Bomomd · 24.01.2013, 00:37

Сообщение от okotimiv

Но в общем для вас будет вполне достаточно сделать для таких беспроводных устройств отдельную подсеть любым удобным способом, и ограничить или вообще убрать марщрутизацию между этой подсетью и вашей основной подсетью.

Ну вот в таком направлении я и думал, буду завтра админа напрягать.

24.01.2013, 00:42

С установки второй версии прошивки.

О, начинается...
Я бы никогда не взялся за это, если бы нашёлся кто-то другой, кроме меня. Но его нет, этого другого. А знакомый устроил дело таким образом, что все его поставщики и покупатели есть только тогда, когда есть сеть и интернет-доступ.
У меня сомнения: а даст ли 1С пуссть даже в виде базы, а не клиента, поставить себя на гигу?
И ещё вопрос: каким потоковым протоколом обернуть видеотрафик?

Если ТС посчитает это угоном темы, то прошу простить.

@Sym · 24.01.2013, 01:34

Сообщение от Bomomd

Это может показаться идиотизмом, но тем не менее так оно и есть. По работе часто приходится иметь дело с ноутбуками клиентов, которые их привозят для обновления, настройки софта и т.п. Для этого нужен интернет. Интернет на наши компы приходит по LAN, все машины включены в домен, поэтому так просто переткнуть витуху в ноут клиента не получается. Естественное решение, поставить вафлю. Пошел я к директору и сказал "купи, очень надо". Так блять, вы можете себе представить, он сомневается насколько это все безопасно, он думает что с компьютера клиента какой нибудь вирус, червь и прочее говно может залезть в нашу локалку и домен и похерить там все. Скажите, знающие люди, как его уговорить чтобы он таки купил эту ебучую копеечную точку доступа? А может он прав? Я вообще в этих делах полный нуб.

Я может что-то не понимаю, но зачем перетыкать витую пару в ноутбук клиента? Поставьте вторую сетевую карту, если совсем уж партизанить можно USB сетевуху, прописать на нейт жесткий IP 192.168.0.1 Ремонтируемому ноутбуку прописываете 192.168.0.2. Интернет через proxy сервер, даете ноутбуку 1 порт 3128, всё остальное заблокировано насмерть. Ноутбук никаким образом не получит доступа ни к чему кроме прокси сервера, даже попинговать не сможет без спроса.
Сам пользуюсь проксей
http://www.3proxy.ru/
100 кб весит, всё что надо умеет, из настройки 3 строчки файла конфигурации и то потому что скорость урезал, чтобы трафик контролировать.

Насчет того что страшные вирусы уничтожают данные в локалке это старый миф. Современные вирусы имеют план максимум украсть логины пользователя ICQ, вконтакте и одноклассники и пару дней рассылать порноспам, пока пользователя временно не заблокируют или юзер не восстановит пароль. В локальной сети начинают спамить, на что ругаются антивирусы и после пары жалоб админы блокируют зараженный комп. Бывает и по ошибке, я как-то вместо контроллера указал по ошибке в программе просмотрщике компьютер в бухгалтерии (типа данные каждую секунду брать тута 172.23.33.33:502), через час уже позвонил админ и жаловался что комп проявляет сетевую активность как вирус, пришлось исправить. Скорее всего на компе стоял касперский и начал пищать.

Сам работал в сети университета и домашней сети, именно от вирусов никаких проблем. Более опасны обиженные хаккеры, которые после посылания в чате пытаются убить винду и данные. Если не получается программно, вставляют витую пару в сеть 220в или бъют морду, ну молодежь потому что :)

Сам админю 5 видеосерверов на 150 видеокамер, на вирусы давно забил. Фаервол отключаю так как он мешает подсоединяться клиентам (вносить 25 портов в исключения очень лениво), антивирус тормозит работу, установлен на половине серверов. На всякий случай есть бэкап сервера в акронисе, но ни разу не пригодился за много лет. Вобщем и данные там не такие важные, намного чаще винты сгорают чем вирусы что-то повреждают.

@Ymk 0 / 0 / 0 Регистрация: 18.03.2010 Сообщений: 2,230
	23.01.2013, 23:53	11
	если сосед вчера написал троянца, никакой антивирус его не найдет. так что только правильно сеть настраивать, чтобы доступа к локалке не было. Сообщение от Bomomd а вот такая опция (запрети выход через вафлю в локалку, только интернет) есть в wifi роутерах? Как называется? что-то типа гостевого выхода в инет (там отдельный пароль будет). 0

@Bomomd 0 / 0 / 0 Регистрация: 29.03.2010 Сообщений: 2,017
	24.01.2013, 00:07	14
	спасибо, значит буду копать в сторону гостевого доступа. Админ у нас нуб еще похлеще меня. 0

@Bomomd 0 / 0 / 0 Регистрация: 29.03.2010 Сообщений: 2,017
	24.01.2013, 00:37	18
	Сообщение от okotimiv Но в общем для вас будет вполне достаточно сделать для таких беспроводных устройств отдельную подсеть любым удобным способом, и ограничить или вообще убрать марщрутизацию между этой подсетью и вашей основной подсетью. Ну вот в таком направлении я и думал, буду завтра админа напрягать. 0

@Bomomd 0 / 0 / 0 Регистрация: 29.03.2010 Сообщений: 2,017
		1
	wi fi точка доступа. 23.01.2013, 21:16. Показов 9223. Ответов 33 Метки нет (Все метки) Это может показаться идиотизмом, но тем не менее так оно и есть. По работе часто приходится иметь дело с ноутбуками клиентов, которые их привозят для обновления, настройки софта и т.п. Для этого нужен интернет. Интернет на наши компы приходит по LAN, все машины включены в домен, поэтому так просто переткнуть витуху в ноут клиента не получается. Естественное решение, поставить вафлю. Пошел я к директору и сказал "купи, очень надо". Так блять, вы можете себе представить, он сомневается насколько это все безопасно, он думает что с компьютера клиента какой нибудь вирус, червь и прочее говно может залезть в нашу локалку и домен и похерить там все. Скажите, знающие люди, как его уговорить чтобы он таки купил эту ебучую копеечную точку доступа? А может он прав? Я вообще в этих делах полный нуб. 0

@Josom 0 / 0 / 0 Регистрация: 24.09.2010 Сообщений: 38
	23.01.2013, 21:35	2
	Сообщение от Bomomd он думает что с компьютера клиента какой нибудь вирус, червь и прочее говно может залезть в нашу локалку и домен и похерить там все. Скажите, знающие люди, как его уговорить чтобы он таки купил эту ебучую копеечную точку доступа? А может он прав? Он таки прав. Если у клиента живет вирус, то при подключении к сети он вполне может просканировать доступные на запись сетевые шары(таковые как правило есть всегда, но в случае с нормальной доменной политикой это ему сложнее сделать будет) и позаражать файлы там. 0

@Bomomd 0 / 0 / 0 Регистрация: 29.03.2010 Сообщений: 2,017
	23.01.2013, 21:38	3
	мда, я подозревал такой вариант. Если только на подать на точку доступа линию напрямую с прокси, минуя домен. Прокся у нас вроде на линуксе. 0

@sobokymk 0 / 0 / 0 Регистрация: 22.03.2012 Сообщений: 755
	23.01.2013, 21:43	4
	Начальник всегда прав. (эт, первое) Взломать через wifi, как два пальца... Даж, при wpa2.(ет, второе) Это задача местного админа, который отвечает за работу локалки и доступа в инет. Пусть директор поручит ему нормально организовывать конкретное рабочее место... 0

@Ymk 0 / 0 / 0 Регистрация: 18.03.2010 Сообщений: 2,230
	23.01.2013, 22:54	5
	как там wpa2 за два пальца ломается-то? ;) 0

@BorMys 0 / 0 / 0 Регистрация: 15.01.2012 Сообщений: 100
	23.01.2013, 23:03	6
	Сообщение от Bomomd ... он сомневается насколько это все безопасно.... И правильно сомневается! Иди к админу, это дело можно разрулить выделив виртуальную сеть внутри основной сети или создать отдельную сеть изолировав её через шлюз. Делается всё это дело на коммутаторе и достаточно геморойно. 0

@dosykus_2 1 / 1 / 0 Регистрация: 06.12.2016 Сообщений: 3,946
	23.01.2013, 23:04	7
	Если уж так боязно, запрети выход через вафлю в локалку, только интернет . 0

@ImTuTb! 0 / 0 / 0 Регистрация: 04.03.2011 Сообщений: 594
	23.01.2013, 23:06	8
	Получил комп, проверил доктор вебом бесплатным. На "C" както называется - не помню. Ахуенная вещь. Не засирает ОС и находит все дерьмо. Потом чистый комьютер подключил к вафле. Ваще дирик конечно дятел, зубов бояца - в рот не давать. А вафля - это прогресс! Простите, немного выпил. 0

@dosykus_2 1 / 1 / 0 Регистрация: 06.12.2016 Сообщений: 3,946
	23.01.2013, 23:20	9
	Сообщение от ImTuTb! Получил комп, проверил доктор вебом бесплатным. На "C" както называется - не помню. Curelt . Есть и более радикальное решение - Dr_ web LiveCD. 0

@Bomomd 0 / 0 / 0 Регистрация: 29.03.2010 Сообщений: 2,017
	23.01.2013, 23:47	10
	Сообщение от dosykus_2 Если уж так боязно, запрети выход через вафлю в локалку, только интернет . Да мне не боязно, а вот такая опция (запрети выход через вафлю в локалку, только интернет) есть в wifi роутерах? Как называется? 0

	24.01.2013, 01:34

@sobokymk 0 / 0 / 0 Регистрация: 22.03.2012 Сообщений: 755
	24.01.2013, 00:00	12
	Сообщение от Ymk как там wpa2 за два пальца ломается-то? ;) Брутфорсят PSK по словарю.:) Внезапно, ключ, почему то и почти всегда оказывается 12345678 или qwirty12))) 0

@okotimiv 1 / 1 / 0 Регистрация: 30.08.2010 Сообщений: 3,379
	24.01.2013, 00:01	13
	Это называется гостевой доступ. Есть, к примеру, во второй версии прошивки кинетиков. Получается две беспроводных сети с разными названиями, разными настройками безопасности, и разными сетевыми интерфейсами. Но это не совсем ваш случай, потому что вам нужна именно точка доступа, а не домашний маршрутизатор. Ваш случай проще. Надо купить любую точку доступа, подключить ее к отдельному порту вашего маршрутизатора, либо напрямую, либо через vlan, и настроить nat. Дел на 10 минут. С безопасностью никаких проблем не будет. Есть и более изощренные способы, но у вас их видимо некому реализовывать, так что не будем о них. Отправлено с моего GT-N8000 через Tapatalk 0

@okotimiv 1 / 1 / 0 Регистрация: 30.08.2010 Сообщений: 3,379
	24.01.2013, 00:12	15
	В случае обостренной паранойи можно купить не обычную точку доступа, а специальную точку доступа для публичных сетей (примерно такую, какие стоят на публичных хотспотах во всяких кафе). У них есть режим, когда клиенты одной беспроводной сети не имеют доступа друг к другу, а могут обращаться только к самой точке доступа (и к интернету, соответственно), несмотря на то, что все они в одной подсети. Но такие точки доступа стоят заметно дороже, впрочем цены и в этом случае не запредельные. Но в общем для вас будет вполне достаточно сделать для таких беспроводных устройств отдельную подсеть любым удобным способом, и ограничить или вообще убрать марщрутизацию между этой подсетью и вашей основной подсетью. Можно оставить, например, только доступ к какой-то файлопомойке со всякими драйверами, открытой только на чтение. Любой хоть минимально вменяемый системный администратор выполнит эту работу за час-другой максимум. 0

virt
	24.01.2013, 00:28	16
	Надо же, насколько совпадает наш с вами стиль жизни: меня тут озадачили проблемой прикрутить к ZyXEL Kiimetic Giga сервер баз данных от 1С. Да ещё и видеопоток от камер из внутренней сетки в интернет. :) Вот думаю, с чего начать избиение младенца?

@okotimiv 1 / 1 / 0 Регистрация: 30.08.2010 Сообщений: 3,379
	24.01.2013, 00:30	17
	С установки второй версии прошивки. 0

virt
	24.01.2013, 00:42	19
	С установки второй версии прошивки. О, начинается... Я бы никогда не взялся за это, если бы нашёлся кто-то другой, кроме меня. Но его нет, этого другого. А знакомый устроил дело таким образом, что все его поставщики и покупатели есть только тогда, когда есть сеть и интернет-доступ. У меня сомнения: а даст ли 1С пуссть даже в виде базы, а не клиента, поставить себя на гигу? И ещё вопрос: каким потоковым протоколом обернуть видеотрафик? Если ТС посчитает это угоном темы, то прошу простить.

@Sym 1 / 1 / 0 Регистрация: 16.12.2016
	24.01.2013, 01:34	20
	Сообщение от Bomomd Это может показаться идиотизмом, но тем не менее так оно и есть. По работе часто приходится иметь дело с ноутбуками клиентов, которые их привозят для обновления, настройки софта и т.п. Для этого нужен интернет. Интернет на наши компы приходит по LAN, все машины включены в домен, поэтому так просто переткнуть витуху в ноут клиента не получается. Естественное решение, поставить вафлю. Пошел я к директору и сказал "купи, очень надо". Так блять, вы можете себе представить, он сомневается насколько это все безопасно, он думает что с компьютера клиента какой нибудь вирус, червь и прочее говно может залезть в нашу локалку и домен и похерить там все. Скажите, знающие люди, как его уговорить чтобы он таки купил эту ебучую копеечную точку доступа? А может он прав? Я вообще в этих делах полный нуб. Я может что-то не понимаю, но зачем перетыкать витую пару в ноутбук клиента? Поставьте вторую сетевую карту, если совсем уж партизанить можно USB сетевуху, прописать на нейт жесткий IP 192.168.0.1 Ремонтируемому ноутбуку прописываете 192.168.0.2. Интернет через proxy сервер, даете ноутбуку 1 порт 3128, всё остальное заблокировано насмерть. Ноутбук никаким образом не получит доступа ни к чему кроме прокси сервера, даже попинговать не сможет без спроса. Сам пользуюсь проксей http://www.3proxy.ru/ 100 кб весит, всё что надо умеет, из настройки 3 строчки файла конфигурации и то потому что скорость урезал, чтобы трафик контролировать. Насчет того что страшные вирусы уничтожают данные в локалке это старый миф. Современные вирусы имеют план максимум украсть логины пользователя ICQ, вконтакте и одноклассники и пару дней рассылать порноспам, пока пользователя временно не заблокируют или юзер не восстановит пароль. В локальной сети начинают спамить, на что ругаются антивирусы и после пары жалоб админы блокируют зараженный комп. Бывает и по ошибке, я как-то вместо контроллера указал по ошибке в программе просмотрщике компьютер в бухгалтерии (типа данные каждую секунду брать тута 172.23.33.33:502), через час уже позвонил админ и жаловался что комп проявляет сетевую активность как вирус, пришлось исправить. Скорее всего на компе стоял касперский и начал пищать. Сам работал в сети университета и домашней сети, именно от вирусов никаких проблем. Более опасны обиженные хаккеры, которые после посылания в чате пытаются убить винду и данные. Если не получается программно, вставляют витую пару в сеть 220в или бъют морду, ну молодежь потому что :) Сам админю 5 видеосерверов на 150 видеокамер, на вирусы давно забил. Фаервол отключаю так как он мешает подсоединяться клиентам (вносить 25 портов в исключения очень лениво), антивирус тормозит работу, установлен на половине серверов. На всякий случай есть бэкап сервера в акронисе, но ни разу не пригодился за много лет. Вобщем и данные там не такие важные, намного чаще винты сгорают чем вирусы что-то повреждают. 0