проблема инсайдеров

[Vened]

Доброе время суток!

Вопрос больше теоретический.
Есть некая сеть не мелкой торговой организации. Основная работа -- 1С в терминалке. С некоторых пор возникла острая необходимость "допускать" в сеть (Доступ на сервер терминалов, в Инет, к общим документам) людей со своим оборудованием. Собственные компы организации я могу контролировать. Могу проверить на них состояние антивируса, наличие актуальных заплаток и т.д. Гаджеты приходящих инсайдеров для такого контроля недоступны. Более того, когда такой человек приходит -- я знаю. Когда он "увольняется" -- я не в курсе. Соответственно, человек может уже и не работает, а его учетные записи с доступом к разным внутресетевым ресурсам могут быть актуальны.

Каким образом обезопасить сеть от подобного рода инсайдеров?

[fisher74]

Гаджеты приходящих инсайдеров для такого контроля недоступны. Более того, когда такой человек приходит -- я знаю. Когда он "увольняется" -- я не в курсе. Соответственно, человек может уже и не работает, а его учетные записи с доступом к разным внутресетевым ресурсам могут быть актуальны.

Проверка актуальности учётки можно организовать лимитом использования пароля, то есть требовать смену пароля через некоторое время. Если пароль не обновляется n-ое время учётка блокируется и через очередной тайаут удаляется.

Предложение также чисто теоретическое.

[X.3.]

А почему отдел кадров уведомления вам не присылает? Странная политика, часто вообще блочат доступ к некоторым ресурсам еще в момент срока отработки сотрудника. Могу предложить извратится с "одноразовыми" паролями (выдавать на строго ограниченно время) А так да, вопрос чисто организационный, не думаю что можно решить его технически.

[Vened]

А почему отдел кадров уведомления вам не присылает? Странная политика, часто вообще блочат доступ к некоторым ресурсам еще в момент срока отработки сотрудника. Могу предложить извратится с "одноразовыми" паролями (выдавать на строго ограниченно время) А так да, вопрос чисто организационный, не думаю что можно решить его технически.

Как я писал выше: предприятие торговое. Вернее: опт. По договоренности с поставщиками на предприятии присутствуют представители этих самых поставщиков со своими буками. "Документально" на предприятии они не числятся. И трудоустроены (вместе с буком) непосредственно у поставщика. По этому: когда представителю нуна войти в систему он ко мне с челбитной приходит. А когда его отозвали -- х.з.

Но вопрос больше не в учете учеток (сори за каламбурчик). Вопрос: как по максимуму отгородить "сторонние" буки от внутренней сети, при этом оставить на них доступ, скажем, к терминалке.

[X.3.]

IPsec? А вообще от топологии зависит, как они вообще к сети подключаются?

[Vened]

А вообще от топологии зависит, как они вообще к сети подключаются?

Пока все в одной. А как сделать лучше?

[fisher74]

В челобитной должен быть оговорен срок ( например, не более календарной недели) доступа и комп (для Вас MAC-адрес). Для всех левых подключений - выделенная сеть с жёсткой фильтрацией траффика.

[Дмитрий Бо]

Я не понял, эти люди ногами приходят, т. е. не VPN?

Может, стоит использовать динамические VLANы, чтобы все неизвестные устройства попадали в отдельную подсеть за сатрапский фаервол?

[X.3.]

VLAN? LOL. Если бы его оборудование поддерживало VLAN, не думаю что у него возникали такие вопросы. Впрочем, да, топикстартер бюджет не оговорил. Почему нельзя "тупо" сделать отдельную сетку (физически) для этого?

[Дмитрий Бо]

VLAN? LOL. Если бы его оборудование поддерживало VLAN, не думаю что у него возникали такие вопросы. Впрочем, да, топикстартер бюджет не оговорил. Почему нельзя "тупо" сделать отдельную сетку (физически) для этого?

Если бы да кабы. VLAN может поддерживать и оборудование за 80$. Да и между уровнем оборудования и уровнем персонала зависимость далекоо не всегда прямая.
А бюджет, мне кажется, 0$. Потому что "и так всё работает же" (С)