Размышления на тему удаленного администрирования

hobbo

Guest

Это нравится:0 Да/0 Нет

18.05.2011 17:36:33

Всем привет!
А не интересовались ли уважаемые форумчане реализацией следующей схемы удаленного администрирования.
Имеем:
УА - удаленный администратор
РС - рабочая станция
С1 - сервер-шлюз, через который (и только через него) УА получает доступ к РМ
Алгоритм:
на С1 устанавливается некий софт, который принимает трафик (типа RAdmin'ского) от указанных адресов и разрешает его направить на указанные адреса. "Некий софт" недоступен для администрирования для УА.
УА запускает "админку"-вьюер со своей РС и через С1 получает удаленный рабочий стол РС. При этом софт на С1 максимально возможно логирует действия УА.
межсетевой экран, настроенный на РС и недоступный для управления УА, позволяет принимать управляющие команды только от С1.
Мне кажется такая схема вполне должна обеспечить контроль работы удаленных админов.
Что скажете, господа?

Всем заранее спасибо!

[mad]Mega

Guest

Это нравится:0 Да/0 Нет

19.05.2011 09:06:19

"С1 максимально возможно логирует действия УА" - вот тут поподробней.
и если УА, что то нужно настраивать, то обычно нужны права администратора и я не совсем понимаю кого и зачем вам нужно ограничивать/контролировать.

RU_LIDS

Guest

Это нравится:0 Да/0 Нет

19.05.2011 11:11:54

Цитата
hobbo пишет: на С1 устанавливается некий софт, который принимает трафик (типа RAdmin'ского) от указанных адресов и разрешает его направить на указанные адреса.

Что за софт такой? По описанию смахивает на простой Port forwarding, который и так "недоступен для администрирования для УА", но и практически не в состоянии чего-либо логгировать.

hobbo

Guest

Это нравится:0 Да/0 Нет

19.05.2011 13:09:37

Цитата

[mad]Mega пишет:
"С1 максимально возможно логирует действия УА" - вот тут поподробней.

и если УА, что то нужно настраивать, то обычно нужны права администратора и я не совсем понимаю кого и зачем вам нужно ограничивать/контролировать.

Максимально логировать - это когда записываются данные кто, когда, куда подключался и что делал во время подключения.
УА нужно настраивать, но хочется его контролировать. Иными словами фактически реализуется принцип "двух рук" по отношению к РС. Один УА админит одну часть, другой - другую. Полный контроль над РС возможен только при сговоре.

hobbo

Guest

Это нравится:0 Да/0 Нет

19.05.2011 13:10:13

Цитата
RU_LIDS пишет: но и практически не в состоянии чего-либо логгировать.

вот вот... а хотелось бы записывать действия админов

hobbo

Guest

Это нравится:0 Да/0 Нет

19.05.2011 13:14:18

В общем-то некое минимальное решение, собранное на коленке, есть. Смотрите...
- УА использует lite manager viewer для доступа к РС
- на РС средствами корпоративного каспера настроен ФВ (его настраивает второй УА), который принимает "управляющий трафик" только от С1
- есть некий сервер С1 (который может админить один из УА или вообще третий админ) на котором стоит серверная часть lite manager с возможностью "только перенаправлять" трафик.

В данной схеме не устраивает бедность логов, которые ведутся на С1. Серверная часть litemanager способна записывать только "откуда пришел УА", но не видно куда он пошел и что там делал. Есть подобная программка (название забыл) которая ведет логи более подробно. В частности пишет какого рода действия УА выполнял. Но она не имеет функционала шлюза, как litemanager...

Сетевой

Guest

Это нравится:0 Да/0 Нет

19.05.2011 15:47:14

прога для логирования называется StatWin
кроме того, в большистве прог типа радмина есть встроенная возможность записи действий пользователя.. но обычно это пишется в виде видеоклипа с экрана
так-же в большистве прог есть возможность задания фильтра для входящего трафика.. по ip или по mac

довольно интересная и навороченная прога Netop Remote Control.. очень много чего умеет в части управления, инвентаризации, ограничения доступа, защиты, нарезки прав, логирования.. может работать с аппаратными токенами (пробрасывает через себя токены с удаленного компа на хостовый).. трафик может шифровать несколькими разными алгоритмами

hobbo

Guest

Это нравится:0 Да/0 Нет

19.05.2011 17:52:55

Цитата
Сетевой пишет: ...Netop Remote Control

Спасибо! Очень интересная штука. Но когда я узнал сколько стоит лицензия на саму "управляшку" и сервер безопасности, то понял что руководству будет выгоднее чтоб админы ногами бегали

Так что спасибо за совет, но если кто-то еще вспомнит решения, милости прошу.

Guest

Это нравится:0 Да/0 Нет

20.05.2011 00:47:25

Цитата
Сетевой пишет: Netop Remote Control

у нас в школе такой стоит

вообщем штука довольно хорошая,но дырок много(или у нас просто такой древний)
один из обходов NetOp School Police-банальная настройка прокси,настраивал через Proxifier v2.xxxx(кажется так называется)-НетОп нервно курит в сторонке...

hobbo

Guest

#10

Это нравится:0 Да/0 Нет

20.05.2011 08:31:44

Цитата

x3 пишет:

Цитата
Сетевой пишет: Netop Remote Control

у нас в школе такой стоит

вообщем штука довольно хорошая,но дырок много(или у нас просто такой древний)

один из обходов NetOp School Police-банальная настройка прокси,настраивал через Proxifier v2.xxxx(кажется так называется)-НетОп нервно курит в сторонке...

Против лома...
Если дать юзеру возможность пользоваться "ломом", то он им воспользуется

сергей * Guest	#11 Это нравится:0 Да/0 Нет 27.05.2011 11:46:43 ставь RAC server (http://www.remote-rac.com/) и раздавай права юзерам всех степеней по управлению компом. Логить ВСЕ действия конечно неможно, но выделив соответсвующие права, легко ограничить возможные злоупотребления....

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?