[Valeant]

PaShock,
Как то все мудрено, есть

1.ПК + kerio winrouter = 1сет.интернет другая лок.сеть
настройки на доступ к интернету клиентов так же возможны через VPN. Документация на есть на русском.

2. роутер с wan портом и настройка фильтра для доступа в интернет.

[El Scorpio]

Valeant,я сам с такими административными заморочками мучаюсь

Цитата PaShock:

В локалке запрещено пользоваться инетом, собсно поэтому Инет-сеть и отделена физически от Локалки. »

В принципе, можно объединить сети воедино, а на шлюзе создать запреты для выхода "наружу" всем компьютерам, кроме нескольких. Достаточно только убедить начальника в том, что такую схему используют практически все.
Но если эта организация - часть большой структуры, обрабатывающей Очень Важную Информацию, то там требование физического разделения сетей может быть сформулировано весьма жёстко
Я работаю так - две розетки,*в каждой сети свой DHCP-сервер (в одной - сервак, в другой - ADSL-модем). Выдернул провод, подождал пару секунд,*чтобы система обнаружила отсутствие связи, воткнул, и сетевая карта другой адрес получает.

А*убеждать проверяющих в "безопасности" использования виртуальных машин... Не стоит

[PaShock]

Цитата El Scorpio:

В принципе, можно объединить сети воедино, а на шлюзе создать запреты для выхода "наружу" всем компьютерам, кроме нескольких »

выход "наружу" столь же опасен как проникновение "внутрь" сети, а я еще не настолько опытен в это сфере, чтобы заниматься так плотно

Цитата El Scorpio:

Я работаю так - две розетки,*в каждой сети свой DHCP-сервер (в одной - сервак, в другой - ADSL-модем). Выдернул провод, подождал пару секунд,*чтобы система обнаружила отсутствие связи, воткнул, и сетевая карта другой адрес получает. »

я тоже имел такую возможность, перетыкать пачкорды, но во-1х - само по себе не хорошо перетыкивание проводов, во-2х ситуация: ты в инете подцепил заразу(допустим такую, которую не смог отловить антивирус), перетыкиваешь провод в локалку, вирус: "ООО, локалка!!!! )" и с тихими радостными воплями понесся по сети

по крайней мере два человека ответили по моей схеме, что она относительно безопасна (относительно в данном случае ближе к безопасному использованию)

хотелось бы услышать еще мнения и аспекты безопасного/опасного использования такого подключения

[El Scorpio]

Цитата PaShock:

ты в инете подцепил заразу(допустим такую, которую не смог отловить антивирус), перетыкиваешь провод в локалку, вирус: "ООО, локалка!!!! )" и с тихими радостными воплями понесся по сети »

Во-первых, точно также вирус могут принести на флэшке. Более того, строить политику безопасности, исходя из принципа "никакой посторонней информации не будет", глупо - кто-нибудь когда-нибудь что-нибудь воткнёт "на минутку", а на этом "что-нибудь" по закону подлости будет обитать целый зоопарк. Собственно говоря, физическая изоляция сети ничего, кроме лишнего головняка админам не приносит.
Во-вторых, антивирус обновлять надо, однако.
Ну а в третьих, лично я использую классово правильный Linux

Цитата PaShock:

выход "наружу" столь же опасен как проникновение "внутрь" сети, а я еще не настолько опытен в это сфере, чтобы заниматься так плотно »

Тут вообще как получается. Благодаря NAT шлюз полностью блокирует доступ извне - перенаправление определённых входящих соединений на конкретные компьютеры настраивается отдельно для каждого подключения. То есть, злоумышленнику потребуется сначала взломать сам шлюз, который обычно является специальным устройством,*взлом которого практически невозможен.
То есть всё сводится к троянским программам, открывающим исходящие соединения, которые распространяются через сменные носители, почту, аську, или же загружаются с заражённых сайтов.
Универсального решения здесь нет - остаётся только раздавать интернет только лицам, понимающим суть выполняемых ими действий. Или драконовскими мерами чётко прописать на шлюзе явно оговоренный список нужных им сайтов и протоколов.

Цитата PaShock:

хотелось бы услышать еще мнения и аспекты безопасного/опасного использования такого подключения »

Помимо опасности проникновения вируса есть ещё опасность хищения информации.
Теоретически можно написать программу, которая выследит "переключаемую" машину в сети, установит на неё свою копию, подготовит пакет информации и скопирует на неё, дабы потом переслать в интернеты. Но точно также можно написать и программу, которая будет украдкой передавать информацию через флэшки.
Впрочем, лично я о сущестовании таких вирусов я не слышал.

Цитата PaShock:

ты в инете подцепил заразу(допустим такую, которую не смог отловить антивирус), перетыкиваешь провод в локалку, вирус: "ООО, локалка!!!! )" и с тихими радостными воплями понесся по сети »

Во-первых, точно также вирус могут принести на флэшке. Более того, строить политику безопасности, исходя из принципа "никакой посторонней информации не будет", глупо - кто-нибудь когда-нибудь что-нибудь воткнёт "на минутку", а на этом "что-нибудь" по закону подлости будет обитать целый зоопарк. Собственно говоря, физическая изоляция сети ничего, кроме лишнего головняка админам не приносит.
Во-вторых, антивирус обновлять надо, однако.
Ну а в третьих, лично я использую классово правильный Linux

Цитата PaShock:

выход "наружу" столь же опасен как проникновение "внутрь" сети, а я еще не настолько опытен в это сфере, чтобы заниматься так плотно »

Тут вообще как получается. Благодаря NAT шлюз полностью блокирует доступ извне - перенаправление определённых входящих соединений на конкретные компьютеры настраивается отдельно для каждого подключения. То есть, злоумышленнику потребуется сначала взломать сам шлюз, который обычно является специальным устройством,*взлом которого практически невозможен.
То есть всё сводится к троянским программам, открывающим исходящие соединения, которые распространяются через сменные носители, почту, аську, или же загружаются с заражённых сайтов.
Универсального решения здесь нет - остаётся только раздавать интернет только лицам, понимающим суть выполняемых ими действий. Или драконовскими мерами чётко прописать на шлюзе явно оговоренный список нужных им сайтов и протоколов.

Цитата PaShock:

хотелось бы услышать еще мнения и аспекты безопасного/опасного использования такого подключения »

Помимо опасности проникновения вируса есть ещё опасность хищения информации.
Теоретически можно написать программу, которая выследит "переключаемую" машину в сети, установит на неё свою копию, подготовит пакет информации и скопирует на неё, дабы потом переслать в интернеты. Но точно также можно написать и программу, которая будет украдкой передавать информацию через флэшки.
Впрочем, лично я о сущестовании таких вирусов я не слышал.

[PaShock]

Цитата El Scorpio:

Во-первых, точно также вирус могут принести на флэшке. Более того, строить политику безопасности, исходя из принципа "никакой посторонней информации не будет", глупо - кто-нибудь когда-нибудь что-нибудь воткнёт "на минутку", а на этом "что-нибудь" по закону подлости будет обитать целый зоопарк. Собственно говоря, физическая изоляция сети ничего, кроме лишнего головняка админам не приносит. Во-вторых, антивирус обновлять надо, однако. Ну а в третьих, лично я использую классово правильный Linux »

все USB закрыты, никаких приводов на РС нет, полная изоляция!!! )) Антивирус обновляется, не так часто как хотелось бы, но раз в неделю точно!
Линукс - это хорошо, но я в нем еще меньше бум-бум! )

Цитата El Scorpio:

Помимо опасности проникновения вируса есть ещё опасность хищения информации. Теоретически можно написать программу, которая выследит "переключаемую" машину в сети,»

"переключаемую" - т.е. это мой Хост??

Цитата El Scorpio:

установит на неё свою копию, подготовит пакет информации и скопирует на неё, дабы потом переслать в интернеты. Но точно также можно написать и программу, которая будет украдкой передавать информацию через флэшки. Впрочем, лично я о сущестовании таких вирусов я не слышал. »

....и это в том случае, если я на флешке за несу такую прогу на только Хост, ведь из ВМ Хост не пингуется???

Цитата El Scorpio:

Тут вообще как получается. Благодаря NAT шлюз полностью блокирует доступ извне - перенаправление определённых входящих соединений на конкретные компьютеры настраивается отдельно для каждого подключения. То есть, злоумышленнику потребуется сначала взломать сам шлюз, который обычно является специальным устройством,*взлом которого практически невозможен.»

а у меня Internet-Server не NAT??(определение знаю, но пока не понимаю до конца, что за сие чудо)) Что он является шлюзом, это я понимаю.

ЗЫ: а что значат звездочки перед некторыми словами/фразами?? :[

[Valeant]

Если речь идет о серьезной организации и требованиях, то все равно, я бы сеть "объединил" в голове стоит нормальный switch - умный и управляемый, а от него уже можно до мелких которые в комнатах, или на конкретные пк. Далее бы создал VLAN для пользователей.

Цитата:

Поддержка виртуальных сетей VLAN позволяет выделить широковещательные домены и обеспечить сегментирование потоков данных. Для того чтобы сегментировать сеть, необходимо сгруппировать рабочие станции и серверы, которые подключены к коммутатору, в различные виртуальные сети VLAN. Данная модель коммутатора поддерживает VLAN на основе 802.1Q и на базе портов, что позволяет изменять топологию сети без физического перемещения станций или изменения кабельных соединений. Также коммутатор поддерживает приоритезацию очередей 802.1p для обеспечения надлежащего качества обслуживания, позволяя пользователям использовать в сети чувствительные к задержкам приложения, такие как потоковое аудио/видео и VoIP.

Ну и естественно контроль своих сетевых портов, все зависит от ПО которое на нем стоит.

И естественно данный switch к каналу интернет через маршрутизатор.

А перетыкание кабелей - это не решение вопроса.

[PaShock]

Цитата Valeant:

Если речь идет о серьезной организации и требованиях, то все равно, я бы сеть "объединил" в голове стоит нормальный switch - умный и управляемый, а от него уже можно до мелких которые в комнатах, или на конкретные пк. Далее бы создал VLAN для пользователей. Ну и естественно контроль своих сетевых портов, все зависит от ПО которое на нем стоит. И естественно данный switch к каналу интернет через маршрутизатор.»

это пока для меня непонятно... не смогу реализовать

Цитата Valeant:

А перетыкание кабелей - это не решение вопроса. »

вот и я о том же, поэтому пошел по пути наиболее простому для меня на данный момент(как оно на ваш взгляд в плане безопасности?)

[PaShock]

Цитата El Scorpio:

То есть, злоумышленнику потребуется сначала взломать сам шлюз, который обычно является специальным устройством,*взлом которого практически невозможен. То есть всё сводится к троянским программам, открывающим исходящие соединения, которые распространяются через сменные носители, почту, аську, или же загружаются с заражённых сайтов. »

Цитата El Scorpio:

Теоретически можно написать программу, которая выследит "переключаемую" машину в сети, установит на неё свою копию, подготовит пакет информации и скопирует на неё, дабы потом переслать в интернеты. Но точно также можно написать и программу, которая будет украдкой передавать информацию через флэшки. Впрочем, лично я о сущестовании таких вирусов я не слышал. »

по делу только эти комменты
остальное только о том, что я должен бы сделать, а не о том, что я сделал
Пожалуйста, оцените то, что я наваял.

[PaShock]

Цитата PaShock:

Пожалуйста, оцените то, что я наваял. »