アカウント名:
パスワード:
サーバ室設置のスイッチングHUBからクライアントへ1対1で接続(サーバ室以外でカスケードしない)。 その先にHUBつないで別のモノ(NASとかPCとか)つないだり、PC入替えたりすると、スイッチングHUBからSTPパケットが出るので、登録されていないMACアドレスだとアラート発生。 米国、欧州、日本のネットワーク管理者が8時間ごとに管理担当していて、24時間いつでも速攻で拠点担当者へ内線直電。 現場押さえて始末書orクビ (拠点担当者or代理不在の場合はスイッチングHUBで該当ポートをDisable)
という実例もあります:-D
>NICを引っこ抜いて、持ち込みPCに挿して使うとかどうなんでしょう?
PCは基本的にデスクトップ。ノート等ポータブルなものは、独立したLANにしか繋げられません。こちらのLANは基幹系へのアクセスは基本的にできません。 デスクトップには全部物理的な:-D鍵がかけてあるので、破壊しない限り拠点管理者しか開けられません。
>他にも、正規の許可されたPCに一旦DLして、そのPCから外付けストレージor他PCと直結で移すとか、
FDD無し、CDはROMのみ、USB、プリンターポート、シリアルはBIOSレベルで殺してあります。 もちろんBIOSパスワードも設定されていますし、BIOSのAdminパスワードはマザーボード交換する以外にリセットの方法はありません(という事になっています。メーカが言うには:-D)
>それこそスクリーンショットを撮るなり、持ち出そうと思えばできそうな気がします。
どのようなシステム的な対処をしたとしても100%はあり得ません。 もっと極論すれば読んで記憶しておいても漏洩はしますから。 MACアドレスにしても、EEPROMに記録されたMACアドレス以外のものをソフト的に設定する事もできますし。
ただ、「ネットワークさえあれば何でもやり放題」という訳でも無いよという実例を示したまで。
結局それが穴になるってので止めたのだけど、場合に依っては大穴になった可能性も。
1.端末にデータを落とす 2.端末を既存ネットワークから切り離してNASとだけ接続 3.端末からNASにデータを移す 3.NASだけ持ってさようなら
ポリシーで一般ユーザはネットワーク共有の設定を変更できなくしとけば接続できません。
>また、MACアドレスは絶対不変ではないわけで、それなりの知識がある人間には無防備かと。
ActiveDirectoryなどでのPC
いっそ、施錠された電算室にメインフレーム置いて端末はすべてダム端末。バックアップメディアは金庫に保管、なんていうクラシカルなスタイルの復権、ってのもありかもね。
# 半分ネタだが半分マジ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
腕のみせどころ (スコア:1)
Re:腕のみせどころ (スコア:0)
#自端末に保存→ネットワーク経由でNASへ。
ネットワークに接続していないサーバにデータがある場合、バックアップ出来るかという問題があるし。
#外部メディアにバックアップしているなら、それ持ち出せばよい。
##バックアップできないのはすでにシステム的に破綻している。
Windows端末を使用していればUSBメモリなどもあるので、メタフレーム [e-words.jp]とかでダム端末のみからのアクセスを許可するようにして、守るくらいですかねぇ、、、
#端末に処理を任せている時点で負けということで。
あとは漏れちゃった場合の対策として、認証/閲覧の記録を可能な限り採取しておくくらいでしょうね。
#Y!BBの場合は認証記録が1週間のみだったそうで。
Re:腕のみせどころ (スコア:2, 興味深い)
サーバ室設置のスイッチングHUBからクライアントへ1対1で接続(サーバ室以外でカスケードしない)。
その先にHUBつないで別のモノ(NASとかPCとか)つないだり、PC入替えたりすると、スイッチングHUBからSTPパケットが出るので、登録されていないMACアドレスだとアラート発生。
米国、欧州、日本のネットワーク管理者が8時間ごとに管理担当していて、24時間いつでも速攻で拠点担当者へ内線直電。
現場押さえて始末書orクビ
(拠点担当者or代理不在の場合はスイッチングHUBで該当ポートをDisable)
という実例もあります:-D
素人考えですが (スコア:0)
> 登録されていないMACアドレスだとアラート発生。
MACアドレスって、後付けのNICだったらそのNICに振られてますよね?
NICを引っこ抜いて、持ち込みPCに挿して使うとかどうなんでしょう?
他にも、正規の許可されたPCに一旦DLして、そのPCから外付けストレージor他PCと直結で移すとか、
正規の権限を持
Re:素人考えですが (スコア:1, 興味深い)
>NICを引っこ抜いて、持ち込みPCに挿して使うとかどうなんでしょう?
PCは基本的にデスクトップ。ノート等ポータブルなものは、独立したLANにしか繋げられません。こちらのLANは基幹系へのアクセスは基本的にできません。
デスクトップには全部物理的な:-D鍵がかけてあるので、破壊しない限り拠点管理者しか開けられません。
>他にも、正規の許可されたPCに一旦DLして、そのPCから外付けストレージor他PCと直結で移すとか、
FDD無し、CDはROMのみ、USB、プリンターポート、シリアルはBIOSレベルで殺してあります。
もちろんBIOSパスワードも設定されていますし、BIOSのAdminパスワードはマザーボード交換する以外にリセットの方法はありません(という事になっています。メーカが言うには:-D)
>それこそスクリーンショットを撮るなり、持ち出そうと思えばできそうな気がします。
どのようなシステム的な対処をしたとしても100%はあり得ません。
もっと極論すれば読んで記憶しておいても漏洩はしますから。
MACアドレスにしても、EEPROMに記録されたMACアドレス以外のものをソフト的に設定する事もできますし。
ただ、「ネットワークさえあれば何でもやり放題」という訳でも無いよという実例を示したまで。
Re:素人考えですが (スコア:0)
さすがにここまでの可能性を考えたらキリがないのかもしれないけれど。
Re:素人考えですが (スコア:0)
全員が教祖、全員が俺様が法律、全員が俺様が一番…とか考えてしまった、時期が時期だけに。
Re:素人考えですが (スコア:0)
Re:素人考えですが (スコア:0)
でもやっぱり全員導師(グル)レベルの人間で、
ぐるになっちゃえば大抵のことはできちゃうとか。。。
Re:素人考えですが (スコア:0)
結局それが穴になるってので止めたのだけど、場合に依っては大穴になった可能性も。
Re:腕のみせどころ (スコア:0)
端末の切り離しと端末への保存が許される環境だと、
Re:腕のみせどころ (スコア:0)
ポリシーで一般ユーザはネットワーク共有の設定を変更できなくしとけば接続できません。
>また、MACアドレスは絶対不変ではないわけで、それなりの知識がある人間には無防備かと。
ActiveDirectoryなどでのPC
Re:腕のみせどころ (スコア:0)
>
> ポリシーで一般ユーザはネットワーク共有の設定を変更できなくしとけば接続できません。
この回答はとんちんかんですねぇ、、、
端末-NAS間の通信を阻害しなければならないのに、「ネットワーク共有の設定を変更できなく」しただけでOKとは。
端末-NAS間の通信がネットワーク共有だけに限られるという根拠が知りたいです。
#Windows端末は標準でftpクライアント載んでいたりするし。
やるならpersonal firewallで許可したアプリケーション以外からの通信を許可しない設定にしておかないとダ
Re:腕のみせどころ (スコア:0)
いいなぁ、8時間もネットワーク管理ができるなんて。
いや、ネットワーク管理の仕事が8時間で済んで。
#ウチみたいな中小弱小企業のネットワーク管理者だと、ただの雑用係。
#唯一の救いはパソコンで何か悪さをしようとするだけの知識を持った社員がいない(自分を除く)。
Re:腕のみせどころ (スコア:1)
Re:腕のみせどころ (スコア:0)
Re:腕のみせどころ (スコア:1, 参考になる)
内部関係者が顧客情報を引き出す場合、一部に偽データを入れます。
偽データは、引き出す人物に応じて変え、偽データによって引き出した
人物が誰なのか特定できるようにします。
漏洩が発覚したら、それに含まれている偽情報から犯人を特定します。
ほかに、ステガノグラフという手もあります。
引き出した人物のIDを引き出される顧客情報に隠すというのも
良いかもしれません。
いずれも、抑止力という効果しか見込めないですが。
#本当はそんな機能はついていなくても、社内に噂として
#流すだけで抑止力にはなるかも。
Re:腕のみせどころ (スコア:1)
もちろん、そのことが知られてしまえば無効化されちゃうわけですが。
#たしか、トム・クランシーの小説で主人公が考案したのが、機密情報の流出経路を特定するために、文書の言い回しや句読点を配布相手毎にちょっとずつ変えるというものだったと思いますが、それって実際にも使われてたりするのでしょうか?
Re:腕のみせどころ (スコア:0)
いっそ、施錠された電算室にメインフレーム置いて端末はすべてダム端末。バックアップメディアは金庫に保管、なんていうクラシカルなスタイルの復権、ってのもありかもね。
# 半分ネタだが半分マジ。