שלום לכולם,

בעקבות חיבור מחשב נוסף, ויצירת רשת בייתית, נאלצתי להפעיל את אפשרות שיתוף הקבצים ב-win ועוד אפשרויות מספר(services בעיקר) שהיו כבויים מטעמי אבטחה.. אני מבקש את עזרתכם בנקיטת הצעדים הדרושים לאור המצב החדש... השאלה : איך אני יכול להבטיח שאפשרויות השיתוף יהיו חשופות אך ורק בפני המחשב השני ברשת הפנימית, ושכלל האבטחה לא תפגע בשל השיתוף ?

1. מדובר ב-Win Xp על שניהם.
2. על שני המחשבים מותקן Sygate personal Fw
3. מדובר בנתב Alcatel 510- port1 -- אפשרות ה-UPnP כבויה

תודה מראש על עזרתכם !

השאלה היא האם אתה סומך על המחשבים ברשת המקומית שלך? אם כן אין כלל בעיה, כי
לא ניתן לגשת מבחוץ לקבצים שלך, אם בנתב לא מוגדר DMZ למחשב שלך (וגם אז הפיירוול
זה דב"כ חסום).

אם אתה לא סומך על הרשת המקומית המצב שלך קשה יותר, ובמצב כזה יש צורך בVPN
ולשקול היטב מעבר למערכת הפעלה אחרת, מאובטחת יותר, כגון GNU/LINUX, אך לכל
הפחות אתה צריך לבטל שיתוף פשוט ולהגביל גישה לשיתופי קבצים ומדפסות עם שם משתמש
וסיסמא חזקה.

הבעיה היא, שלמיטב הבנתי (הדי שטחית), השיתוף נעשה בתחנה עצמה. כלומר השיתוף הוא כלפי כולי עלמא. ברגע שהשיתוף פעיל, לכל אחד ברשת(האינטרנט) יש גישה לרשת המקומית שלי, בהנחה שיצליח לעקוף את הסיסמא...

השאלה היא, האם יש אפשרות להגדיר במפורש למי בדיוק תהיה גישה לתיקיה/כונן מסויימים עוד לפני מבחן אימות הסיסמא ?

אגב, גם לגבי הסיסמא, אז כידוע לי ב-Xp pro אין אפשרות להגדיר סיסמה עבור תיקייה/כונן, נדרשת סיסמת ה-Account אליו מנסים להתחבר. שזו בעיה בפני עצמה. הרי, אם אני רוצה שלמשתמש תהיה רק גישה מוגבלת לתיקייה מסויימת, אז אני נאלץ למסור לו את סיסמת ה-Admin שלי ??

- לגבי ה- Simple sharing - מבוטל כמובן,
- כרגע מטעמי תחזוקה אין אשפרות לעבור ל-linux, צריך לנצח עם מה שיש

המטרה היא בסה"כ לאפשר שיתוף קבצים ומדפסת ברשת המקומית, מבלי שהמחשבים ברשת יהיו חשופים כלפי חוץ.

אשמח לתגובות נוספות

חג שמח !

תשתמש ב-NetBEUI לשיתוף הקבצים והמדפסות ולא ב-File&Printer sharing - ככה אף אחד מהרשת החיצונית (אינטרנט) לא יוכל לגשת לכוננים השיתופיים.
כמו כן באמצעות PFW כדוגמת ZoneAlarm או Outpost(אם אתה מחפש משהו מקצועי) אתה יכול להגביל את הגישה למשאבים רק לכתובות IP מורשות(Local IP).
כברירת מחדל ברגע שאתה הופך את המודם שלך לנתב ולא משחק בטבלת ניתוב שלו(ACL) בעקרון אתה מוגן.
חשוב לבצע עדכוני אבטחה,לא להשתמש בתוכנות פרוצות IE\Outlook ולהצטייד באטיוירוס חזק ומעודכן.

"
השאלה היא, האם יש אפשרות להגדיר במפורש למי בדיוק תהיה גישה לתיקיה/כונן מסויימים עוד לפני מבחן אימות הסיסמא ?"

כן, אפשר באמצעות הרשאות NTFS , ענו על זה בפורום תריץ חיפוש.



>"אגב, גם לגבי הסיסמא, אז כידוע לי ב-Xp pro אין אפשרות להגדיר סיסמה עבור תיקייה/כונן, נדרשת סיסמת ה-Account אליו מנסים להתחבר. שזו בעיה בפני עצמה. הרי, אם אני רוצה שלמשתמש תהיה רק גישה מוגבלת לתיקייה מסויימת, אז אני נאלץ למסור לו את סיסמת ה-Admin שלי ??"

בגדול NTFS יפתור לך את הבעיה.
אבל אם אתה מחפש עוד פתרונות אתה יכול ליצור לו חשבון מוגבל (guest) , בשום פנים לא לתת חשבון -Admin ליוזר רגיל.
כמו כן באמצעות תוכנות כמו 1ST Security Agent תוכל ממש להגביל את הרשאות המשתמש ברמת הדסקטופ,כוננים וכו'.
אם אתה לא מחפש משהו כזה אפשר גם סתם למצוא תוכנה צד שלישי שתעשה את העבודה שכוללת תמיכה בניהול משתמשים וסיסמאות.
אבל שוב, לך על NTFS וזהו.

הנתב הביתי חוסם בד"כ (אלא אם הגדרת DMZ או הפניית פורטים) את הגישה לשירותים
האלה - כך שאין ממש סיבה לדאוג מהכיוון הזה. מרבית הפריצות למחשבים ביתיים לא
מתבצעים בדרך זו אלא כתוצאה משימוש בתוכנות כגון IE, OUTLOOK וMS OFFICE.
כך למשל מספיק לגלוש לאתר שמנצל אחת מהפירצות בIE או לקבל דואר בOUTLOOK,
או לפתוח מסמך נגוע בMS OFFICE.

לזה יש פיתרונות פשוטים:

--תשתמש בFIREFOX בתור הדפדפן שלך
--תשתמש בTHUNDERBIRD בתור תוכנת הדואר האלקטרוני שלך, ותשתמש בGMAIL
שכולל גם אנטי ספאם וגם אאנטי וירוס מובנה.
--תשתמש בOPEN OFFICE, שזמין גם בעברית.

אני עדיין הייתי ממליץ בחום לבנות את השיתוף על בסיס GNU/LINUX מהסיבה הפשוטה,
שמדובר במערכת מאובטחת יותר וניתן לכיוון עדין הרבה יותר. פשוט כשבונים מוצר בלי
שיקולים "איך להוציא מהלקוח מקסימום כסף" אלא מתרכזים באיכות המוצר אז הוא יוצא
טוב יותר.

בכך מוסברת התופעה ששיתוף על בסיס GNU/LINUX הרבה פעמים עובד יותר טוב מאשר
על בסיס חלונות, וזה לא מקרי שרוב היצרנים בחרו לממש את השירותי שיתוף קבצים
ומדפסות (כגון מוצרי NAS ושרתי הדפסה) על בסיס GNU/LINUX ולא חלונות.

דרך אגב, הנתב משמש גם ל- NAT?

ראשית תודה על התגובה !

באשר ל-NTFS, אם כוונתך לאפשרויות הקיימות בלשונית ה-security כאשר נמצאים במאפייני התיקייה/כונן, אז אני משתמש באבטחה זו.

בנוגע ל-NetBEUI, לאחר התקנתו על Xp, לא הבנתי איך אני מגדיר את הרשאות השיתוף באמצעותו
(ללא תוכנת צג ג', ובהנחה שאפשרות ה-File&Printer sharing מבוטלת) ?

-בעזרת ה-PFW, אני מגביל את הגישה ע"פ ה-MAC.
-לא נגעתי בטבלאות הניתוב.
- בנוגע ל"תוכנות פרוצות", לצערי אני לא מוצא תחליף ראוי ל-IE. מנסיוני, ה-Firefox עובד היטב רק בחלק מהאתרים..אם כי זו בעיה של האתרים ולא של התוכנה, אך עדיין..

תגובה ל-EventHorizon
-כן, הנתב משמש גם ל-NAT

אשמח לתגובות נוספות,
חג שמח !

משתמש בתוכנות מסוג "המחשב שלי זונת רשת" כדוגמאת קאזה?

תנסה לגלוש קצת עם SeaMonkey
תראה, זה לא שחור לבן, אתה לא חייב להתייחד עם דפדפן אחד בלבד
אבל חשוב שלפחות רוב הגלישה שלך תיהיה מבוקרת.

תעבור על ההגדרות ב Local Security Policy (יושב ב Control Panel - Administrative Tools),
תראה מה אתה יכול להרשות לעצמך "להקשיח".

וכמובן הדברים הבסיסיים כמו- לשנות שם של Administrator לשם לא דיפולטי,
לקבוע סיסמאות מורכבות ולמדר הרשאות.

התוכנה מזכירה לי באופן מפתיע את Netscape האגדי . Netscape היה בשבילי ה"אחד", עד שנחשפתי לגירסה החדשה שלו - 4.5 pro. במבט לאחור, במסגרת חווית השימוש (המאוד קצרה) , אני זוכר עצמי לראשונה יושב מול המסך ומקלל על שהצליחו להרוס כל סיכוי לתחרות ראויה ל-Ie. דאגה שהתממשה במבחן הזמן.

בכל אופן, מלבד רעיון ה"בוא נעשה את זה ביחד" (שהוא נעלה מספיק לדעתי) האם עומד מאחורי הפרוייקט משהו נוסף ?

באשר ל-Local Security Policy, במהלך עיון באפשרויות הרבות כל מה שהצלחתי לקשר בדרך זו או אחרת להגברת האבטחה, שונה. לגבי שינוי שם ה-Account של ה-Admin, כבר זמן מה יש לי עם זה בעיה.. לא יודע אם זהו הפורום המתאים, אך בכל זאת בקצרה: אין לי כל יכולת לגעת בחשבון ה-Administrator המקורי שנוצר במעמד התקנת ה- win - לא למחוק/לשנות את שמו, אפילו שקיים חשבון Admin נוסף. עם חשבון ה-Admin הנוסף אין שום בעיה..

אגב, אולי לך יש משהו להוסיף לגבי שימוש ב-NetBEUI על Xp ?

תודה על התגובה,
עצות נוספות יתקבלו בברכה,
חג שמח !