id: Гость   вход   регистрация
текущее время 10:26 29/03/2024
Автор темы: Гость, тема открыта 25/11/2003 19:37 Печать
http://www.pgpru.com/Форум/ПрактическаяБезопасность/PGPКонтейнерВСетиСовместныйДоступ
создать
просмотр
ссылки

PGP контейнер в сети. Совместный доступ.


Хотел поделиться опытом как можно расшарить контейнер для нескольких пользователей в сети. Хотелось бы сразу согласиться с уважаемым SATtva, в том, что PGP априори является продуктом для персонального использования и заниматься этим есть смысл если есть полное доверие к пользователям сети и сама сеть является достаточно защищенным (а лучше изолированным) объектом. Не приветствуется в этом плане наличие в сети шлюза интернета, особенно с постоянной привязкой внешнего IP. Наличие файрволов не гарантирует закрытость сети :wink: .
Прежде всего, абсолютно все равно где в сети будет находиться контейнер. Но необходимо наличие на машине полноценной сетевой операционной системы, например Win2000/XP (9x не подойдет ввиду крайне слабой защиты сетевух рессурсов). Доступ к контейнеру расшаривается только для одной машины – машины администратора по серетной части. Хотя лучше всего ему (контейнеру) быть на машине админа (это намного увеличит скорость доступа) и на съемном носителе (береженого Бог бережет, всегда будет возможность подорвать когти). Машина админа также должна предоставлять полноценный сетевой доступ пользователей к своим рессурсам, тобишь работать под подобной же сетевой операционной системой. Задача админа:
1) вскрыть контейнер
2) создать пользователей которым разрешен доступ к данным контейнера, с паролем, индивидуальным для каждого пользователя, а еще лучше если позволяет операционка с привязкой к MAC адресу сетевой карты
3) расшарить доступ к виртуальному диску для указанных пользователей. Важным моментом является назначение прав пользователей на доступ к диску (чтение/запись/полный и т.д.). Подобная схема не запрещает нескольким пользователям работать с диском на запись, т.к. для них (пользователей) это будет обычный сетевой диск (кроме конечно работы нескольких пользователей с одним документом).
4) как уже говорилось ранее в случае какой опасности сорвать диск носитель контейнера и сделать ноги 8) .
Вот собственно и все.


P. S. При такой схеме иметь установленный пакет PGP и уметь с ним работать может только админ, что немаловажно. Пользователь в принципе даже не догадываются, что их данные шифруются.


 
На страницу: 1, 2 След.
Комментарии
— Гость (06/05/2004 02:30)   <#>

жд жалко, попробовал на дискете, вроде нормально (бесткрипт)
это из-за того что программы просто не приспособленны для работы с тиками объамами?
имеет смысл разбить на более малые 1-2 гига? Или тоже считается крупными контейнерами?
— SATtva (06/05/2004 12:41)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
это из-за того что программы просто не приспособленны для работы с тиками объамами?

Скорее из-за структуры файловой системы, в которой находится контейнер. По-моему, Lahesis поставил эксперимент с большими контейнерами на сильно фрагментированном жёстком диске. Файловая система таких контейнеров в определённых обстоятельствах просто разваливалась.

В разделе "Других программ" Kent привёл ссылки на новый софт — TrueCrypt. Программа бесплатна, весьма надёжна, распространяется в исходных текстах, разрабатывается группой независимых программистов. При этом позволяет как создавать контейнеры, так и целиком шифровать логические разделы дисков, поддерживает работу из командной строки. Стоит попробовать, по-моему.
— Kent (06/05/2004 21:49)   профиль/связь   <#>
комментариев: 437   документов: 30   редакций: 15
К сожалению, TrueCrypt не поддерживает работу с зашифрованными дисками в сети.
Если я правильно понимаю фразу "Network volumes are not supported".
— SATtva (06/05/2004 22:36)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А что помешает расшарить открытый контейнер для совместного доступа? В конце концов, ОС его как логический диск воспринимает.
— Гость (22/05/2004 00:04)   <#>
а что скажите про такое решение:
ш. контейнеры расшариваются на полный доступ, а клиенты просто монтирует его у себя?
— Гость (01/06/2004 15:42)   <#>
Truecrypt 1.0 (www.truecrypt.org) прекрасно работает в LAN, только кому и зачем это нужно? Ведь тогда надо и трафик в сети шифровать! А в приведенной ув. Kent'ом выдержке из документации имеется в виду, НЕВОЗМОЖНО создать зашифрованный диск на подключенном сетевом диске. Мастер не будет работать.
Я всё же считаю, что лучшее решение на сегодняшний день – Drivecrypt от Securstar.

2 trollya:
это делать можно, причем лучше расшаривать доступ к папке с кучей музыки и фильмов, среди которых – несколько ш. контейнеров в формате .wav. В таком виде всё прекрасно работает. Одна проблеммка – при траблах в сетке или брутальном отключении ш.диска дата и время последнего доступа к файлу-контейнеру не сбрасываются, поэтому нужны еще доп. меры.
— Гость (02/06/2004 16:53)   <#>
Лучше закрывать полностью раздел. В этом случае при обращении к нему он выглядит не форматированным. При вводе ключа на подключенном диске можно создавать папки и зашаривать их для разных пользователей. стандартными средствами win. Ключ вводится удаленно с раб станции. Информацию лучше закрывать не на пароле, а на ключе (сложнее перебирать и помнить не надо). Практика показывает, что временные потери при такой работе минимальны. Таких программ существует много, но они стоят денег 700-2500$.
— Гость (12/04/2005 15:12)   <#>
trollya:
а что скажите про такое решение:
ш. контейнеры расшариваются на полный доступ, а клиенты просто монтирует его у себя?

Вот что написано в Руководстве пользователя PGP на стр 6
Подключение контейнера на удалённом сервере
Контейнер, размещённый на серверной системе, может использоваться пользователем и удалённо. Это может быть достигнуто двумя способами:

Как удалённый общий ресурс (share). В этом случае задача администратора сводится к подключению контейнера на серверной системе, созданию в системе профилей пользователей с индивидуальными паролями доступа и правами на чтение-запись (средствами ОС, а не PGPdisk!), открытию общего доступа (share) для данных пользователей к логическому разделу. В дальнейшем пользователи могут работать с содержимым контейнера, как с обычным сетевым диском; наличие PGP на их компьютерах не требуется.
(ну это как у автора темы, как я понял)

Как удалённый частный ресурс. Пользователи подключают контейнер удалённо со своих Windows-систем. Если контейнер с файловой системой FAT(32) подключен пользователем локально, он получит к нему полный доступ на чтение-запись, тогда как другие пользователи не будут иметь доступ к содержимому. Чтобы использовать контейнер в удалённом режиме совместно, пользователи должны подключать его с правами "только на чтение". Данное ограничение не касается контейнеров с файловой системой NTFS. Этот способ работы требует наличия PGP на компьютере каждого пользователя.

(насчет NTFS, у меня всё равно не получается совместной работы с полным доступом, мож я чего не так делаю)
— Гость (13/04/2005 01:32)   <#>
Насчет отпечатка в памяти из-за миграции ионов:
имхо, достаточно написать программку\скрипт\плагин (к ПГП, например), которая бы защищенную область памяти время от времени переносила в иное место. Каждый час, к примеру, или чаще\позже – по необходимости.
— Azudim (22/08/2005 21:44)   профиль/связь   <#>
комментариев: 2   документов: 0   редакций: 0
Вариант сетевого использования:
Сервер: Windows Server 2003 + PGP 8,9 (НАстроить диск на маунт в папку NTFS)
Админ: Windows XP/Server + RDC.
Клиенты: Win 9x/NT/XP
Сервер загружается до выбора юзера
Админ монтирует USB Flash карточку с ключом, на который криптован диск в свою машину (флэш драйв шаред), через RDC открывает сессию, настроенный на автоподъем PGPдиск, открывает ключики с путей типа \\admin\usb-drive\privkeys\, если ключик найден, показывает риглашение ввести пароль и смонтировать контейнер. Далее запускается скрипт стартующий необходимые сервисы и шасшаривающий папки в контейнере.

Нюансы PGP 8::
1. Если через RDC зайти на тот же сервер с другой машины – PGP диск размонтируется.
2. Не забудте убрать бекап секретного ключа в локальную папку (\Doc&Set\User\App. Date\PGP\)
3. Через RDC можно смонтировать только в пустую папку NTFS.
4. В RDC сессии на сервере папки и файлы в открытом контейнере не удаляются, а через сеть расшаренные папки и файлы из контейнера удаляются стабильно.

P. S. не пинайте те, для кого эта схема тривиальна, может кому пригодится.
Если кто проверял подобную схему на PGP 9 – поделитесь опытом! Как PGP 9 Whole Disk Ens. монтируется через RDC ?
— SATtva (22/08/2005 23:18)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Как PGP 9 Whole Disk Ens. монтируется через RDC ?

Не совсем понятен вопрос. Аутентификация пользователя (и размещение шифроключа в ОЗУ) производится до запуска ОС, так что ни о каком удалённом подключении не может быть и речи. Что касается удалённого доступа к уже запущенной и расшифрованной машине, здесь нет никаких отличий от обычного незашифрованного варианта.
— Azudim (22/08/2005 23:28)   профиль/связь   <#>
комментариев: 2   документов: 0   редакций: 0
мда, это я конечно зря так =) я больше хотел спросить, есть ли отличия в работе через RDC в 9 версии от 8й с монтируемыми дисками.
— SATtva (23/08/2005 13:47)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
На сей счёт ничего не отвечу, так как не сторонник (а скорее, наоборот) такого подхода к организации хранения конфиденциальных данных. В удалённых контейнерах PGP, имею в виду.
— Гость (12/10/2005 10:51)   <#>
подскажите плиз как расшарить нормально криптованный виртуальный диск в сеть , проблема с Трукртипт и бесткрипт с которой столкнулся после того как монтировал как виртуальный диск и выкладывал его в сеть определенным пользователям: так вот когда делаешь размонтирование диска и при этом были открыты файлики то сей процесс убивает шару, тоесть если снова примонтировать данный диск и открыть через сеть то показывает пустую папку, как с этим бороться не подскажите ? Либо есть какой другой механизм , например можно ли выложить тока контейнер в сеть а несколько пользователей одновременно подключали его на запись на свой комп? Контейнер щас лежит на Сервере Вин 2003. Заранее спасибо за ответ
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3