Новости IT

[• soniqe75]

дано:


чебоксары, промзона. 2 компани совместно владеют производственной базой. профиль работы кардинально отличаются
в 2008м компания А въехала на территорию и начала там обосновываться. будка охраны на въезде. проходная. вертушка,
видеонаблюдение. и т п.

в 2013м въехала компания Б туда. тоже свою систему видеонаблюдения за своей частью территории и все такое.
проходная и ворота для въезда общие.

охране на проходной поставили 2 компьютера от компании А и Б чтобы охрана могла видеть по камерам что и как творится.
охрана круглосуточная.

со временем нарисовалась проблема: проходная и вертушка исторически сложилось так что подключены на проходной к компу фирмы А.там вертится БД
которая ведёт учёт прихода, ухода всех сотрудников. и программирование карточек для проходной осуществляется там же.
и чтобы рабочие и персонал компании Б могли проходить. нужно было просить ответственного человека из А внести в БД ФИО рабочих компании Б.

это все долго, путанность и т п. да и не обязана фирма А держать у себя данные по пропускам компании Б.
все это в конце концов надоело. мутить вторую проходную для фирмы Б как то не правильно.

в итоге фирма монтажник таких систем предложили 2 выхода:

1. у охраны компьютер компании А цепляется также и в сеть компании Б. далее в офисе компании Б на ПК отдела кадров ставится ПО которое будет
программировать пропускные карточки и по ЛВС отсылать на комп охраны фирмы А.
но при такой схеме возмутился системный администратор фирмы Б и сказал что объединять ЛВС он не даст.

2. другой выход. протянуть отдельный кабель от будки охраны, от компьютера фирмы А в офис фирмы Б и там поставить отдельный нетбук который будет общаться
с охранным пк фирмы А и говорить ей инфу по карточкам.
но ведь в таком случае у комании Б будет теоретический доступ к ЛВС компании А?


---
может есть ещё какой выход из такой ситуации?

[• Майк]

мутить вторую проходную для фирмы Б как то не правильно.

А раздельные считыватели поставить никак?

[• soniqe75]

А раздельные считыватели поставить никак?

компания поставщик системы говорит что никак.
типа не получится совместить работу когда считыватель А говорит что вертушка закрыта, а считыватель Б её открывает.


к кому можно обратиться за дополнительной консультацией по этому вопросу?

[• JONNY]

Доступ для фирмы А в ЛВС фирмы Б будет слишком рискованно, правильно админ возмутился. А вот частичный доступ фирмы А к определенной виртуальной подсетке фирмы Б - это очень даже правильно. Значит так, нужно запустить VPN server в фирме Б, и открыть туда доступ для фирмы А. Сконфигурировать виртуальную сеть, чтобы VPN client фирмы А видел только определенную подсеть. В этой подсети подключить виртуальную машину с софтом, который нужен для компа А на проходной.

А вот как сделать доступным VPN server в сети Б для VPN client из серии А - тут несколько вариантов. Через файрволл компании Б, открыть порт и сделать ему форвард на виртуальную машину с VPN server (мне подход нравится). Еще вариант, запустить WiFi Access Point на физическом компе фирмы Б (ноуте), только для компании А. На нем запустить VPN server . Это менее безопасный подход, поскольку беспроводной доступ используется тут, мне нравится меньше, но как Proof of Concept/макет подойдет

Управляемый свич, vlan, etc. В общем идею наверное понятно. Виртуальная частная сеть, виртуальные машины, вот солюшн.

--------------------

-=Vae victis=-....

[• anat]

Вторую вертушку параллельно первой

--------------------

Программист актуальных версий 1с (почта g-anat yandex) любые задачи, договорные (оптимальные) расценки, оплата по факту.

[• soniqe75]

Вторую вертушку параллельно первой

помещение не позволяет.

[• Боеголовка]

убрать это гавно к чертям... я про вертушку

Сообщение отредактировал Боеголовка - Oct 6 2017, 11:58

--------------------

Жаль, что нет Международного Дня Дебила... Иногда так хочется некоторых поздравить!!!

[• mlu]

Ну Вы лошары, а не подумали что можно просто поставить в компьютер вторую сетевую карту.

[• soniqe75]

Ну Вы лошары, а не подумали что можно просто поставить в компьютер вторую сетевую карту. 

в какой компьютер нужно поставить 2ую сетевую карту? и что это даст?

прошу разъяснить всю схему

[• mlu]

Ставим вторую сетевую карту в ПК проходной и ставим вторую сетевую карту в ПК отдела кадров в офисе фирмы Б - и эти добавленные сетевые карты соединяем проводом (обжатый по типу кроссовер). IP на этих картах прописываем вручную, добавляем записи в lmhosts и т.д. далее лирика.... далее в офисе компании Б на ПК отдела кадров ставится ПО которое будет программировать пропускные карточки и по ЛВС отсылать на комп охраны фирмы А. .....

Сообщение отредактировал mlu - Oct 6 2017, 20:11

[• Bravo]

Элементарная задача. Межсетевой экран и проброс только порта ПО СКУД с одного выделенного IP и MACа на другой выделенный IP. Тут скорее встанет проблема в разграничении прав в самом ПО СКУД. Если СКУД поддерживает ролевую модель доступа, то все ок. Если нет и придется шарить админский аккаунт, то неизбежно возникнут претензии что кто-то портит чьих-то юзеров.
Можно подключаться по RDP с учеткой, настроенной на режим "киоска", если ПО СКУД не заглючит, то таким образом можно всегда выяснить, кто внес изменения.
VPN нужен или нет будет зависеть от модели угроз. Если коммуникации по контролируемой зоне проходят, то надобности нет.
Межсетевой экран на 99% уже есть, причем у обеих контор.
Не вижу проблемы, стандартная задача.

[• mlu]

Элементарная задача. Межсетевой экран и проброс только порта ПО СКУД с одного выделенного IP и MACа на другой выделенный IP.  Тут скорее встанет проблема в разграничении прав в самом ПО СКУД. Если СКУД поддерживает ролевую модель доступа, то все ок. Если нет и придется шарить админский аккаунт, то неизбежно возникнут претензии что кто-то портит чьих-то юзеров.
Можно подключаться по RDP с учеткой, настроенной на режим "киоска", если ПО СКУД не заглючит, то таким образом можно всегда выяснить, кто внес изменения.
VPN нужен или нет будет зависеть от модели угроз. Если коммуникации по контролируемой зоне проходят, то надобности нет.
Межсетевой экран на 99% уже есть, причем у обеих контор.
Не вижу проблемы, стандартная задача.

Круто - молодец, но
ты шутник - наверно себе бачок для унитаза на микроконтроллере сделал ....

[• Bravo]

Круто - молодец, но
ты шутник - наверно себе бачок для унитаза на микроконтроллере сделал ....

Ответ эникейщика в стиле "как из говна и палок сделать небезопасное для обеих организаций решение, которое будет ломаться и каждый раз придется звать автора чтобы опять сотворил подобное" был лучше? Кроссовер он обжал.. Хотя бы сам понимаешь, для чего файл lmhosts и причем он при взаимодействии на уровне IP?

[• mlu]

Ответ эникейщика в стиле "как из говна и палок сделать небезопасное для обеих организаций решение, которое будет ломаться и каждый раз придется звать автора чтобы опять сотворил подобное" был лучше? Кроссовер он обжал..  Хотя бы сам понимаешь, для чего файл lmhosts и причем он при взаимодействии на уровне IP? 

В чем оно небезопасно, и как такое может сломаться? И что там творить заново - решение простейшее. И не понял и причем тут взаимодействие на уровне IP (с чего ты решил то, все не так - потому и lmhosts). Самое странное что всего того про что ты писал в своем решении - у них вообще нет (фантазии, фантазии ... ).

Сообщение отредактировал mlu - Oct 6 2017, 22:50

[• Bravo]

В чем оно небезопасно, и как такое может сломаться? И что там творить заново - решение простейшее. И не понял и причем тут взаимодействие на уровне IP (с чего ты решил то, все не так - потому и lmhosts). Самое странное что всего того про что ты писал в своем решении - у них вообще нет (фантазии, фантазии ... ).

Отвечаю по пунктам:
1. Небезопасно, т.к. с одной машины есть полный доступ к другой машине. Если эскалировать привилегии, то можно поиметь всю сетку соседа.
2. Решение простейшее - тянуть кабель для второй сетевухи по промзоне? Где этот кабель могут зацепить, оборвать, комп может выйти из строя и придется заново тянуть кабель к другому компу.
3. Скорее всего, в настройках софта указывается ip-адрес.
4. lmhosts служит для преобразования имен хостов в ip-адреса. Если изначально использовать ip, то зачем править этот файл?
5. Чего у них нет? Маршрутизатора с функцией МЭ на периметре? Какого-нибудь DIR-615 или Зухель Кинетик у них нет?