Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3 4   вперед  Ctrl      все
 Re: Защита от маски-шоу и прочих  [new]
Korotenko Vladimir
Member

Откуда:
Сообщений: 3
Кстати посмотри в сторону российских средств защиты, там много есть и работа под принуждением и монтирование фальшивого диска. А пользователь всегда будет нужен для монтирования диска. Кстати вспомни главное правило защиты больше безопасности - меньше удобства.
22 фев 07, 16:59    [3823976]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Antoshka
Member

Откуда:
Сообщений: 828
Ещё есть iSCSI. Физический диск с очень важными данными может храниться где угодно на планете. Был бы канал до него.
1 фев 08, 15:48    [5233697]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Dima T
Member

Откуда:
Сообщений: 15851
DeColo®es
...
В итоге - на "тормознутой" флешке располагаются только метаданные ...

Есть продвинутые флэшки (Transcend JetFlash 168 8Gb Чтение: до 25 Мб/сек, запись: до 20 Мб/сек).
Ради интереса сравнил в Sisoft Sandra с ноутбучным винтом:
FlashHDD
Buffered read25 Mb/s77 Mb/s
Sequential read25 Mb/s25 Mb/s
Random read24 Mb/s3.5 Mb/s
Buffered write12 Mb/s54 Mb/s
Sequential write19 Mb/s23 Mb/s
Random write2.5 Mb/s6 Mb/s

DriveIndex для флэшки 22573 для винта 16731

С серверным RAID-ом конечно сравнивать бесполезно, но для небольшой базы может и сгодится в качестве рабочего диска.

Знакомый один 1С-ку файловую на такой держит. Ноут таскать ему не охота, а в базу заглянуть частенько надо. По его ощущениям скорость работы с флэшкой такая-же как при работе с десктопного винта.

Из реальных решений (знакомые рассказывали) пришли на завод один небольшой сетку в порядок приводить, а им задачу ставят - надо так все настроить, чтобы при пропадании из сети основных серверов все восстанавливалось по их появлению Оказалось - за забором стоит заведенная газелька в которой серваки и по WiFi с офисом связана. WiFi подглючивает иногда. В случае чего серваки вырубаются и газелька тихонько уезжает...
2 фев 08, 16:34    [5236485]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Параноик
Guest
Интересно, как газельку чистым питанием обеспечить?
2 фев 08, 17:22    [5236524]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
GreenSunrise
Member

Откуда:
Сообщений: 12310
Dima T
Из реальных решений (знакомые рассказывали) пришли на завод один небольшой сетку в порядок приводить, а им задачу ставят - надо так все настроить, чтобы при пропадании из сети основных серверов все восстанавливалось по их появлению Оказалось - за забором стоит заведенная газелька в которой серваки и по WiFi с офисом связана. WiFi подглючивает иногда. В случае чего серваки вырубаются и газелька тихонько уезжает...

Прикольно, конечно, но тоже ненадежно. Если фирма "достойна" приличного встряхивания со стороны масок, то трюк с газелькой им будет известен заранее и газельку эту без всяких проблем накроют вместе с офисом. А если недостойна, то и париться так незачем, кому они нафиг сдались.
2 фев 08, 23:01    [5237018]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Dima T
Member

Откуда:
Сообщений: 15851
Параноик
Интересно, как газельку чистым питанием обеспечить?

Может из-за этого WiFi и глючит. Есть же преобразователи 12 в 220 для авто. В крайнем случае УПС под это дело можно переделать.

GreenSunrise
... Если фирма "достойна" приличного встряхивания со стороны масок ...

Если админа допросить с пристрастием перед "маски-шоу", то тут никакие меры безопасности не спасут.
А в случае неожиданной проверки без предварительной подготовки со стороны проверяющих и флэшка и газелька помогут.
3 фев 08, 13:16    [5237508]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Параноик
Guest
Dima T
Параноик
Интересно, как газельку чистым питанием обеспечить?

Может из-за этого WiFi и глючит. Есть же преобразователи 12 в 220 для авто. В крайнем случае УПС под это дело можно переделать.

Вспоминаем уроки физики. Если мы повышаем напряжение, то падает ток. Мощность не меняется(в идеальном случае, а так надо еще потери преобразования посчитать). Итого в эти 220 можно включить максимум электробритву. А под нормальный сервер нужно как минимум 2-3КВт. Это нужно тянуть кабель к машине(тогда и WiFi не нужен), или весь салон забивать упсами и ночью подзаряжаться(что тоже не особо нравиться, т.к. до прихода масок будет наружка сто пудово).
3 фев 08, 14:01    [5237598]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Параноик
Guest
Гораздо проще снять смежное помещение на другую организацию, протянуть туда оптоволокно и работать. Если что, в стояках они долго будут кабель искать, за это время все можно уничтожить.
Главное, чтоб об этом знали как можно меньше народа.
3 фев 08, 14:05    [5237606]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Dima T
Member

Откуда:
Сообщений: 15851
Параноик
Вспоминаем уроки физики. Если мы повышаем напряжение, то падает ток. Мощность не меняется(в идеальном случае, а так надо еще потери преобразования посчитать). Итого в эти 220 можно включить максимум электробритву. А под нормальный сервер нужно как минимум 2-3КВт. Это нужно тянуть кабель к машине(тогда и WiFi не нужен), или весь салон забивать упсами и ночью подзаряжаться(что тоже не особо нравиться, т.к. до прихода масок будет наружка сто пудово).

Про физику еще не забыл :) но двигатель газели немного мощнее электробритвы: одна лошадиная сила - 0,7кВт, у газели их 140, пусть 100 у карбюраторной - 70кВт потенциальной мощности. Пусть КПД преобразования генератора 50% - 35кВт пиковая мощность. Получить 2-3 вполне реально.
Тут более интересный вопрос скока эта газель бензина жрет?
Или какую-нибудь передачу про установки навороченного автозвука посмотри - там киловатные усилители по несколько штук ставят.

И даже если от розетки запитано - розетку найти не сложно.

Если честно как запитано, сколько серверов никто не говорил, но данное решение реализовано. Может так высшее руководство себя морально успокаивает.

Параноик
Гораздо проще снять смежное помещение на другую организацию, протянуть туда оптоволокно и работать. Если что, в стояках они долго будут кабель искать, за это время все можно уничтожить.
Главное, чтоб об этом знали как можно меньше народа.

В данном случае речь о небольшом заводе, а не офисе. Можно и квартиру снять, благо у провайдеров внутренний трафик довольно быстрый и дешевый. А на обыск в жилом помещении ордер нужен. Поосадил всех в терминал - и толщина канала не так критична.

Где-то писали что в Кембридже или Гарварде сдох сервак, который много лет работал и никто его не трогал. Начали искать - нету, В итоге наши в какой-то комнатушке где дверь почему-то заложена кирпичом была.
3 фев 08, 15:14    [5237709]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Dima T
Member

Откуда:
Сообщений: 15851
Почти абсолютно надежный способ - ежечасно бэкап на FTP открытый только на запись. Где реально этот FTP и пароль на полный доступ известно лишь тому кому надо (админ даже знать не будет). В случае "маски-шоу" с брелка (как в магазинах у продавцов тревожная кнопка) что-то запускается (от форматирования дисков до пресса уничтожающего сервер с БД). Лог транзакций за последний час можно не уничтожать. Главное чтоб случайно эту кнопку не нажать :)

Достаточно организовать цепочку из двух FTP (на первый бэкап, второй с первого забирает) - если админа допросят, он проследит по IP где первый сервак, туда прийдут, а там пусто. А где второй расположен времени на поиск уже не будет.
3 фев 08, 15:20    [5237719]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Dima T
Member

Откуда:
Сообщений: 15851
Единственное от чего никакие технические защиты не спасут - это если админа "попросят" копию базы принести. Тут защита одна - платить админу как начальнику службы безопасности и надеяться на его преданность своей конторе.
3 фев 08, 15:27    [5237733]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Параноик
Guest
Dima T
Единственное от чего никакие технические защиты не спасут - это если админа "попросят" копию базы принести. Тут защита одна - платить админу как начальнику службы безопасности и надеяться на его преданность своей конторе.

С этим согласен.
А вот с первым не очень.
1. Нужно круглосуточное дежурство(кнопку жать)
2. У кого-то базы начинаются от 10 Гб, т.е. FTP превращается в мой вариант с оптоволокном
3. Открытый канал не пройдет, придется шифровать, а это время, т.е. опять свой канал
3 фев 08, 16:37    [5237824]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Параноик
Guest
Да и еще - нет быстрого и надежного способа уничтожения данных на рабочих HDD.
3 фев 08, 16:42    [5237833]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62908
И где вы таких камикадзе или дураков найдете.
3 фев 08, 16:46    [5237840]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Параноик
Guest
Anatoly Podgoretsky
И где вы таких камикадзе или дураков найдете.

Вы про что?
3 фев 08, 16:51    [5237848]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Dima T
Member

Откуда:
Сообщений: 15851
Параноик
С этим согласен.
А вот с первым не очень...

Можно значительно упростить: в такой ситуации главное экстренно уничтожить базу а уж в последнюю очередь заботит сколько времени потребуется на ее восстановление.
Можно просто шифровать бэкапы открытым ключом и хранить тут же на сервере. Никаких тонких мест. Закрытый ключ заинтересованные лица спрячут в укромном месте. Сгенерить ключи при помощи третьих лиц не сложно. Главное бэкапы почаще делать чтобы из текущего журнала транзакций ничего существенного получить нельзя было.

Технически можно так все организовать:
На сервере крутится служба, которая шифрует бэкапы и затирает (так чтоб не восстановить) нешифрованные, когда потребуется уничтожение - останавливает службу SQL-сервера и перезаписывает файлы базы генератором случайных чисел.

На компе директора в трее висит клиент (типа авторизатора), который по сетке цепляется к службе сервера, показывает ее состояние, сигнализирует об ее отказе, и передает команду "похерить базу" в случае подачи соответствующей команды. Как вариант -
Разработка такой проги 500-1000$ При желании и финансовых возможностях дополнительно можно организовывать перенос бэкапов на удаленные сервера или изголятся со способом передачи команды уничтожения базы:
- Сигналом может быть выдергивание флэшки
- Возможность подцепиться клиентом из инета.
Для автосигнализаций полно всякого добра продается. Если нужны какие технические средства то производители автосигнализаций очень далеко продвинулись, у них все решения модульные и конфигурируются по желанию клиента. Все осуществляют разрыв цепи при срабатывании. Можно поставить разрыв питания фэшки например:
- Можно заменить клиента на брелок с обратной связью.
- GSM модуль прикрутить (тогда SMS послать надо),
- Иммобилайзер содержит брелок, модуль разрывает цепь к которой он подключен в случае удаления брелка на 15м. Сигналом может быть удаление брелка или отключение модуля:
- Подцепить этот модуль к серверу. Брелок на ключи от серверной. Ключи в дверь. Захватчики сами ключи унесут или сервер вывезут. При очередном включении все само затрется.
- Модуль иммобилайзера к компу директора подцеплен, брелок в кармане пиджака, пиджак всегда на кресле - в случае чего одел и отошел от компа на 15м. Все.
... Дальше клиент сам пусть изобретает что ему по душе.
DeColo®es
... Есть задача - обеспечить зависимость доступа к данным внутри базы от воли "директора", а не админа. Причем эту волю он должен иметь возможность осуществить легко, без применения специальных технических знаний и беготни к серверной.

При таком раскладе только от директора зависит отдаст он закрытый ключ для расшифровки бэкапа или нет.
3 фев 08, 17:16    [5237882]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62908
Параноик
Anatoly Podgoretsky
И где вы таких камикадзе или дураков найдете.

Вы про что?

Я про админов, это уже совсем другая статья.
И на фиг им прикрывать жопу начальников, наоборот полное содействие следствию.
3 фев 08, 17:22    [5237892]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Роман Дынник
Member

Откуда:
Сообщений: 3324
Anatoly Podgoretsky
Я про админов, это уже совсем другая статья.
И на фиг им прикрывать жопу начальников, наоборот полное содействие следствию.

Да уж, потив "системы" не попрешь
3 фев 08, 17:30    [5237909]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Dima T
Member

Откуда:
Сообщений: 15851
Параноик
Да и еще - нет быстрого и надежного способа уничтожения данных на рабочих HDD.
Достаточно перезаписать файл одним байтом, все будет писаться в тоже место на диске. Даже при использовании зеркала все затрется. Не проверял, но этот вопрос можно уточнить в какой-нибудь конторе востановления инфы с битых HDD.
Можно задействовать WinAPI функции получения конкретных секторов HDD где файл расположен и писать туда целенаправленно. Для Fat32 были софтины, которые гарантированно осуществляли удаление без возможности восстановления, если поискать то и для NTFS и RAID-ов что-то похожее должно быть.
В крайнем случае - вынос особо важной инфы в отдельный раздел небольшого размера (1Гб) что в начале на флэшке хранить предлагалось, удаление всех файлов в разделе, создание файла и запись пока место не кончится. На 1Гб не более минуты потребуется.
3 фев 08, 17:35    [5237914]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Параноик
Guest
Anatoly Podgoretsky
Параноик
Anatoly Podgoretsky
И где вы таких камикадзе или дураков найдете.

Вы про что?

Я про админов, это уже совсем другая статья.
И на фиг им прикрывать жопу начальников, наоборот полное содействие следствию.

Тут имелось ввиду, чтоб админ за бабки не сдал инфу. Или при давлении следственными органами. Получить ордер на обыск достаточно проблематично, нужны объективные данные. Для этого можно подойти на улице к админу, помахать коркой, пригрозить 10 годами тюрьмы, ну как обычно, а тут он и раскололся, да еще и подпишет че нибудь.
3 фев 08, 18:59    [5238019]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Параноик
Guest
Dima T
Параноик
Да и еще - нет быстрого и надежного способа уничтожения данных на рабочих HDD.
Достаточно перезаписать файл одним байтом, все будет писаться в тоже место на диске. Даже при использовании зеркала все затрется. Не проверял, но этот вопрос можно уточнить в какой-нибудь конторе востановления инфы с битых HDD.
Можно задействовать WinAPI функции получения конкретных секторов HDD где файл расположен и писать туда целенаправленно. Для Fat32 были софтины, которые гарантированно осуществляли удаление без возможности восстановления, если поискать то и для NTFS и RAID-ов что-то похожее должно быть.
В крайнем случае - вынос особо важной инфы в отдельный раздел небольшого размера (1Гб) что в начале на флэшке хранить предлагалось, удаление всех файлов в разделе, создание файла и запись пока место не кончится. На 1Гб не более минуты потребуется.

Это все хорошо. Но не успеете вы перезаписать несколько терабайт инфы(у нас именно столько). Мне один раз удалось поприсутствовать при "изъятии". Прибегает толпа масок, причем железные двери их нефига не останавливают. Всех по стенам. Заходят в серверную. Пожарным топором отрубают все провода от стойки и выносят её тут же. На все максимум 10 минут.
3 фев 08, 19:04    [5238026]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Dima T
Member

Откуда:
Сообщений: 15851
Параноик
Это все хорошо. Но не успеете вы перезаписать несколько терабайт инфы(у нас именно столько). Мне один раз удалось поприсутствовать при "изъятии". Прибегает толпа масок, причем железные двери их нефига не останавливают. Всех по стенам. Заходят в серверную. Пожарным топором отрубают все провода от стойки и выносят её тут же. На все максимум 10 минут.

Шашка динамита в корзину с винтами и детонатор срабатываюший от несанкционированного открытия двери в серверную

Ты действительно веришь что уничтожение инфы что-то бы изменило в твоей ситуации? Чем кстати закончилось?

Многая информация продублирована в виде тонн бумажных документов - их сложнее быстро уничтожить. А банковские выписки в любой момент могут быть предоставлены банком следствию.

Вынос серверов такого уровня просто парализует работу предприятия - это не просто компы, которые тут же в любом магазине новые купить можно. Может эта цель преследовалась при выносе серверов?

Как правило надо уничтожить очень малую часть инфы касающуюся бездокументных наличных расчетов: база "серых" зарплат например. При грамотном подходе к учету такая база особо не разрастется. Все остальное продублировано банковскими выписками или приходно-расходными документами. А так же показаниями сотрудников.
А если ТОП-менеджмент предприятия настолько глуп, чтобы законные и не законные операции вести в одной базе, то эта глупость отразится не только в электронном виде.

Комплекс мер безопасности продумывается заранее в соответствии с возможными угрозами и далеко не заканчивается зашитой инфы на серверах.
3 фев 08, 20:17    [5238120]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Параноик
Guest
Закончилось тем, что вернули через 3 месяца (договорились вроде бы похорошему :) ), но не все. Где-то память сняли, где-то винты. Но сами понимаете, что оно уже ненужно было.
И у нас не бухгалтерские базы. Совсем другое.
3 фев 08, 20:29    [5238145]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
GreenSunrise
Member

Откуда:
Сообщений: 12310
Параноик
Где-то память сняли, где-то винты.

Похоже, ваши базы никому нужны не были. Чисто маскам небольшой апгрейд железа дома понадобился. То памяти не хватает для игрушек, то винтов для порнухи. Не покупать же в самом деле, когда с работы принести можно. Нормальный советский подход.
5 фев 08, 23:24    [5248987]     Ответить | Цитировать Сообщить модератору
 Re: Защита от маски-шоу и прочих  [new]
Параноик
Guest
GreenSunrise
Параноик
Где-то память сняли, где-то винты.

Похоже, ваши базы никому нужны не были. Чисто маскам небольшой апгрейд железа дома понадобился. То памяти не хватает для игрушек, то винтов для порнухи. Не покупать же в самом деле, когда с работы принести можно. Нормальный советский подход.

Приколы приколами, а действенного метода пока никто не предложил.
6 фев 08, 11:22    [5250408]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3 4   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить