BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Proteger carpetas de red ¡Ayuda!

1
BocaDePez

Hola, salu2 a to2 antes de nada. el caso es que estamos renovando un aula de informatica con 20 ordenadores (con diferentes personas que lo usan) y un Ordenador Principal para dar clase a alumnos de secundaria. El caso es que a veces, y para j***r al personal borran los archivos que se encuentran en "Mis documentos" que no son suyos. Intentamos con contraseñas para las carpetas, y a la semana los alumnos conocian la contraseña de fulanito y entraban. Por eso queremos que los archivos se queden en una carpeta de red almacenada en el ordenador principal.

En Este ultimo queremos crear 20 carpetas compartidas (una por ordenador) en el ordenador principal y que solo pueda acceder al contenido de esa carpeta el ordenador al que se refiere esta. Habíamos pensado en un programa que protega las carpetas mediante filtrado de direcciones MAC. ¿existe tal programa?. Para los usuarios distintos de un mismo ordenador ya lo tenemos pensado y dentro de la carpeta de red de cada ordenador crear otras por cada usuario. Para esas subcarpetas ya lo tenemos pensado. Es un programa que protege carpetas e impide o no su acceso según la hora.

¿Existan alguna otra solución distatinta a la que yo he pensado y mas sencilla? de ser asi indicarmelo...

Muxas Gracias... espero vuestra respuesta.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
culebreja

Y por que no instalais un windows server 2003 o 2000 en el ordenador principal y administrais a los alumnos dandoles un usuario a cada uno, configurando perfiles y permisos.

🗨️ 3
BocaDePez

Por que hay viene el tema de las contraseñas y los usuarios. Uno se la cuenta al otro, este se la cuenta a su amigo, al qu le cae mal el 1º y le borra el trabajo del trimestral. Por eso habíamos pensado este sistema que es un poco bastante más lioso, pero para ellos más complicado, (ya que creo que a pocos alumnos les de por cambiar la direccion MAC de su tarjeta de red con aplicaciones que se encuentran por internet). espero que no me esten leyendo... :-P . Esto de la seguridad es bastente lioso en la infórmatica y no queremos recurrir a las grabadoras, ya que luego se nos da la excusa de que se ha perdido...

Salu2 y seguir aportando ideas!... Muchas gracias culebreja.

🗨️ 2
culebreja

Dentro de la cuenta de usuario puedes decirle las horas y dias en las que puede conectarse o denegar la conexión.

Con lo cual, si pepito tiene clase los lunes y martes de 9 a 12, puedes denegar la validación de ese usuario en dominio fuera de esas horas.

🗨️ 1
BocaDePez

Pero si falta fulanito y pepito sabe su contraseña y tiene clase con pepito a esa hora ya puede entrar en su cuenta. Esto de la seguridad infórmatica es tan relativo... Una pregunta y eso tal vez funcionaria, al crear los privilegios de usuario, ¿se puede hacer que un usuario entre a au cuenta solo desde una determinada IP?

Muchisimas gracias a todos...

Bodescu

Puedes configurar el servidor de manera que los alumnos, aun teniendo acceso, no tengan permisos de escritura, de manera que no podran borrar ni subir nada.

Yo no pensaria en un filtro MAC, es altamente vulnerable, y los chicos son de la piel de barrabas, ya sabes... aunque como medida complementaria no estaria mal.

Puedes configurar un filtro IPSEC para las carpetas de red, de manera que solo una determinada ip tenga acceso a ellas.

en fin, que tienes recursos suficientes, mas lo que se te ocurra o te aporten.

Un saludo

PD: Un sniffer os ayudaria a determinar quien esta haciendo que en la red: detecta el trafico que produce un p2p, por ejemplo, y hasta te dira la ip de la maquina, con lo que sabras que alumno hace mal uso de los recursos.

🗨️ 6
BocaDePez

El tema es que dejen las modificaciones que hagan en sus trabajos en este ordenador principal, por lo cual deben tener permisos de escritura.

Las direcciones MAC son bastante menos conocidas que las IP y por eso descartamos el filtro IPSEC, que ya lo pensamos, debido a que simplemente hace falta cambiar la ip de un ordenador para entrar a sus carpetas... pero muchos sabran la ip de su ordenador utilizando CMD o incluso fisgueando un poco por su ordenador y están asignadas por orden númerico 172.26.0.2-172.26.1.22 el profesor 172.26.1.1 y el gateway 172.26.1.254

El sniffer, para mi un coñazo, ya que tendría que estar pendiente de los alumnos, cosa que no puedo hacer ya que hay que explicarles... y no impide borra un archivo :-P

Si no hay mas remedio utilizaremos el filtro IPSEC pero es aún mas vulnerable que el filtrado MAC, ¿no?

Muchisimas gracias

🗨️ 5
Bodescu

Saltarse un filtro MAC es cuestion de minutos, para romper un IPSEC hay que saber mas; no basta con cambiar la ip del equipo, ademas hay que silenciar la ip original, para que no haya 2 equipos en la LAN con la misma ip. Ademas, puedes implementar medidas de cifrado para la autenticacion, e incluso de certificado, de manera que la maquina tenga que autenticarse contra el server, y tambien deba hacerlo el usuario.

Con un sniffer detectarias los intentos de intrusion en tiempo real,. No se trata de estar todo el dia pegado a el, sino de lanzarlo a intervalos regulares, y comprobar el trafico. Si no teneis tiempo para comprobar un puñado de tramas, mal os veo para vigilar un servidor constantemente en riesgo, por lo que sugiero que contrateis un administrador.

De entrada, yo quitaria todo privilegio de la cuenta de los alumnos, de manera que no puedan instalar nada, para prevenir (un poco) el uso de herramientas. Si necesitan instalar algo, se les dara una cuenta adecuada preparada al efecto en el servidor, y se les cerrara de inmediato, modificando la pass para que no la usen sin permiso.

Por ultimo, puedes darle a los alumnos ermisos de lectura y escritura solo cuando sea necesario, y que no puedan modificar nada, de manera que no podran borrar ficheros que no les pertenezcan.

Un saludo

🗨️ 4
BocaDePez

UMMMMM, Eso de IPSec se me había pasado, estaba centrado tanto en MAC que no se me había ocurrido eso. Es una muy buena solución y bastante mas sencilla que montar un Server (sencillamente no queremos). Muy buena idea. Oye, ¿tendrías una guía con todas las utilidades de IPSec y como implementarlo? Me ahorrarías muchisimo tiempo, ya que en el Centro de ayuda (aunque crea la gente que es una mierda es de lo mas completo que existe junto a la pagina de microsoft) no encuentro mucha "ayuda" :-P .

Acerca del sniffer...ya lo se , pero es que no estoy en la pantalla de mi odenador siempre estoy paseando de un lado a otro y sinceramente no puedo estar pendiente de eso. Lo del administrador, gasto innecesario, ya que tampoco son presos los niños... :-P Queremos darles cierta libertad con un poco de seguridad. Ahí esta tu respuesta a lo privilegios. A lo de instalar algo, lo tienen dificil, ya que los ordenadores tiene un programa que lee el registro y a efecto de que algo se instale en el, este detecta la clave y lo desinstala al apagarse. No creo que se pongan ya a mirar las claves de registro nueva y borrarlas y se necesita contaseña para entrar al editor del registro. Esto ya sería lo más. Tampoco son "Hackers". Lo ultimo mucho tiempo que se pierde configurando las cuentas de usuario cada dos por tres. Sencillamente no hay tiempo... Leete lo que he respondio al primero y me indicas si se puede, ya qu eso si me serviría del server.

Muchisimas Gracias

🗨️ 3
Bodescu
Bodescu
🗨️ 1
BocaDePez
BocaDePez
Sopadeajo

Creo que hay un programa para proteger carpetas o algo así, se llama folder lock, búscalo en softonic a ver si te sirve.

KATOR

Vamos a ver, los ordenadores los tienes conetados en red, o no.
Si los tienes en red la mejor solucion es lo que te dice culebreja, un server etc.etc.

Si no estan en red, que S.O. tienes instalado? en las maquinas?.

Chao.

🗨️ 3
BocaDePez

1 Por supuesto, a un switch
2 Tema de usuarios contraseñas que ya he explicado hay arriba...

3 WinXP

Salu2 Gracias por vuestra ayuda...

🗨️ 2
KATOR

A ver si lo he entendido bien, tienes 20 maquinas conectadas en red con WInXP, sin servidor????

Chao.

🗨️ 1
BocaDePez

Esquema completo de la Red
Elementos:
2switches de 24 puertos
1router adsl2+
unos 40 ordenadores

1 switch para la clase de informatica
1 para los ordenadores de la administración del colegio
switches conectados al router, los swithes ciegos entre ellos.

BocaDePez

Si el usuario no protege su contraseña como si fuera su billetera, cualquier cosa que se intente va a ser en vano, se pongan donde se pongan los recursos.

Quizás centralizando las carpetas como dices en una estación puedes crear tarea para hacer backup diario, o cada n horas, de ellas y así por lo menos no se perderían tantas cosas.

Pero lo de crear una carpeta remota POR ESTACION no parece buena idea, debería serlo por usuario: Mover la localización de Mis documentos de cada usuario en el Registro (toquetear el perfil de los ya creado y del default user) para los nuevos.

BocaDePez

Hola, estaba leyendo esto y tambien me interesa lo de configurar perfiles IPSec para que se pueda acceder a carpetas de red segun la ip del ordenador y sus certificados. Podríais poner una guía o algun enlace. Es muy interesante e importante........ ;-) ;-) ;-)

Gracias

🗨️ 7
Nemesisdesatan

ipsec? para VPN?

es.wikipedia.org/wiki/IPsec
en.wikipedia.org/wiki/IPsec

es.wikipedia.org/wiki/Redes_Privadas_Virtuales
en.wikipedia.org/wiki/Virtual_Private_Network

Y en menos palabras, ipsec es un protocolo para establecer comunicaciones seguras a traves de internet, se usa para VPN, VPN consiste en que una maquina se "una" a nuestra LAN montando un tunel seguro a traves de internet, o sea, tu en tu casita, la LAN en el trabajo y tu ordenador de casita como si estuviese en la LAN del trabajo, se puede montar por hardware con un router adecuado, o mediante un servidor de VPN en una maquina y NAT.

Saludos.

🗨️ 6
BocaDePez

Si, si eso ya lo se . Gracias de todos modos lo que yo me pregunto es ¿como hacer que ha una carpeta compartida solo se entre desde una determinada IP?

🗨️ 5
Nemesisdesatan

¿Cuantos usuarios entran en cada maquina?

🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
JoeDalton

en la política ipsec, tu puedes crear un filtro para limitar que las máquinas no accedan (tipo firewall) pero no creo que ipsec se tu solución ideal.

Yo creo que tu solución es como te comentaban arriba, montar un servidor controlador de dominio. Crear usuarios, crar recursos compartidos, y limitar con permisos los recursos compartidos a los usuarios y dar permisos para quien deba acceder a cada sitio.

Otra cosa es que tengas en la misma red información más sensible y quieras que ese tráfico pase por la red mediante túneles ipsec entre las máquinas, que te podría encajar si tienes una red de alumnos y la red del colegio en la misma LAN, las máquinas de los alumnos no hablan ipsec con el servidor, y la de la red del colegio sí, aunque esto carga de más tráfico la red.

Edito:

Si trabajan por grupos, lo que deberías de hacer es crear carpetas compartidas para los grupos de trabajo, y que puedan acceder los dos usuarios.

Además, si un usuario no protege su contraseña es su problema, no el tuyo, y si pierde su trabajo es porque no ha sabido guardar su contraseña.

Tu solución es usuarios, contraseñas y permisos de archivos y permisos de archivos compartidos para los proyectos en grupo y que todos puedan modificar. También puedes auditar acceso a archivos y si implementas un W2003 como server puedes usar el shadowcopy, configurado con un espacio amplio y que haga snapshots cada hora, podrías recuperar la info de 2 y 3 días atrás.
Se pueden hacer muchas cosas y de muy distintas formas, pero la seguridad generalmente se liga a usuarios/contraseñas (puedes sumar certificados).

🗨️ 1
Bodescu
Bodescu