//
вы читаете...
Информационная безопасность, Протоколы, Системное администрирование

Запрет передачи файлов в IM-клиентах (Mail.Ru Агент, ICQ, Jabber и т.п.) — взгляд с другого угла

Ранее для решения этой задачи я исследовал протоколы, писал правила для фаерволла, что-то добавлял в ACL’ы прокси-сервера.

Все было хорошо до тех пор, пока протоколы не начали меняться.

Пораскинув мозгами я пришел к новому решению, о котором и хочу рассказать.

Итак, решаем поставленную задачу с помощью Remote Desktop Web Access на базе Windows 2008.

Данная технология позволяет публиковать приложения с использованием удаленного доступа. То есть, совершив определнные манипуляции на сервере, мы получаем ярлык для подключения к нашему расшаренному в RD Web Access приложению (например, MailRu Агент). Пользователь подключается через данный ярлык и работает с приложением внутри RDP, причем выглядит это для него так, как будто приложение запущено на его локальном компьютере.

Итак, основная логика представлена на рисунке 1.

Рисунок 1 - Логика предоставления доступа к интернет-ресурсам с помощью технологии Remote Desktop Web Access

Рисунок 1 — Логика предоставления доступа к интернет-ресурсам с помощью технологии Remote Desktop Web Access

Основная суть решения:

  1. Пользователь и RDP-сервер расположены в разных сетевых сегментах.
  2. Пользователь получает возможность работать с интернет-сервисами (электронная почта, IM и т.п.) так, как будто он запускает приложения на своем компьютере.
  3. Пользователь не может отправить файл собеседнику (буфер обмена и подключение локальных дисков в RDP-сеансе отключены).
  4. Пользователь не может получить доступ из RDP сеанса к своему компьютеру по протоколу SMB или любому другому (режется пограничным фаерволлом).
  5. При необходимости пользователь может получить доступ к своему профилю на терминальном сервере по протоколу SMB (например, для скачивания полученных в течение RDP-сеанса файлов). Профиль из сети доступен только на чтение и только данному пользователю.
Реклама

Обсуждение

Комментариев нет.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: