iT邦幫忙

2

公司server 如何防止員工或從自己家或別地方連入

滴低 2017-12-27 21:57:3611470 瀏覽

公司從外部登入SERVER的話 會需要打一串外部IP 然後連線成功會打帳號密碼才能進入看到資料
想請問 要如何才能設定特定IP才能從外部進入到SERVER呢?

公司最近有員工離職後似乎借用尚在職同事的帳密進入公司SERVER使用公司資源

所以想設定特定IP才能進入 而不是任何位址打了外部連接的IP然後輸入帳密都能進入這樣

抱歉因為小弟對這方面比較沒概念 如有述說不當的地方還請見諒

謝謝各位

看更多先前的討論...收起先前的討論...
zyman2008 iT邦大師 6 級 ‧ 2017-12-27 22:37:18 檢舉
外部IP未必是固定的, 所以要確認有需要連線的使用者真的都是固定IP.
否則鎖IP會導致真正的使用者無法從外部連上server工作.
導入多重認證是比較可行的, 除了帳號密碼外還需要另一組動態產生的驗證碼.
動態驗證碼產生器可以是實體的或是軟體綁定在特定的設備上(電腦或手機).
newkevin iT邦高手 1 級 ‧ 2017-12-28 07:40:36 檢舉
1.離職人員用在職同事的帳密進入
公告 視同聯合竊取公司營業機密
2.該離職人員 算入侵行為吧
詢問法務 人員 看看
比較實際吧
3.就算 幫員工
申請固IP 跟
統計員工會去的廠商客戶的IP
設好了 內部持續告知 一樣沒用
還是有方法進去
hon2006 iT邦大師 1 級 ‧ 2017-12-28 09:00:56 檢舉
那個很難去防止
先做好網站ip的紀錄
將來要告人才有證據
hsiang11 iT邦好手 1 級 ‧ 2017-12-28 10:00:59 檢舉
會進得來一定是防火牆開放了所有IP都可以登入,從防火牆去限制最快
帳密如果借來借去IT是防不了的
最有效的方式就是警告 撈出LOG紀錄有哪個IP進來公司撈了哪些資料
寄出資安通報然後下面補個法條
會亂搞的人就知道嚴重性了
hsiang11 iT邦好手 1 級 ‧ 2017-12-28 10:11:47 檢舉
像我遇過有離職員工在離職當天大量把公司內部資料全部上傳到雲端
上班後我發現到異常流量,直接中斷連線,調查後知道是哪台電腦
又從fileserver紀錄看到一堆資料被讀取
那個員工雖然也沒很熟 但是覺得人還好
我就用line跟他講server記錄下10幾萬筆,資料最好不要外流
這用意就是要讓他知道嚴重性 也讓資料不會亂搞弄到我的工作
上頭要我撈紀錄告人 我是沒辦法拒絕的
dandy6 iT邦新手 4 級 ‧ 2017-12-28 12:12:09 檢舉
個人建議鎖IP是很好的方法, 但是你必需要確定所有員工都有固定IP, 而不是DHCP,
而且這只能在有固定IP的家中使用, 到客戶那或出差在旅館就不能用了. 所以我會建議使用TOKEN來解決, 讓使用者的密碼隨時變更, 離職時交回TOKEN, 這樣就不怕密碼被別人知道了.
eigen iT邦新手 1 級 ‧ 2017-12-31 00:05:45 檢舉
在外如何有『固定 ip』? 二、安全的做法應該是從外以 vpn 登入公司

再連上server,這樣從 id/pw 就知道誰連入了

至於是不是員工借人使用,這要看內規或著離職員工離職前已經取得所有人的資料了
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
黃彥儒
iT邦高手 1 級 ‧ 2017-12-27 22:07:08

借用尚在職同事的帳密進入公司SERVER使用公司資源
沒有內規?

防火牆用IP白名單呀,這是最最最基礎的功能耶

1
jaywang
iT邦新手 5 級 ‧ 2017-12-27 22:27:46

在firewall設路由允許IP或是在SERVER設都可以,如果是 IIS google "IIS 擋IP"

0
CyberSerge
iT邦好手 1 級 ‧ 2017-12-28 01:26:21

當發現有人使用在職同事的帳密....第一步驟似乎是先更改那個帳號密碼吧?

2

最後一道防線就是帳密了
如果他都知道貴司所有同仁的帳密
第一應該要全部改掉帳密
之後才是
設備能協助處理的
Firewall鎖起來外對內
VPN進來才能讀取
但是如果是內賊又給VPN帳密
那他又可以進來了

0
mytiny
iT邦超人 1 級 ‧ 2017-12-28 10:15:29

員工離職後似乎借用尚在職同事的帳密

如果上述情況描述為真,首先應找出借用帳密的在職人員
否則即便是鎖定IP,也不能避免被登入server
(防火牆就可以鎖定來源來IP)

另外,非常不建議將內部server直接轉成真實IP對外
即便有帳號密碼保護,也可能造成外部網路攻擊
只有公開網站在資料與網頁分隔後才適合放在DMZ區

內部server如需外部存取,必得先透過VPN連入
此時即可採帳密認證(故可得知時間與人員及來源IP)
如需安全等級提高,應採雙因子動態密碼認證
有些防火牆如Fortigate已內建兩組授權無須額外費用
提早做好資安防護,不因費事而怠惰
免得發生問題時就不是花錢這麼簡單了

0
做工仔人!
iT邦大師 1 級 ‧ 2017-12-28 11:14:54

政治問題要用政治方解決.不要想用技術來解決政治問題.
1."找"或"留"證據:人在公司,同時又有外部連線就是最好的證據.或同一個帳號同時有二個不同來源.
2.強制改密碼並告知當事人(這是不討厭當事人的作法) =>先警告
3.報告主管,由主管決定要不要"辦人"? =>壞人當然是讓主管來當.

0
dandy6
iT邦新手 4 級 ‧ 2017-12-28 12:14:23

個人建議鎖IP是很好的方法, 但是你必需要確定所有員工都有固定IP, 而不是DHCP,
而且這只能在有固定IP的家中使用, 到客戶那或出差在旅館就不能用了. 所以我會建議使用TOKEN來解決, 讓使用者的密碼隨時變更, 離職時交回TOKEN, 不交回就把TOKEN 刪除起來, 這樣就不怕密碼被別人知道了, 當然這是要花費的作法 .

0
捷客
iT邦新手 4 級 ‧ 2018-01-02 10:11:13

疑問?
貴公司允許多少人具有外部存取的權限

抓人,辦人,只是彌補的辦法吧

最釜底抽薪之計應該是:
1.所有具有允許權的人都應該改密碼,而不是只改現已知道的那個帳號
而且,定時改密碼本就是網管最基本的要求吧

2.口頭詢問/警告那個被借用帳號的人,或許他的帳密很久以前就被離職人員借用過,他並不曉得那個離職者還在繼續“借用",總得給人解釋的機會,而不是輕易就要辦人

3.公告周知所有在職員工

4.再次檢視具有外部存取權的人,能少盡量少

0
idontlikehim
iT邦新手 5 級 ‧ 2018-01-25 16:12:54

這個真的很重要~是不是要請相關人員幫忙設定?

我要發表回答

立即登入回答