Microsoft Way

Нам провайдер не указ


В жизни бывает всякое, не менее разные ситуации случаются и в бизнесе. Но что делать, если на носу переезд, а на новом месте не то, чтобы нет возможности быстрого подключения интернет-доступа, но само это новое место может оказаться перевалочным пунктом в длинной череде? При этом, без сомнения, работать как-то нужно ;)
Разработанное решение более подходит к ситуации домашнего использования, но и для, скажем так, малого бизнеса я бы не стал однозначно его отвергать.
Для отвязывания от проводов на данный момент существует несколько решений: использование коммерческий сети WiFi или развивающийся сети WiMax. Но по простой причине того, что нет полной уверенности, каков же будет следующий «перевалочный пункт», нам необходимо было создать унифицированое решение, легкое для адаптации.

Хотя это и широко анонсировалось, до сих пор мало кто хорошо знает об одной интересной особенности новых операционных систем от компании Microsoft. Я о поддержке режима работы в качестве точки доступа, который появился в Windows 7 и Server 2008 R2.
Уж скажем честно, решение, традиционно, получилось чуть-чуть не совсем доработанным до того функционала, о котором можно было мечтать. Но для целей оперативно предоставить доступ в интернет приехавшему на переговоры партнеру — вполне подойдет, когда не хочется этого партнера заставлять мучительно ожидать организации доступа силами сотрудников ИТ отдела.
Достаточно лишь запустить командную строку с повышенными правами и скопировать-вставить в появившееся черное окно две строки:

  1. netsh wlan set hostednetwork mode=allow ssid=LibertineGuest key=superKey^1234
  2. netsh wlan start hostednetwork

После чего вызвать свойства своего текущего сетевого подключения и на вкладке «доступ» установить галочку «другие пользователи могут подключаться».
Вот и все, скучающий бизнес-партнер теперь может подключиться к беспроводной сети LibertineGuest используя пароль superKey^1234
Кстати, вот после этого имеет смысл задуматься о степени сетевой безопасности и том, за что же Вы все же платите сотрудникам своего ИТ отдела, утверждающим, что трудятся в поте лица, защищая корпоративные данные? Кто, кроме Вас, может проделать вышеозначенные операции и дать доступ группе злоумышленников сидящих в автомобиле внизу? А ведь, по-хорошему, у вас, как обычного пользователя, не должно было быть даже прав в системе на подобные операции.

Ну да ладно, предположим, мы все же используем технологии во благо ;)
Итак, как я уже упомянул, в Server 2008 R2 появилась возможность создания беспроводной точки доступа. А, значит, если у нас есть все необходимые лицензии на использование соответствующего ПО, мы вполне можем установить на него Threat Management Gateway со всем его приятным функционалом в виде защиты от внешних угроз, кэширования и антивирусной проверке трафика, возможности создания VPN подключений и, главное, автоматического переключения на резервный канал при недоступности основного (например, то же коммерческий публичный WiFi).
Правда, кое о чем необходимо упомянуть:

  1. По умолчанию, поддержка беспроводных подключений в серверной OC отключена. Поэтому, необходимо перевести в автоматический старт службу «Wireless LAN AutoConfig»
  2. После перезагрузки системы необходимо заново вручную выполнить команду «netsh wlan start hostednetwork». Но это решается крайне просто, учитывая, что для запуска при помощи ключа реестра или локальной групповой политики не активен UAC (на самом деле, оно неактивно для всех действий учетной записи системы, но это детали).
  3. Поскольку все данное решение разработано производителем именно для целей «быстрого подключения партнера», при старте сети будут включены и запущены службы ICS (общий доступ к подключениям) и DHCP/DNS сервер. Что, разумеется, вызовет конфликт со службами TMG. Что ж, просто необходимо сначала все ненужные службы остановить и запретить к запуску (т.к., в частности, ICS будет пытаться сделать перезапуск при любой остановке), а затем все нужные нам службы — перезапустить. Все это ровно также просто автоматизируется, главное, помнить о том, что необходимо вставлять задержки выполнения, т.к. некоторые службы, имеющие под собой зависимые, требуют некоторого времени на старт

Домашнее же применение описанного решения (за исключением серверной ОС и TMG, т.к. воровать нехорошо, если можно использовать вполне легальные и легко настраиваемые решения внутри виртуальной машины на которую проброшено сетевое подключение) может выглядеть так:

Ноутбук-wifi роутер



Соседние записи:
« Учет использования общих принтеров
Беспроводной маршрутизатор Asus RT-N13U и его доработка »

Эта запись опубликована 03.04.2010 в 3:35. Рубрики: Forefront TMG, безопасность. Вы можете следить за ответами к этой записи через RSS 2.0. Вы можете оставить отзыв или трекбек со своего сайта.

4 комментария на «Нам провайдер не указ»

  1. Xaegr пишет:
    03 Апр 2010 в 17:38

    >Достаточно лишь запустить командную строку с повышенными правами

    >Кто, кроме Вас, может проделать вышеозначенные операции и дать доступ группе злоумышленников сидящих в автомобиле внизу? А ведь, по-хорошему, у вас, как обычного пользователя, не должно было быть даже прав в системе на подобные операции.

    А с каких пор обычный пользователь может запускать командную строку с повышенными привилегиями? Для этого вроде бы требуется права адмиистратор? ;)

  2. admin пишет:
    04 Апр 2010 в 0:06

    Все замечательно, но Вы не совсем уловили ньюанс:

    1. Да, часть топ-менеджмента совершенно не собирается отчитываться в том, какую новую игру они хотят иметь возможность установить на свой корпоративный ноутбук.

    2. Да, часть менеджеров среднего звена, не имея привилегии в виде корпоративного ноутбука, тем не менее, использует оные (купленные за свой счет) она работе и по работе.

    3. Да, на презентационном ноутбуке, который, порой, уезжает в неведомые дали на недели, как правило, пользователю дан полный доступ.

    4. Но вот если так просто запустить командную строку с повышенными привилегиями и дать гостю доступ в сеть все же удалось... Пора задать кому-нибудь несколько вопросов ;)

  3. Koap пишет:
    27 мая 2010 в 1:21

    красиво, что скажешь, и действительно — где есть гарантия что тот, кто трудится в поте лица, вообще в курсе нововведений от микрософт :) По моему иногда наблюдается обратная тенденция — специалисты интересующиеся и главное разбирающиеся в таких тонкостях, руководство зачисляет в «параноиков» с последующими выводами ;)

  4. admin пишет:
    27 мая 2010 в 16:49

    У этой «тенденции» есть некоторый недопонимаемый аспект: для бизнеса важнее всего не ИТ, как таковое, а собственная эффективность.

    Как бесполезно ставить пятый замок на чугунные ворота, вокруг которых нет забора (что, как правило и делают такие «специалисты»), так и бессмысленно защищать то, что никому и не интересно. Я самолично однажды наблюдал, размещенную в отдельном кабинете, выделенную в отдельный VLAN рабочую станцию, на которой в шифрованном контейнере находится ПО для сдачи электронной отчетности.

    Ну а если проблема действительно актуальна и существенна, есть три варианта, откуда берется «непонимание»:

    1. Руководство в принципе не способно адекватно мыслить, даже видя всю очевидную осуществимость изложенных сценариев потери контроля над важной информацией. Вероятно, это достаточно фантастический вариант, т.к. глубоко неадекватные люди крайне редко способны вести эффективный бизнес. Есть ли смысл работать на неадекватных людей, волен для себя решать каждый самостоятельно.

    2. Руководство по внутренним убеждениям не может принять всерьез любые доводы «параноика». Насколько целесообразно и далее работать в качестве клоуна, а не специалиста по ИТ, опять же, каждый волен решать самостоятельно.

    3. ИТ директор не в состоянии адекватно изложить свои мысли и объяснить существенность проблемы. Здесь можно, наверно, только посоветовать сменить профессию ;)

Ваш отзыв



© 2009 Microsoft Way
Все авторские и имущественные права на тексты и визуальные материалы в статьях принадлежат автору блога. Несанкционированное копирование или частичная перепечатка будут преследоваться в рамках текущего законодательства. Все права на упомянутые в текстах торговые марки принадлежат их законным владельцам.