[Podpinam sie] Re: net w sieci...

>> Zak³adam, ¿e aby dostaæ siê do danych serwera trzeba sobie dodatkowo
>> zrobiæ router z jednego z komputerów (192.168.1.xxx <-> 192.168.2.xxx). na
>> ile to
>> jest skuteczne dodatkowe zabezpieczenie,je¿eli nie liczyæ samego routera 
>> ? (Pomijam oczywi¶cie ¶ci±gaczy trojanów)
> 
> im wiêcej interfejsów tym wiêcej rzeczy do pilnowania
> najpierw musia³by¶ powiedzieæ jakie s± zale¿no¶ci pomiêdzy komputerami w
> sieci (co siê z czym ³±czy)
> 
> Zacznij mo¿e od:
> http://pl.wikipedia.org/wiki/Demilitarized_Zone
> 
Interesuje mnie traka sytuacja:
Mam siec, wazne dane, czasami malo inteligentne osoby ktore musza miec 
neta i nie ma mozliwosci obciecie maili i zezwalanie tylko na okreslona 
liste zezwalanych stron WWW.
Interesuje mnie konretna sytuacja. Dedykowany atak, atakujacy wysyla 
maila do konkretnej osoby z linkiem do zlosliwego exeka i odbierajaca 
osoba jest glupia i w to klika. Ow exek skanuje siec, zczytuje liste 
dokumentow, instaluje keyloggera, uzyskuje tak wiec zapewne usera i pass 
do bd. Powolutku wypluwa dane z bd do siebie tak aby ruch nie byl za 
wielki i zeby w zasadzie nie mozna go bylo wykryc, ruch oczywiscie jest 
szyfrowany.

Pytanie:
Jak mozna sie przed czyms takim obronic skutecznie? Interesuje nnie 
przede wszystkim krok 1 czyli podeslanie linku do exeka i mozliwosc ze 
glupi user kliknie. Nie interesuje mnie w tym momencie edukacja usera 
(oczywiscie nie mozna tego olewac) bo nie jest to w 10% skuteczne.
Czy jedynym oficjalnym pomyslem sa 2 galwanicznie oddzielone sieci i 2 
kompy? Pomyslalem zeby user mial swoj komp do bd a 2 wirtualny to neta 
(z inna adresacja, po tych samych kablach):
  a) poprzez VirtualPc - minusem tu beda licencje na M$ (na wirtaulu 
musi byc min. Windows)
  b) jakis serwer, kazdy loguje sie na swoje konto - mniejsze koszty na 
licencje M$
Jak by nie bylo to i tak jest to 2 kompy...

A moze robi sie to inaczej?