Retea de 3 si retea de 20. Vreau sa impiedic accesul neautorizat la reteaua de 20.

Va salut.
Am la munca o retea de 3 PC, din care unul are si o imprimanta, partajata in aceasta retea.
In paralel (daca pot spune asa), coexista o retea formata din 20 PC, de unde un nesimtit care lucreaza la unul din cele 3 computere de pe reteaua mica descarca tot timpul filme, jocuri, chiar si virusi, fara sa constientizeze ca pune in mare pericol informatiile de pe calculatorul la care lucreaza. (La ultima scanare am gasit peste 4000 de doc. infectate cu Relax... multe doc. au pierit cu ocazia asta...).
As vrea sa fac in asa fel incit accesul lui sa se rezume doar la reteaua de 3 si imprimanta, fara a mai putea descarca din reteaua mare tot ce vrea el. PC-ul la care lucreaza el are XP pro, celelalte doua merg cu 98.
Va rog sa imi dati citeva sugestii/recomandari. Multumesc.

Ce intelegi tu prin 2 retele? Sunt diferite logic (clase IP diferite)?

Prin ce tip de echipament (router?) se face interconectarea?

Exista un firewall pus intre cele 2 retele?

O mica schema, perhaps....

FuryRo, on Nov 3 2005, 18:27, said:

Legatura cu reteaua mare se face printr-un switch, si nu exista firewall. In mare, reteaua de 3 deriva din cea de 20. Cred ca toate calculatoarele apartin aceleiasi retele, desi fizic ele se afla in cladiri separate (20 intr-o cladire, 3 in alta).

Prin simplificare, problema mea ar putea suna asa: sint intr-o retea si vreau sa impiedic accesul utilizatorului la unul din calculatoarele din retea, de unde isi trage el stuff. banuiesc ca simplu se poate rezolva de pe la server, insa acolo nu am acces.

incearca:
Umbla TCP/IP -prpopietati-advanced-option-TCP?IPfiltering propietati air acolo setazi TCP,UDP si IP care sa se lege
sau te duce la fiecare si ii blochezi (dar o poate rezolva daca stie ceva IT)portul 80,ori din server(daca aveti) ii blochezi IP-ul

1. reteaua fizica este ACEEASI. Faptul ca se afla in locatii relativ distantate nu diferentiaza prea mult. Sunt legate prin sarme? FARA management la mijloc, care sa faca filtrare, organizare VLAN-uri & stuff? Atunci este ACEEASI retea. Inteleg ca mai e si o singura retea logica.

2. in lumina celor de mai sus, optiunile tale sunt destul de limitate, in principiu la "taierea" in 2 puncte:

a. transport: un bridge transparent cu filtrare intre cele 2 segmente ar fi suficient de destept sa faca ce vrei matale. Sa nu zic de un switch cu management, care ar fi JUST WHAT YOU REALLY NEED, in special pentru o protectie eficienta din TOATE sensurile (inteleg eu bine ca e vorba de o mini-retea de firma, legata DIRECT la o mini-retea de cartier, de la care ia net (si nu numai) ?)

b. acces: taierea accesului la destinatie, prin username / firewall etc. Dar daca e asa cum banuiesc la pct. 1, atunci slabe sanse. Ar trebui un management mai avansat al resurselor (AD de exemplu, destul de greu, daca nu imposibil de implementat in situatia data).

Oricum, starea actuala de fapt nu prea aduce NIMIC bun. Daca e asa cum cred eu, nu se pune problema aluia care umbla prin retea dupa tot felul de porcarioare, ci mai ales a CELORLALTI, care pot avea / au acces DIRECT la computerele alea 3, amarate.

Cred ca e ceva de munca (si de scos din buzunare, din pacate) in zona aia.

Succes!

Multumesc tuturor pentru raspunsuri. Reteaua apartine unei institutii si nu are acces la internet. In ceea ce priveste securitatea datelor, cele 3 PC au resurse partajate si, in afara de asta, sint date cu caracter general pentru care nu s-ar obosi nimeni din institutie sa forteze accesul in vreunul din pc-uri. Mi-am amintit o chestie, si anume ca atunci cind intru la "my network place" vad acolo 2 workgroup-uri, unul al retelei de 20 si unul al celei de 3.

Quote

voi incerca si varianta asta.

Tyby: raspunsul tau e prea profesionist pentru mine, nu am nici cunostintele necesare si nici resusrse financiare sa pun in aplicare o asemenea schema. Oricum,multumesc.