Directory Encrypt/Decrypt
-
Selam ağalar,
Çözüm noktasında beyin fırtınasına veya hazır bir çözüme ihtiyacım var.
Şirket içerisindeki local network üzerinde bulunan serverda tasarım dosyaları(autocad vs.) bulunuyor.
Ben bu dosyaların sadece şirket içerisindeki makinalar tarafından açılabilmesini istiyorum.
Yani server üzerindeki encrypted dosyaları şirket içerisindeki bir makina açmaya çalıştığında on the fly decrypt ederek açabilmeli.
Aynı şekilde server üzerine eklenen yeni dosya otomatik encrypt edilmeli.Amaç; dışarıya sızdırılan tasarım dosyalarının yabancı makinalar tarafından açılamaması.
Teoride golang ile server ve client üzerinde çalışacak iki ayrı servis yazabilirim.
Server tarafındaki servis klasöre yeni dosya atıldığında otomatik encrypt eder.
Client tarafındaki servis mac adresine göre veya şirketin statik ip adresini kontrol ederek elindeki key ile decrypt eder.Samba ve dongle ile bişeler önerdi bi arkadaşın ama çok kafama yatmadı.
Konuyla ilgili yorumu olan var mı?
-
Datayı şifrelemek değilde data çıkışını önlemek adına yapılmış dlp sistemler var. Çoğu 3 aşağı 5 yukarı aynı mantıkla çalışıyor. Bunlardan birini tercih edebilirsin. + firewall ve bunların düzgün configurasyonlarıyla data çıkışının önüne geçebilirsin.
-
data çıkışını engellemek çok ilkel geliyor bana. şuan makinalar komple internete kapalı.
adam araştırma yapacaksa ortak makinaya geçiyor falan.. (havelsan da böyle çalışıyormuş.)
belirli formattakileri engelleyelim desek, ortada belirli bir pattern yok ki.. biraz kafası çalışan adam firewalldan o dosyayı çok rahat zıplatır.
temele indiğinde, okuyabildiğin her dosyayı, kopyalayabilirsin.
benim buradaki asıl amacım; 2 aylık stajyerin tüm tasarım dosyalarını tek seferde dışarı çıkarabilmesinin önüne geçmek.
tekil olarak çıkarmasının bir mahsuru yok.
-
Hybris bunu yazdı
data çıkışını engellemek çok ilkel geliyor bana. şuan makinalar komple internete kapalı.
adam araştırma yapacaksa ortak makinaya geçiyor falan.. (havelsan da böyle çalışıyormuş.)
belirli formattakileri engelleyelim desek, ortada belirli bir pattern yok ki.. biraz kafası çalışan adam firewalldan o dosyayı çok rahat zıplatır.
temele indiğinde, okuyabildiğin her dosyayı, kopyalayabilirsin.
benim buradaki asıl amacım; 2 aylık stajyerin tüm tasarım dosyalarını tek seferde dışarı çıkarabilmesinin önüne geçmek.
tekil olarak çıkarmasının bir mahsuru yok.
Iyi de makineye aldığında decrypt edilecekse bir usblik işi var?
-
"Okunabilen her veri kopyalanabilir" kuralından yola çıkarsan, stajer çocuk isterse dışarı çıkartabilir. File server; senin güvenli olarak belirttiğin kişiye dosya erişim verir fakat kopyalamasını engelleyemez. Sonuç yine kullanıcı/role bazlı güvenliğe döner. Sen stajer çocuğa güvenip yetki veriyorsan, server'da güvenir.
Aklıma gelen çözüm, klasik kullanılan asenkron kriptolama (public/private key) ve zaman damgası eklenebilir.
Herhangi bir şifreli dosyayı açmak için, birde fazla kişilere özel public key oluşturabilirsin. Bu mac/ip/parola/sertifika bazlı olabilir ve her public key'inde bir süresi/ömrü olabilir.
Böylece; herkes yetkisi olan dosyaları okuyabilir ve public keylerin son kullanma tarihi olacağı için ekstra güvenlik sağlar.
Çoğu security file server bu şekilde hazır yapılar ile geliyor. -
dosya tipi nedir sadece dwg mi ? Yoksa katı modeller vs dahil mi ?
-
Takip