- Запрет сайтов-как лучше?,
 PavelR, 14:22 , 23-Фев-08 (1)пока у тебя есть хоть один открытый порт наружу, пользователь может снаружи найти прокси и через него работать. Тут без вариантов, допустим тебе надо чтобы они тягали почту снаружи офиса - ты откроешь им 110 порт - на него можно повесить прокси.
Так что только явным открытием узкого перечня разрешенных сервисов + заворачивание всех на прокси.
Но и тут, если прокси открыт на все адреса назначения, можно обойти это след образом: опенвпн сервер снаружи, опенвпн сервер внутри, соединение через твой прокси и проброс внутрь офиса туннеля :) - все, защита пройдена. Так что решать эти вопросы можно только административными методами: 1. Наказывать за нецелевое использование рабочего времени
2. открывать только разрешенные сайты/сервисы.
3. контролировать объемы прокачанных данных с разрешенных сайтов/сервисов, наличие аномалий - подозрения - анализ - наказания :)
А лучше вообще ничего внешнего не давать и контролировать емайл (а то на анекдотов рассылку подпишутся :))) )
- Запрет сайтов-как лучше?, PavelR, 17:32 , 23-Фев-08 (4)
>Но и тут, если прокси открыт на все адреса назначения, можно обойти
>это след образом: опенвпн сервер снаружи, опенвпн сервер внутри, соединение через
>твой прокси и проброс внутрь офиса туннеля :) - все, защита
>пройдена. Вот эту проблему можно обойти лишением всех пользователей административных прав на локальных машинах.
- Запрет сайтов-как лучше?, Kos, 14:45 , 23-Фев-08 (2)
>[оверквотинг удален]
>2. squid
>
>впринципе удобно, но пользователи указывают внешние прокси серверы и всё продолжает работать.
>
>
>
>Как то можно сделать чтобы пользователи железно не могли заходить на сайты,
>которые я укажу, при этом такие сайты можно было прописывать доменами
>(а ещё лучше чтобы можно было задавать "шаблоны" как в squid)?
>Для разрешения/запрета сайтов прикрутить к сквиду фильтр типа SquidGuard-a.
Насчет внешних прокси... максимум - это поиграться в том же сквиде с header_access (вроде так) а вообще программ для создания туннелей навалом, так что проблема с использованием внешних прокси - это скорее работа службы безопасности ;)
- Запрет сайтов-как лучше?, angra, 15:43 , 23-Фев-08 (3)
Самый эффективный метод это административно-психологический. Всех уведомить что за хождение по левым сайтам штраф или увольнение. Дальше открыть свободный доступ и одновременно вести логи кто и куда ходил. По сравнению с попытками перекрыть метод имеет большое преимущество в том, что человек не может узнать позволила ли ему кулхацкерская програмулина скрыть свои действия от логов, особенно если итоги подводятся в конце месяца. В случае же запретов кулхацкер всегда может сразу увидеть позволяет ли какой-то метод их обойти или нет и если нет, то начнет искать следующий.
- Запрет сайтов-как лучше?, dz, 07:47 , 24-Фев-08 (5)
поднять фиктивную зону днс у себя для этого домена и указать айпи для этого сайта как 127.0.0.1днс же свой используется а не провайдера надеюсь...
- Запрет сайтов-как лучше?, Frei, 13:55 , 24-Фев-08 (6)
>поднять фиктивную зону днс у себя для этого домена и указать айпи
>для этого сайта как 127.0.0.1
>
>днс же свой используется а не провайдера надеюсь... ДНС конечно свой. Но такой метод не решает проблему тунелей и внешних прокси...
Но эту проблему действительно видимо не решить... Спасибо за ответы. Буду бороться :)
- Запрет сайтов-как лучше?, angra, 17:50 , 24-Фев-08 (7)
Что помешает пользователю поднять свой dns сервер? Еще раз повторю, что на любой явный технический запрет почти всегда найдется _готовый_ ответ. То есть юзер лезет в инет и ищет прогу, которая поможет ему обойти ограничение. Он находит их с десяток и по-очереди пробует, какая позволит пройти ограничение, та и остается. В результате получаем что мы дали пользователю критерий отбора. В случае, когда запрет административный, а не технический, но при этом ведутся логи, то у пользователя нет критерия отбора. Он не может быть уверен, что та или другая прога позволит ему не оставить след в логах.
- Запрет сайтов-как лучше?, PavelR, 11:50 , 25-Фев-08 (8)
>Что помешает пользователю поднять свой dns сервер? Еще раз повторю, что на
>любой явный технический запрет почти всегда найдется _готовый_ ответ. То есть
>юзер лезет в инет и ищет прогу, которая поможет ему обойти
>ограничение. Он находит их с десяток и по-очереди пробует, какая позволит
>пройти ограничение, та и остается. В результате получаем что мы дали
>пользователю критерий отбора. В случае, когда запрет административный, а не технический,
>но при этом ведутся логи, то у пользователя нет критерия отбора.
>Он не может быть уверен, что та или другая прога позволит
>ему не оставить след в логах. Отсутствие административных прав на машине поможет помешать пользователю делать то что _пользователю_ хочется. Пломбировка компьютера, привязка адресов к портам, мониторинг ... Думаю что у задавшего вопрос нет столько средств и оборудования.
- Запрет сайтов-как лучше?, angra, 20:03 , 27-Фев-08 (19)
>Отсутствие административных прав на машине поможет помешать пользователю делать то что _пользователю_ хочется. Далеко не всегда. Даже на винде, не говоря уже про линукс.
- Запрет сайтов-как лучше?, ALex_hha, 19:58 , 25-Фев-08 (9)
>[оверквотинг удален]
>Весь трафик идёт через FreeBSD сервер, на котором ipfw, прозрачный прокси squid
>(ну он же доступен на порту 8080). Пользователи идентифицируютсяпо ip адресу.
>
>
>Варианты:
>1. ipfw
>
>Не удобно тем, что нужно для каждого пользователя прописывать что можно что
>нельзя, а так же нельзя прописывать доменные имена (можно только ip).
>Если я не прав, то поправьте меня. изврат >2. squid
>
>впринципе удобно, но пользователи указывают внешние прокси серверы и всё продолжает работать. а почему им позволено выходить в инет через чужой прокси? Настройте ipfw так, чтобы в инет они выходили через ваш прокси сервер.
>Как то можно сделать чтобы пользователи железно не могли заходить на сайты,
>которые я укажу, при этом такие сайты можно было прописывать доменами
>(а ещё лучше чтобы можно было задавать "шаблоны" как в squid)? http://www.sys-adm.org.ua/www/squidGuard.php
- Запрет сайтов-как лучше?, Шейх, 06:47 , 26-Фев-08 (10)
А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110. Или без двух последних если почта на локальном серванте.
- Запрет сайтов-как лучше?, PavelR, 11:28 , 26-Фев-08 (11)
>А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от
>юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110.
>Или без двух последних если почта на локальном серванте. хотябы один порт открыт - и всё, уже достаточно.
- Запрет сайтов-как лучше?, Frei, 11:46 , 26-Фев-08 (13)
>>А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от
>>юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110.
>>Или без двух последних если почта на локальном серванте.
>
>хотябы один порт открыт - и всё, уже достаточно. Полностью поддерживаю. Но тем неменее порты 8080 и 3128 на внешних хостах закрою.
- Запрет сайтов-как лучше?, Шейх, 12:15 , 26-Фев-08 (14)
>>А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от
>>юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110.
>>Или без двух последних если почта на локальном серванте.
>
>хотябы один порт открыт - и всё, уже достаточно. Локальная почта, транспарент прокся. Исходящие соединения только с серванта. Ната нет. Что еще?
- Запрет сайтов-как лучше?, Frei, 12:29 , 26-Фев-08 (15)
>>>А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от
>>>юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110.
>>>Или без двух последних если почта на локальном серванте.
>>
>>хотябы один порт открыт - и всё, уже достаточно.
>
>Локальная почта, транспарент прокся. Исходящие соединения только с серванта. Ната нет. Что
>еще? Нат есть. Даже через прозрачный проксик можно прокинуть тунель или попросту указать внешний прокси на 80 порту. Такая защита не сработает.
- Запрет сайтов-как лучше?, KobaLTD, 14:45 , 26-Фев-08 (16)
>[оверквотинг удален]
>>>
>>>хотябы один порт открыт - и всё, уже достаточно.
>>
>>Локальная почта, транспарент прокся. Исходящие соединения только с серванта. Ната нет. Что
>>еще?
>
>Нат есть.
>
>Даже через прозрачный проксик можно прокинуть тунель или попросту указать внешний прокси
>на 80 порту. Никакого ната, никаких "прозрачных" проксей - обычная прокся (что бы узвер не мог тупа указать в броузере проксю), 90% программ для тунелирования отсекаеться прсто урезанием MTU + фрагментирование пакетов (90% самопальных прог этого просто не переварят) + статистика трафика с анализом контента - хотя бы по заголовкам. Ну и социальные методы конешно.
>
>Такая защита не сработает.
- Запрет сайтов-как лучше?, Frei, 11:45 , 26-Фев-08 (12)
>[оверквотинг удален]
>>
>>
>>Варианты:
>>1. ipfw
>>
>>Не удобно тем, что нужно для каждого пользователя прописывать что можно что
>>нельзя, а так же нельзя прописывать доменные имена (можно только ip).
>>Если я не прав, то поправьте меня.
>
>изврат Я про это и говорю. :)
>
>>2. squid
>>
>>впринципе удобно, но пользователи указывают внешние прокси серверы и всё продолжает работать.
>
>а почему им позволено выходить в инет через чужой прокси? Настройте ipfw
>так, чтобы в инет они выходили через ваш прокси сервер.
А как это сделать? Внешний прокси можно повесить и на 80 порт. >
>>Как то можно сделать чтобы пользователи железно не могли заходить на сайты,
>>которые я укажу, при этом такие сайты можно было прописывать доменами
>>(а ещё лучше чтобы можно было задавать "шаблоны" как в squid)?
>
>http://www.sys-adm.org.ua/www/squidGuard.php Прочитал статью. Только вот не понял чем squidGuard лучше squid ACL? А вообще наверное так и сделаю.
- Запрет сайтов-как лучше?, konst, 01:05 , 27-Фев-08 (17)
>А как это сделать? Внешний прокси можно повесить и на 80 порт. 80-й тоже закрыть. Во вне оставить только необходимое (110-й напр.).
Все запросы на 80-й,443, и т.п. переправлять на локальный squid (3128).
- Запрет сайтов-как лучше?, Дмитрий Ю. Карпов, 13:56 , 27-Фев-08 (18)
Все говорят "закрыть порты" и никто не говорит "оставить порт:110 только к определённым сайтам". Пусть юзеры укажут, какой почтой они пользуются, и оставь порт:110 только к ним. Все остальные порты закрыть, доступ к WWW/FTP через Squid; в Squid запретить доступ через остальные прокси.Кроме того, довольно эффективен контроль по объёму скачанного трафика.
|
Версия для распечатки
Запрет сайтов-как лучше?, 
