- Запрет сайтов-как лучше?, PavelR, 14:22 , 23-Фев-08 (1)
пока у тебя есть хоть один открытый порт наружу, пользователь может снаружи найти прокси и через него работать. Тут без вариантов, допустим тебе надо чтобы они тягали почту снаружи офиса - ты откроешь им 110 порт - на него можно повесить прокси. Так что только явным открытием узкого перечня разрешенных сервисов + заворачивание всех на прокси.
Но и тут, если прокси открыт на все адреса назначения, можно обойти это след образом: опенвпн сервер снаружи, опенвпн сервер внутри, соединение через твой прокси и проброс внутрь офиса туннеля :) - все, защита пройдена. Так что решать эти вопросы можно только административными методами: 1. Наказывать за нецелевое использование рабочего времени 2. открывать только разрешенные сайты/сервисы. 3. контролировать объемы прокачанных данных с разрешенных сайтов/сервисов, наличие аномалий - подозрения - анализ - наказания :) А лучше вообще ничего внешнего не давать и контролировать емайл (а то на анекдотов рассылку подпишутся :))) )
- Запрет сайтов-как лучше?, PavelR, 17:32 , 23-Фев-08 (4)
>Но и тут, если прокси открыт на все адреса назначения, можно обойти >это след образом: опенвпн сервер снаружи, опенвпн сервер внутри, соединение через >твой прокси и проброс внутрь офиса туннеля :) - все, защита >пройдена. Вот эту проблему можно обойти лишением всех пользователей административных прав на локальных машинах.
- Запрет сайтов-как лучше?, Kos, 14:45 , 23-Фев-08 (2)
>[оверквотинг удален] >2. squid > >впринципе удобно, но пользователи указывают внешние прокси серверы и всё продолжает работать. > > > >Как то можно сделать чтобы пользователи железно не могли заходить на сайты, >которые я укажу, при этом такие сайты можно было прописывать доменами >(а ещё лучше чтобы можно было задавать "шаблоны" как в squid)? >Для разрешения/запрета сайтов прикрутить к сквиду фильтр типа SquidGuard-a. Насчет внешних прокси... максимум - это поиграться в том же сквиде с header_access (вроде так) а вообще программ для создания туннелей навалом, так что проблема с использованием внешних прокси - это скорее работа службы безопасности ;)
- Запрет сайтов-как лучше?, angra, 15:43 , 23-Фев-08 (3)
Самый эффективный метод это административно-психологический. Всех уведомить что за хождение по левым сайтам штраф или увольнение. Дальше открыть свободный доступ и одновременно вести логи кто и куда ходил. По сравнению с попытками перекрыть метод имеет большое преимущество в том, что человек не может узнать позволила ли ему кулхацкерская програмулина скрыть свои действия от логов, особенно если итоги подводятся в конце месяца. В случае же запретов кулхацкер всегда может сразу увидеть позволяет ли какой-то метод их обойти или нет и если нет, то начнет искать следующий.
- Запрет сайтов-как лучше?, dz, 07:47 , 24-Фев-08 (5)
поднять фиктивную зону днс у себя для этого домена и указать айпи для этого сайта как 127.0.0.1днс же свой используется а не провайдера надеюсь...
- Запрет сайтов-как лучше?, Frei, 13:55 , 24-Фев-08 (6)
>поднять фиктивную зону днс у себя для этого домена и указать айпи >для этого сайта как 127.0.0.1 > >днс же свой используется а не провайдера надеюсь... ДНС конечно свой. Но такой метод не решает проблему тунелей и внешних прокси... Но эту проблему действительно видимо не решить... Спасибо за ответы. Буду бороться :)
- Запрет сайтов-как лучше?, angra, 17:50 , 24-Фев-08 (7)
Что помешает пользователю поднять свой dns сервер? Еще раз повторю, что на любой явный технический запрет почти всегда найдется _готовый_ ответ. То есть юзер лезет в инет и ищет прогу, которая поможет ему обойти ограничение. Он находит их с десяток и по-очереди пробует, какая позволит пройти ограничение, та и остается. В результате получаем что мы дали пользователю критерий отбора. В случае, когда запрет административный, а не технический, но при этом ведутся логи, то у пользователя нет критерия отбора. Он не может быть уверен, что та или другая прога позволит ему не оставить след в логах.
- Запрет сайтов-как лучше?, PavelR, 11:50 , 25-Фев-08 (8)
>Что помешает пользователю поднять свой dns сервер? Еще раз повторю, что на >любой явный технический запрет почти всегда найдется _готовый_ ответ. То есть >юзер лезет в инет и ищет прогу, которая поможет ему обойти >ограничение. Он находит их с десяток и по-очереди пробует, какая позволит >пройти ограничение, та и остается. В результате получаем что мы дали >пользователю критерий отбора. В случае, когда запрет административный, а не технический, >но при этом ведутся логи, то у пользователя нет критерия отбора. >Он не может быть уверен, что та или другая прога позволит >ему не оставить след в логах. Отсутствие административных прав на машине поможет помешать пользователю делать то что _пользователю_ хочется. Пломбировка компьютера, привязка адресов к портам, мониторинг ... Думаю что у задавшего вопрос нет столько средств и оборудования.
- Запрет сайтов-как лучше?, angra, 20:03 , 27-Фев-08 (19)
>Отсутствие административных прав на машине поможет помешать пользователю делать то что _пользователю_ хочется. Далеко не всегда. Даже на винде, не говоря уже про линукс.
- Запрет сайтов-как лучше?, ALex_hha, 19:58 , 25-Фев-08 (9)
>[оверквотинг удален] >Весь трафик идёт через FreeBSD сервер, на котором ipfw, прозрачный прокси squid >(ну он же доступен на порту 8080). Пользователи идентифицируютсяпо ip адресу. > > >Варианты: >1. ipfw > >Не удобно тем, что нужно для каждого пользователя прописывать что можно что >нельзя, а так же нельзя прописывать доменные имена (можно только ip). >Если я не прав, то поправьте меня. изврат >2. squid > >впринципе удобно, но пользователи указывают внешние прокси серверы и всё продолжает работать. а почему им позволено выходить в инет через чужой прокси? Настройте ipfw так, чтобы в инет они выходили через ваш прокси сервер. >Как то можно сделать чтобы пользователи железно не могли заходить на сайты, >которые я укажу, при этом такие сайты можно было прописывать доменами >(а ещё лучше чтобы можно было задавать "шаблоны" как в squid)? http://www.sys-adm.org.ua/www/squidGuard.php
- Запрет сайтов-как лучше?, Шейх, 06:47 , 26-Фев-08 (10)
А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110. Или без двух последних если почта на локальном серванте.
- Запрет сайтов-как лучше?, PavelR, 11:28 , 26-Фев-08 (11)
>А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от >юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110. >Или без двух последних если почта на локальном серванте. хотябы один порт открыт - и всё, уже достаточно.
- Запрет сайтов-как лучше?, Frei, 11:46 , 26-Фев-08 (13)
>>А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от >>юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110. >>Или без двух последних если почта на локальном серванте. > >хотябы один порт открыт - и всё, уже достаточно. Полностью поддерживаю. Но тем неменее порты 8080 и 3128 на внешних хостах закрою.
- Запрет сайтов-как лучше?, Шейх, 12:15 , 26-Фев-08 (14)
>>А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от >>юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110. >>Или без двух последних если почта на локальном серванте. > >хотябы один порт открыт - и всё, уже достаточно. Локальная почта, транспарент прокся. Исходящие соединения только с серванта. Ната нет. Что еще?
- Запрет сайтов-как лучше?, Frei, 12:29 , 26-Фев-08 (15)
>>>А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от >>>юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110. >>>Или без двух последних если почта на локальном серванте. >> >>хотябы один порт открыт - и всё, уже достаточно. > >Локальная почта, транспарент прокся. Исходящие соединения только с серванта. Ната нет. Что >еще? Нат есть. Даже через прозрачный проксик можно прокинуть тунель или попросту указать внешний прокси на 80 порту. Такая защита не сработает.
- Запрет сайтов-как лучше?, KobaLTD, 14:45 , 26-Фев-08 (16)
>[оверквотинг удален] >>> >>>хотябы один порт открыт - и всё, уже достаточно. >> >>Локальная почта, транспарент прокся. Исходящие соединения только с серванта. Ната нет. Что >>еще? > >Нат есть. > >Даже через прозрачный проксик можно прокинуть тунель или попросту указать внешний прокси >на 80 порту. Никакого ната, никаких "прозрачных" проксей - обычная прокся (что бы узвер не мог тупа указать в броузере проксю), 90% программ для тунелирования отсекаеться прсто урезанием MTU + фрагментирование пакетов (90% самопальных прог этого просто не переварят) + статистика трафика с анализом контента - хотя бы по заголовкам. Ну и социальные методы конешно. > >Такая защита не сработает.
- Запрет сайтов-как лучше?, Frei, 11:45 , 26-Фев-08 (12)
>[оверквотинг удален] >> >> >>Варианты: >>1. ipfw >> >>Не удобно тем, что нужно для каждого пользователя прописывать что можно что >>нельзя, а так же нельзя прописывать доменные имена (можно только ip). >>Если я не прав, то поправьте меня. > >изврат Я про это и говорю. :) > >>2. squid >> >>впринципе удобно, но пользователи указывают внешние прокси серверы и всё продолжает работать. > >а почему им позволено выходить в инет через чужой прокси? Настройте ipfw >так, чтобы в инет они выходили через ваш прокси сервер.
А как это сделать? Внешний прокси можно повесить и на 80 порт. > >>Как то можно сделать чтобы пользователи железно не могли заходить на сайты, >>которые я укажу, при этом такие сайты можно было прописывать доменами >>(а ещё лучше чтобы можно было задавать "шаблоны" как в squid)? > >http://www.sys-adm.org.ua/www/squidGuard.php Прочитал статью. Только вот не понял чем squidGuard лучше squid ACL? А вообще наверное так и сделаю.
- Запрет сайтов-как лучше?, konst, 01:05 , 27-Фев-08 (17)
>А как это сделать? Внешний прокси можно повесить и на 80 порт. 80-й тоже закрыть. Во вне оставить только необходимое (110-й напр.). Все запросы на 80-й,443, и т.п. переправлять на локальный squid (3128).
- Запрет сайтов-как лучше?, Дмитрий Ю. Карпов, 13:56 , 27-Фев-08 (18)
Все говорят "закрыть порты" и никто не говорит "оставить порт:110 только к определённым сайтам". Пусть юзеры укажут, какой почтой они пользуются, и оставь порт:110 только к ним. Все остальные порты закрыть, доступ к WWW/FTP через Squid; в Squid запретить доступ через остальные прокси.Кроме того, довольно эффективен контроль по объёму скачанного трафика.
|