Добрый день!
Прошу помощи вот в чем:
имеется рабочий squid3.4. Прокся работает в обычном, не прозрачном режиме. Необходимо отследить пользователей, которые подключаются через прокси (тот же squid, но версия неизвестна, 2.7, 3.0, 3.1 и.т.д) и, соответственно, запретить им доступ.Кто-нибудь подскажет как это сделать и возможно ли это?
Спасибо...
Подключаются куда?
Из локальной сети, конечно.Подключился сотрудник к прокси-серверу, мне нужно отследить, что он идет не через другой прокси, который установлен в этой же сети.
для чего это?
есть сотрудники, которым предоставляется полный доступ. данные сотрудники способны поставить у себя прокси-сервер и начать раздавать интернет. Вот это мне и нужно отследить и заблокировать.Я, конечно, благодарю за внимание к теме, но прошу не предлагать:
1. организационные меры
2. сторонний софт
и.т.дмне нужно решить данный вопрос именно на стороне squid
> есть сотрудники, которым предоставляется полный доступ. данные сотрудники способны поставить
> у себя прокси-сервер и начать раздавать интернет. Вот это мне и
> нужно отследить и заблокировать.В общем случае задача решения не имеет. Всегда найдётся способ замаскироваться и обойти все проверки. Единственный вариант - отделить пользователей, которым нельзя в интернет, в отдельную сеть и запретить из неё подключения к компьютерам из доверенной сети.
спасибо за совет, но в моем случае это не выполнимо
> спасибо за совет, но в моем случае это не выполнимовланы?
> Кто-нибудь подскажет как это сделать и возможно ли это?
> Спасибо...icp_access deny localnet
не помогает ?
не пробовал, проверю
у squid по умолчанию данная опция стоит как icp_access deny all
если в сети есть сотрудник который у себя поднимает сквид, а теюя это вызыват проблемы, , то тебя надо выгнать, а тому сотруднику добавить зарплату.
> если в сети есть сотрудник который у себя поднимает сквид, а теюя
> это вызыват проблемы, , то тебя надо выгнать, а тому сотруднику
> добавить зарплату.Благодарю вас за душевные слова, правда не понял смысла данной тирады, да и думаю смысла в ней нет.
Вы серьезно считаете, что поднять сквид и начать раздавать интернет это так сложно?
> Вы серьезно считаете, что поднять сквид и начать раздавать интернет это так
> сложно?Зачем ему это вообще делать?
Это что общага или колхоз.Вообще тупо будет в логах видно, что один юзер разными браузерами одновременно открывает разные сайты.
Настройте расширенный лог,
Делайте парсер лог файлов.
>> Вы серьезно считаете, что поднять сквид и начать раздавать интернет это так
>> сложно?
> Зачем ему это вообще делать?
> Это что общага или колхоз.
> Вообще тупо будет в логах видно, что один юзер разными браузерами одновременно
> открывает разные сайты.
> Настройте расширенный лог,
> Делайте парсер лог файлов.Корпоративный браузер? У всех один?
>> если в сети есть сотрудник который у себя поднимает сквид, а теюя
>> это вызыват проблемы, , то тебя надо выгнать, а тому сотруднику
>> добавить зарплату.
> Благодарю вас за душевные слова, правда не понял смысла данной тирады, да
> и думаю смысла в ней нет.
> Вы серьезно считаете, что поднять сквид и начать раздавать интернет это так
> сложно?У нормального админа - да.
Корпоративная политика безопасности. Отсутствие админских полномочий у пользователя.
Настройка ОС по правилам групповых политик.
Авторизация на прокси с контролем приложения которое пытается осуществить выход в интернет (сквид не умеет такого. Добро пожаловать в энтэрпрайз решения :) ).
>> если в сети есть сотрудник который у себя поднимает сквид, а теюя
>> это вызыват проблемы, , то тебя надо выгнать, а тому сотруднику
>> добавить зарплату.
> Благодарю вас за душевные слова, правда не понял смысла данной тирады, да
> и думаю смысла в ней нет.Вот как раз потому что вы не смогли увидеть смысла в этой тираде - вас надо выгнать а тому сотруднику добавить зарплаты :)
Вы, как человек ответственный за сетевые технологии в вашей компании- подошли к своей работе безответственнно. Вы не контролируете сеть. Не контролируете компьютеры пользователей. Любой человек в вашей сети может делать все что угодно. Вы не способны аргументировать перед начальством необходимость установки и настройки управляемого оборудования. Вы не понимаете как работают современные сетевые технологии. Вы не разбираетесь в системах защиты сети.
В общем вы как сисадмин - профнепрегодны.
Так что все правильно в той тираде :)
> Прошу помощи вот в чем:...
>запретить им доступ....
> Кто-нибудь подскажет как это сделать и возможно ли это?Для этого существуют управляемые коммутаторы.
> имеется рабочий squid3.4. Прокся работает в обычном, не прозрачном режиме. Необходимо отследить
> пользователей, которые подключаются через прокси (тот же squid, но версия неизвестна,Вы крайний оптимист. "Проксей" которые могут поставить себе пользователи - как собак нерезанных. OpenVPN, Polipo, 3proxy, различные сокс-прокси и т.д.
И вот вы со своим сквидом собираетесь бороться.. с чем?
Правильный вариант - поставить управляемое оборудование, разбить сеть на вланы, вынести пользователей которым разрешен выход в инет от тех которым не разрешен в отдельные вланы.
Что касается невозможности сделать то что вам советуют - это знаете ли..детский лепет. Чтобы ездить на машине надо иметь машину. Если вы не можете иметь машину, а имеете только самокат - вы не сможете ездить на машине хоть усрись на своем самокате.
В общем случае у вас нет технической возможности с помощью сквида отделить пользователей "честных" от "через прокси".
Есть разные варианты мелкой пакости для владельцев прокси:
ограничить число коннектов с одного адреса
ограничить объем трафика с одного адреса
контролировать запущенные на компьютере пользователя приложения
контролировать настройки файрвола на компьютере пользователя, раздавая их через корпоративную политику
и так далее...
> Добрый день!
> Прошу помощи вот в чем:А вот теперь внимание:
Первый вопрос который вы, как человек отвечающий вероятно за информационную безопасность компании должны себе задать, должен быть не про сквид и глупые идеи с прокси, а про то, что именно помешает пользователю поставить себе на комп 3Gмодем с анлимитом и натащить к вам в сеть всего чего только можно ВООБЩЕ В ОБХОД ВАШЕГО СКВИДА?
Глубину проблемы понимаете? :)
Ну что-же, можно подвести итог:
1. У "Square1" какая-то навязчивая идея насчет увольнения и добавления зарплаты работнику - явная психологическая травма... лечитесь... особенно порадовала фраза "В общем вы как сисадмин - профнепрегодны." к незнакомому человеку... так же утверждение, что я отвечаю за сетевые технологии, что не является верным - не отвечаю я за сетевые технологии.
2. советы по поводу Vlan и управляемых маршрутизаторов: уважаемые коллеги, в организации дорогостоящая сети со своими особенностями, используются VPN и.т.д - никто не даст просто так что-то менять
3. Так же "Square1" открыл мне Америку про 3G модемы: ну что же спасибо, просветили...В общем наслушался...
Господа-товарищи, давайте быть добрее.
>не отвечаю я за сетевые технологии.Я правильно понял, что вы поставили свой сквид, но таких умных нашлось чуть больше чем один, и ваш сквид стал "не последним в цепочке", что вас сильно обидело?
> дорогостоящая сети ... никто не даст просто так что-то менять
Не боитесь, что по шапке прилетит за самодеятельность?
Всё правильно Square1 вам сказал.
У вас проблема не в том что у кого-то стоит сквид, а в том у пользователей вообще есть _возможность_ поставить себе что им в голову взбредёт.
Из чего можно сделать вывод что вы не контролируете ни сеть в общем, ни компы пользователей в частности.> Господа-товарищи, давайте быть добрее.
А с какого нам быть добрее с непрофессионалами которые не могут даже элементарный анализ ситуации на вверенном им объекте сделать?
Посему или начинайте решать вопросы сначала на административном, а потом на техническом уровне. Ну или идите в грузчики.
Может в запросе с другого прокси уже есть заголовокъ X_FORWARDED_FORЕщё можно на новогоднем корпоративе насобирать компромата и потом шантажировать народ, чтобы не раздавали чё кому не надо