форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Запрет сайтов-как лучше?"

Сообщение от Frei (ok) on 23-Фев-08, 14:17

Добрый день! Уважаемы господа, подскажите, пожалуйста, как лучше решить следующую проблему: Пользователи в офисе очень любят заходить на разные не нужные, с точки зрения работы, сайты. Как лучше сделать чтобы они не могли посещать эти сайты? При этом должен быть механизм, который позволит одним пользователям разрешить, другим запретить. Весь трафик идёт через FreeBSD сервер, на котором ipfw, прозрачный прокси squid (ну он же доступен на порту 8080). Пользователи идентифицируютсяпо ip адресу. Варианты: 1. ipfw Не удобно тем, что нужно для каждого пользователя прописывать что можно что нельзя, а так же нельзя прописывать доменные имена (можно только ip). Если я не прав, то поправьте меня. 2. squid впринципе удобно, но пользователи указывают внешние прокси серверы и всё продолжает работать. Как то можно сделать чтобы пользователи железно не могли заходить на сайты, которые я укажу, при этом такие сайты можно было прописывать доменами (а ещё лучше чтобы можно было задавать "шаблоны" как в squid)?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Запрет сайтов-как лучше?"

Сообщение от PavelR (??) on 23-Фев-08, 14:22

пока у тебя есть хоть один открытый порт наружу, пользователь может снаружи найти прокси и через него работать. Тут без вариантов, допустим тебе надо чтобы они тягали почту снаружи офиса - ты откроешь им 110 порт - на него можно повесить прокси. Так что только явным открытием узкого перечня разрешенных сервисов + заворачивание всех на прокси. Но и тут, если прокси открыт на все адреса назначения, можно обойти это след образом: опенвпн сервер снаружи, опенвпн сервер внутри, соединение через твой прокси и проброс внутрь офиса туннеля :) - все, защита пройдена. Так что решать эти вопросы можно только административными методами:   1. Наказывать за нецелевое использование рабочего времени   2. открывать только разрешенные сайты/сервисы.   3. контролировать объемы прокачанных данных с разрешенных сайтов/сервисов, наличие аномалий - подозрения - анализ - наказания :) А лучше вообще ничего внешнего не давать и контролировать емайл (а то на анекдотов рассылку подпишутся :))) )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Запрет сайтов-как лучше?"
	Сообщение от PavelR (??) on 23-Фев-08, 17:32
	>Но и тут, если прокси открыт на все адреса назначения, можно обойти >это след образом: опенвпн сервер снаружи, опенвпн сервер внутри, соединение через >твой прокси и проброс внутрь офиса туннеля :) - все, защита >пройдена. Вот эту проблему можно обойти  лишением всех пользователей административных прав на локальных машинах.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Запрет сайтов-как лучше?"

Сообщение от Kos (??) on 23-Фев-08, 14:45

>[оверквотинг удален] >2. squid > >впринципе удобно, но пользователи указывают внешние прокси серверы и всё продолжает работать. > > > >Как то можно сделать чтобы пользователи железно не могли заходить на сайты, >которые я укажу, при этом такие сайты можно было прописывать доменами >(а ещё лучше чтобы можно было задавать "шаблоны" как в squid)? > Для разрешения/запрета сайтов прикрутить к сквиду фильтр типа SquidGuard-a. Насчет внешних прокси... максимум - это поиграться в том же сквиде с header_access (вроде так) а вообще программ для создания туннелей навалом, так что проблема с использованием внешних прокси - это скорее работа службы безопасности ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Запрет сайтов-как лучше?"

Сообщение от angra (ok) on 23-Фев-08, 15:43

Самый эффективный метод это административно-психологический. Всех уведомить что за хождение по левым сайтам штраф или увольнение. Дальше открыть свободный доступ и одновременно вести логи кто и куда ходил. По сравнению с попытками перекрыть метод имеет большое преимущество в том, что человек не может узнать позволила ли ему кулхацкерская програмулина скрыть свои действия от логов, особенно если итоги подводятся в конце месяца. В случае же запретов кулхацкер всегда может сразу увидеть позволяет ли какой-то метод их обойти или нет и если нет, то начнет искать следующий.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Запрет сайтов-как лучше?"
	Сообщение от dz (ok) on 24-Фев-08, 07:47
	поднять фиктивную зону днс у себя для этого домена и указать айпи для этого сайта как 127.0.0.1 днс же свой используется а не провайдера надеюсь...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Запрет сайтов-как лучше?"
	Сообщение от Frei (ok) on 24-Фев-08, 13:55
	>поднять фиктивную зону днс у себя для этого домена и указать айпи >для этого сайта как 127.0.0.1 > >днс же свой используется а не провайдера надеюсь... ДНС конечно свой. Но такой метод не решает проблему тунелей и внешних прокси... Но эту проблему действительно видимо не решить... Спасибо за ответы. Буду бороться :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Запрет сайтов-как лучше?"
	Сообщение от angra (ok) on 24-Фев-08, 17:50
	Что помешает пользователю поднять свой dns сервер? Еще раз повторю, что на любой явный технический запрет почти всегда найдется _готовый_ ответ. То есть юзер лезет в инет и ищет прогу, которая поможет ему обойти ограничение. Он находит их с десяток и по-очереди пробует, какая позволит пройти ограничение, та и остается. В результате получаем что мы дали пользователю критерий отбора. В случае, когда запрет административный, а не технический, но при этом ведутся логи, то у пользователя нет критерия отбора. Он не может быть уверен, что та или другая прога позволит ему не оставить след в логах.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Запрет сайтов-как лучше?"
	Сообщение от PavelR (??) on 25-Фев-08, 11:50
	>Что помешает пользователю поднять свой dns сервер? Еще раз повторю, что на >любой явный технический запрет почти всегда найдется _готовый_ ответ. То есть >юзер лезет в инет и ищет прогу, которая поможет ему обойти >ограничение. Он находит их с десяток и по-очереди пробует, какая позволит >пройти ограничение, та и остается. В результате получаем что мы дали >пользователю критерий отбора. В случае, когда запрет административный, а не технический, >но при этом ведутся логи, то у пользователя нет критерия отбора. >Он не может быть уверен, что та или другая прога позволит >ему не оставить след в логах. Отсутствие административных прав на машине поможет помешать пользователю делать то что _пользователю_ хочется. Пломбировка компьютера, привязка адресов к портам, мониторинг ... Думаю что у задавшего вопрос нет столько средств  и оборудования.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Запрет сайтов-как лучше?"
	Сообщение от angra (ok) on 27-Фев-08, 20:03
	>Отсутствие административных прав на машине поможет помешать пользователю делать то что _пользователю_ хочется. Далеко не всегда. Даже на винде, не говоря уже про линукс.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Запрет сайтов-как лучше?"

Сообщение от ALex_hha (??) on 25-Фев-08, 19:58

>[оверквотинг удален] >Весь трафик идёт через FreeBSD сервер, на котором ipfw, прозрачный прокси squid >(ну он же доступен на порту 8080). Пользователи идентифицируютсяпо ip адресу. > > >Варианты: >1. ipfw > >Не удобно тем, что нужно для каждого пользователя прописывать что можно что >нельзя, а так же нельзя прописывать доменные имена (можно только ip). >Если я не прав, то поправьте меня. изврат >2. squid > >впринципе удобно, но пользователи указывают внешние прокси серверы и всё продолжает работать. а почему им позволено выходить в инет через чужой прокси? Настройте ipfw так, чтобы в инет они выходили через ваш прокси сервер. >Как то можно сделать чтобы пользователи железно не могли заходить на сайты, >которые я укажу, при этом такие сайты можно было прописывать доменами >(а ещё лучше чтобы можно было задавать "шаблоны" как в squid)? http://www.sys-adm.org.ua/www/squidGuard.php

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Запрет сайтов-как лучше?"
	Сообщение от Шейх on 26-Фев-08, 06:47
	А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110. Или без двух последних если почта на локальном серванте.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Запрет сайтов-как лучше?"
	Сообщение от PavelR (??) on 26-Фев-08, 11:28
	>А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от >юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110. >Или без двух последних если почта на локальном серванте. хотябы один порт открыт - и всё, уже достаточно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Запрет сайтов-как лучше?"
	Сообщение от Frei (ok) on 26-Фев-08, 11:46
	>>А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от >>юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110. >>Или без двух последних если почта на локальном серванте. > >хотябы один порт открыт - и всё, уже достаточно. Полностью поддерживаю. Но тем неменее порты 8080 и 3128 на внешних хостах закрою.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Запрет сайтов-как лучше?"
	Сообщение от Шейх on 26-Фев-08, 12:15
	>>А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от >>юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110. >>Или без двух последних если почта на локальном серванте. > >хотябы один порт открыт - и всё, уже достаточно. Локальная почта, транспарент прокся. Исходящие соединения только с серванта. Ната нет. Что еще?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Запрет сайтов-как лучше?"
	Сообщение от Frei (ok) on 26-Фев-08, 12:29
	>>>А почему бы не заблочить порты 8080, 3128 и тд. Исходящие от >>>юзеров. Да и вообще разрешить исходящий трафик только на порты 80,25,110. >>>Или без двух последних если почта на локальном серванте. >> >>хотябы один порт открыт - и всё, уже достаточно. > >Локальная почта, транспарент прокся. Исходящие соединения только с серванта. Ната нет. Что >еще? Нат есть. Даже через прозрачный проксик можно прокинуть тунель или попросту указать внешний прокси на 80 порту. Такая защита не сработает.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Запрет сайтов-как лучше?"
	Сообщение от KobaLTD on 26-Фев-08, 14:45
	>[оверквотинг удален] >>> >>>хотябы один порт открыт - и всё, уже достаточно. >> >>Локальная почта, транспарент прокся. Исходящие соединения только с серванта. Ната нет. Что >>еще? > >Нат есть. > >Даже через прозрачный проксик можно прокинуть тунель или попросту указать внешний прокси >на 80 порту. Никакого ната, никаких "прозрачных" проксей - обычная прокся (что бы узвер не мог тупа указать в броузере проксю), 90% программ для тунелирования отсекаеться прсто урезанием MTU + фрагментирование пакетов (90% самопальных прог этого просто не переварят) + статистика трафика с анализом контента - хотя бы по заголовкам. Ну и социальные методы конешно. > >Такая защита не сработает.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Запрет сайтов-как лучше?"
	Сообщение от Frei (ok) on 26-Фев-08, 11:45
	>[оверквотинг удален] >> >> >>Варианты: >>1. ipfw >> >>Не удобно тем, что нужно для каждого пользователя прописывать что можно что >>нельзя, а так же нельзя прописывать доменные имена (можно только ip). >>Если я не прав, то поправьте меня. > >изврат Я про это и говорю. :) > >>2. squid >> >>впринципе удобно, но пользователи указывают внешние прокси серверы и всё продолжает работать. > >а почему им позволено выходить в инет через чужой прокси? Настройте ipfw >так, чтобы в инет они выходили через ваш прокси сервер. А как это сделать? Внешний прокси можно повесить и на 80 порт. > >>Как то можно сделать чтобы пользователи железно не могли заходить на сайты, >>которые я укажу, при этом такие сайты можно было прописывать доменами >>(а ещё лучше чтобы можно было задавать "шаблоны" как в squid)? > >http://www.sys-adm.org.ua/www/squidGuard.php Прочитал статью. Только вот не понял чем squidGuard лучше squid ACL? А вообще наверное так и сделаю.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Запрет сайтов-как лучше?"
	Сообщение от konst (??) on 27-Фев-08, 01:05
	>А как это сделать? Внешний прокси можно повесить и на 80 порт. 80-й тоже закрыть. Во вне оставить только необходимое (110-й напр.). Все запросы на 80-й,443, и т.п. переправлять на локальный squid (3128).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Запрет сайтов-как лучше?"
	Сообщение от Дмитрий Ю. Карпов on 27-Фев-08, 13:56
	Все говорят "закрыть порты" и никто не говорит "оставить порт:110 только к определённым сайтам". Пусть юзеры укажут, какой почтой они пользуются, и оставь порт:110 только к ним. Все остальные порты закрыть, доступ к WWW/FTP через Squid; в Squid запретить доступ через остальные прокси. Кроме того, довольно эффективен контроль по объёму скачанного трафика.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]