Pokaż wyniki 1 do 6 z 6

Temat: Blokada Open Proxy

Hybrid View

Previous Post Previous Post   Next Post Next Post
  1. #1

    Domyślnie Blokada Open Proxy

    Cześć,

    Pracownicy w firmie używają różnych metod ominięcie zabezpieczeń. Jednak uciązliwym problemem jest używanie open proxy. Szukam informacji jak można zapeczpieczyć sieć przed możliwością używania przez nich tych serwerów. Interesują mnie rozwiązania płatne jak i bezpłatne. Jeżeli ktoś mógłby mi pomoć to będę bardzo wdzięczny. Rozwiązania mogą być takżę klasy enterprise ponieważ jest to duża firma.

    Pozdrawiam,
    Ostatnio edytowane przez piorex : 07-05-2011 - 10:27

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Stawiasz swoje proxy i wymuszasz aby caly ruch WWW szedl przez to proxy. Na 100% przechwycisz HTTP a jak chwile pokombinujesz to i HTTPS da sie :-)

    Inne rozwiazanie ktore zawsze dziala dosc dobrze... nie blokujesz ale monitorujesz i upewniasz sie ze zakaz znajduje sie w polityce bezpieczenstwa i AUP (acceptable use policy) gdzie okersla sie co pracownikowi wolno a co nie gdy korzysta z firmowego komputera. Wtedy jesli koles nadal kombinuje i go plrzylapiesz to sa podstawy do postepowania dyscyplinarnego.

    Brutalne? Tak!
    Skuteczn? Jak diabli - jak tylko jedna osoba wyleci to nikt wiecej nie zaryzykuje :-D
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3

    Domyślnie BLokada Open Proxy

    Dzięki za odpowiedź.

    Jedna i druga opcja jest nie do przyjęcia. W przedsiębiorstwie jest już serwer proxy.

    Muszę zanależć dodatkowe narzędzie które zostało już sprawdzone w takich działaniach.

    Pozdrawiam,
    Ostatnio edytowane przez piorex : 07-05-2011 - 10:28

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Wybacz, nie rozumiem dlaczego te opcje nie sa do przyjecia...

    1. Jesli nie masz ustalonych zasad co wolno a czego nie i nie jest to spisane w jakiejs polityce ktora wiazalaby pracownika (jako czesc umowy) to cokolwiek wymyslisz, pracownicy beda probowali to obejsc bo nie ma za to zadnych konsekwencji i tak bedzie w kolko. Nigdy nie wygrasz...

    Mozesz inwestowac ile chcesz i w co chcesz - wywalisz tylko kase w bloto. To tak jak prawo ktore czegos zakazuje ale nie przewiduje kar za lamanie zasad - totalnie martwy zapis.

    Dlatego powinienes miec te zasady spisane i to w taki sposob aby mozna bylo pracownika zwolnic jesli bedzie lamal zasady, moze nie za pierwszym razem ale aby byla taka ewnetualnosc i aby ludzie byli swiadomi ze takie cos jest... Pracownikowi zawsze mozna zmienic umowe pracy - albo podpisze albo odejdzie... a jak podpisze to znaczy ze sie na takie reguly zgadza. Jesli nie masz takich zapisow a kogos jednak zwolnisz to mozesz spodziewac sie problemow prawnych (choc nie wiem dokladnie jak to teraz w Polsce wyglada). Takie cos jest dla Twojej obrony jako firmy.

    2. Proxy - co z tego ze jest skoro mozna je ominac?

    Jak nie chcesz ruszac/wymieniac tego proxy to dodaj nastepne pomiedzy tym co masz a internetem. Ustawiasz siec tak aby to proxy co masz szlo przez to drugie, userki beda mogli isc od razu przez to drugie ale MUSISZ wyciac bezposredni dostep do portu 80 bo inaczej nigdy nie wymusisz uzycia proxy. Pamietaj ze kazde zabezpieczenie na kompie usera da sie obejsc (dostep fizyczny = game over).


    U mnie w firmie w biurach dostep do netu jest... ale dokladnie monitorowany, kazde polaczenie wychodzace jest zapisywane, AUP dokladnie opisuje co wolno pracownikowi robic na firmowym sprzecie - sa podane kategorie zachowan ktore nie beda tolerowane. Nie ma mowy o SSH, FTP czy SFTP - chcesz FTP to idziesz przez proxy (FTP wyciete na firewallu), SSH i SFTP - musisz uzyskac pisemne zezwolenie od szefostwa i wtedy sieciowcy ustawiaja wyjatek na jeden konkretny docelowy IP. Na tej samej zasadzie caly ruch www idzie przez proxy, co prawda w niektorych biurach da sie je ominac bo celowo nie ustawiono blokady HTTP na firewallu (drop dstport 80) ale tam gdzie to jest ustawione to jedyna droga na swiat to proxy i ludzie nadal pracuja normalnie, czytaja swoje ulubione portale, itd. Co do HTTPS (certyfikaty sa tanie) to niektore bardziej zaawansowane proxy fajnie to zalatwiaja - dajesz na desktopy wlasne CA jako trusted i proxy w locie generuje lipne certyfikaty ktore samo podpisuje Twoim CA... ktore jest zaufane na Twoich kompach.

    W najprostszych slowach - jesli nie zrobisz tego poprawnie od podstaw to zawsze znajdzie sie ktos kto obejdzie Twoje zabezpieczenia... a pomysl co bedzie jak pracownicy dowiedza sie o VPNach?
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5

    Domyślnie Blokada open proxy

    Dzięki za obszerne wyjaśnienie. Odniosę się do Twoich porad lecz chciałbym mieć jakąś alternatywę w wyborze oprogramowania do blokady open proxy. Czy są inne narzędzia którymi mógłbym to zablokować? Czy dostępne firewalle na rynku np FW-1 mają możliwość zablokowania open proxy ?

    I mam dodatkowe pytania, jeżeli ktoś ominie proxy to jak taki ruch można wyłapać i jednocześnie wyłapać że używa on open proxy ?

    Pozdrawiam
    Ostatnio edytowane przez piorex : 07-05-2011 - 10:28

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Co do narzedzi - mozna to rozwiazac na wiele sposobow, nie powien nic o FW-1 bo nie uzywam. Generalnie aby filtrowac czy nawet monitorowac musisz miec oko na kazda droge komunikacji ze swiatem zewnetrznym i to najprosciej osiagnac tak jak pisalem wyzej blokujac wszystko poza tym co mozesz monitorowac.

    Mowi sie ze "Prevention is great, detection is a must" i to jest prawda. Moze nie dasz rady zablokowac wszystkiego ale jesli bedziesz w stanie wykryc ze cos jest nie tak, to juz jestes o wiele dalej niz dzisiaj.

    Propozycja 1 - wlacz logowanie zapytan na serwerze proxy ktory masz, prawdopodobnie jakies logowanie juz jest wiec od tego zacznij. Pozniej ustaw na FW-1 ze tylko ten serwer proxy moze wyjsc na swiat do serwerow HTTP i FTP po czym wytnij te porty/protokoly dla reszty sieci. Nawet jesli nie mozesz zablokowac pracownikom uzywania open-proxy albo stron ktorych nie wolno im odiwedzac w godzinach pracy, to kazde zapytanie lamiace te zasady bedzie zalogowane a wiec masz zalatwiony element detekcji.

    Analize logow mozesz robic jakims skryptem ktory sciaga sobie z netu co godzinke aktualna liste open-proxy i porownuje log, alertuje od razu ktory IP uzywa open-proxy. Owszem, user moze miec szczescie i zlapac open-proxy ktorego skrypt jeszcze nie zna ale to potrwa max 1h jesli co godzine aktualizujesz liste :-)

    Proponuje tez wyciac calkowicie SSH wychodzace na swiat bo 99% pracownikow na pewno nie potrzebuje tego - przynajmniej nie w normalnym biurze. Jesli nie masz mozliwosci analizy HTTPS w locie jak podalem wczesniej to zostaw port 443 otwarty calkowicie.

    Propozycja 2 (mozna zastosowac razem z #1) - postaw wlasny serwer DNS ktory dziala jako forwarder - odpowiada na pytania z wewnatrz firmy ale nie jest dostepny z zewnatrz. Dalej tak jak z proxy - tylko ten ma DNS ma wyjscie na swiat, kazdy inny komp MUSI uzywac Twojego DNSa... a tam mozesz logowac co sie dzieje i od razu wiesz ktory user szukal IP domeny/serwera zawierajacego tresci/uslugi ktorych nie chcesz u siebie na sieci.

    To sa proste metody monitoringu ale sa bardzo skuteczne i co wazne nie wymagaja wielkich inwestycji - masz proxy i FW-1 juz teraz, super... zacznij ich uzywac nieco wiecej i inteligentniej niz moglby to zasugerowac konsultant/marketer ktory Ci to sprzedal ;-)

    EDIT:
    W 2001 napisalem skrypt ktory filtrowal ruch na poziomie squid'a... parenascie linijek w Perlu i moglem dowolnie wycinac URLe poprzez edycje jednego pliku tekstowego gdzie mialem liste zablokowanych stron.

    BTW jakie masz to proxy jesli mozna wiedziec? Jesli nie chcesz za duzo mowic publicznie to zawsze jest tez PW
    Ostatnio edytowane przez TQM : 06-08-2011 - 13:43
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj