Каморка

lavep писал(а):ты найди сначала. там идет SSL трафик

- Легко. Еще небыло такого юзверя который бы обошел админа, им только кажется что они самые умные и админ спит.

lavep писал(а):Ты своими полисями запрещаешь HTTPS сайты открывать?

- Вообщето да. Запрещал )

lavep писал(а):Сам трафик не имеет постоянныз патернов

- Вычисляется по запросам, по левым ип в массовом количестве, по трафику на нераспознаваемые ресурсы итд.

Кстати могу в частности на досуге потестить эти апликухи против вебсенза, думаю что он схавает но интереса ради можно попробовать.

потесть, потесть, если они Великий китайский файрвол обходят, то ....

Еще небыло такого юзверя который бы обошел админа

ха-ха


самонадеенность - порок

- Вычисляется по запросам, по левым ип в массовом количестве, по трафику на нераспознаваемые ресурсы итд.

ага давай, в школьном дистрикте где 40К маленьких и не очень креативных хакеров.

Фул тайм на логах до пенсии

lavep писал(а):самонадеенность - порок

- Нисколько. Через мой глаз прошло пусть не 40 но пару тысяч юзеров которые мнили много о себе.

lavep писал(а):Фул тайм на логах до пенсии

- Если того потребует партия то значит до пенсии. Ты еще не знаешь как я боролся со спамом - точно буду на пенсии вспоминать

PIX писал(а): - Если того потребует партия то значит до пенсии. Ты еще не знаешь как я боролся со спамом - точно буду на пенсии вспоминать

Можно максимально зажать в рамки, но не совсем все заблокировать. Как говорится - на каждый болт найдется своя гайка.
Вон со скайпом борются всем админским миром и то паршивец периодически прорывается. Так что не стоит недооценивать на первый взгляд глупых пользователей. Так же не стоит сравнивать фильтрацию/блокировку в рамках одного предприятия и страны в целом. Так что вот.

AndreyA писал(а):Можно максимально зажать в рамки, но не совсем все заблокировать.

- Можно а вот нужно ли. У меня тогда не было других вариантов. Сегодня я могу забить с толстым тырнетом на пару юзеров которые воспользуются "вредными советами" от специалиста по ИБ.

AndreyA писал(а):Вон со скайпом борются всем админским миром

- Первое это полиси - юзверь ничего не может установить на свой комп раз. Два - NBAR. Согласен что с ним непросто бороться вообщемто )

AndreyA писал(а):ак что не стоит недооценивать на первый взгляд глупых пользователей.

- Согласен. Не такие уж они и глупые.

AndreyA писал(а):Так же не стоит сравнивать фильтрацию/блокировку в рамках одного предприятия и страны в целом.

- Я не знаю как там сделано в ОАЭ но думаю что о таких случаях они подумали в том числе. Вы знакомы с принципами фильтрации в рамках страны - расскажите подробней?
У меня только обрывочные слухи о специальных секретных девайсах которые слушают весь трафик страны.

PIX писал(а): - Я не знаю как там сделано в ОАЭ но думаю что о таких случаях они подумали в том числе. Вы знакомы с принципами фильтрации в рамках страны - расскажите подробней?
У меня только обрывочные слухи о специальных секретных девайсах которые слушают весь трафик страны.

У меня тоже только обрывочные, но вот например полиси на тему запрета установки чего либо уже не прокатывают, это так, к примеру
Полиси это очень хорошо, но с помощью всяких руткитов и прочей гадости и они обходятся. Согласен что большинству пользователей это не по силам, но если их много то среди них обязательно найдется такой для которого это будет под силу.
Вон, те же сервера апача ни простачки админят, но и их благодаря багам взломали не так давно.

Первое это полиси - юзверь ничего не может установить на свой комп раз. Два - NBAR

Все-таки, как ты любишь говорить о том, что вообще не знаешь

Как и в случае со школой, так и в случае со страной у тебе нет возможности запретить людям ставить что-либо, т.к ставится это на СВОЙ личный компьютер, а не рабочий. И права у юзера есть админские и полный контроль над железяками.
У тебя только сеть под контролем

так что первое твое уже отпало.

Второе тоже не слишком эффективно, т.к шифрованный траффик ты можешь или пропустить весь или заблокировать. отличить валидный SSL трафик от туннеля, в котором наружу идет что-то запрещенное задача не тривиальная, а если у траффика нет паттерна по которому его можно фингерпринтнуть и вообще нереальная (конечно, если у тебя есть конечные сертификаты, то ты можешь открыть и закрыть его назад, но во-первых у тебя таких сертификатов нет, во вторых жрет это ресурсов немерянно)

так что приходим к тому, с чего начали. Что-то даст контроль над ДНС, что-то блокировка определенных сегментов. Но все это ОЧЕНЬ большой гемор и обходится относительно просто. Достаточно твоему софту обращаться не к ДНС в пропертях твоего TCP, а говорить со "своими" серверами и этот канал контроля тоже отпадет (что и делают многом вирусы и програмки туннелинга). Есть еще масса ньюансов,но я книгу тут писать не буду. сорри

И даже в отношении одной отдельной компании убить на корню жажду людей открыть запрещенный фейсбук совсем не просто. И полиси без возможности их энфорсить не стоят и бумаги на которой напечатаны. И кстати не обязательно ничего ставить на рабочий комп, достаточно просто запустить програмку с флешки. А если учесть, что многие из таких софтинок, сделаны по образу руткитов, то обнаружить их бегущими не зная куда смотреть будет тоже не так-то просто
Если человек не тянет торренты таким образом или еще как неограниченно потребляет доступный канал, то его можно отловить по количеству открытыз сессий или bandwidth, но если он просто идет на запрещенный сайт и по объему трафика не выделяется, то и здесь тебя ждет облом

элементарно все запрещается. Обычный трафик - через прокси, который все чекает, SSL трафик (https) - разрешается только на несколько проверенных сайтов. Остальные порты закрыты. Все. Не вырватся

Правильные пацаны писал(а):элементарно все запрещается. Обычный трафик - через прокси, который все чекает, SSL трафик (https) - разрешается только на несколько проверенных сайтов. Остальные порты закрыты. Все. Не вырватся

Нашел в гугле за 6 сек:
http://www.softpedia.com/get/Network-To ... Pipe.shtml
Ставите приблуду типа этой у себя на компе и дома и получаете пайп обычного, но тупо заксоренного траффика.

разрешается только на несколько проверенных сайтов. Остальные порты закрыты. Все. Не вырватся

поставь скайп на досуге. Тебя ждут удивительные мгновения

Stanislav писал(а):

Правильные пацаны писал(а):элементарно все запрещается. Обычный трафик - через прокси, который все чекает, SSL трафик (https) - разрешается только на несколько проверенных сайтов. Остальные порты закрыты. Все. Не вырватся

Нашел в гугле за 6 сек:
http://www.softpedia.com/get/Network-To ... Pipe.shtml
Ставите приблуду типа этой у себя на компе и дома и получаете пайп обычного, но тупо заксоренного траффика.

не вижу - как это поможет? Она что - http понимает? все порты закрыты, кроме 80 и 443-го

lavep писал(а):

разрешается только на несколько проверенных сайтов. Остальные порты закрыты. Все. Не вырватся

поставь скайп на досуге. Тебя ждут удивительные мгновения

стоит дома, а что за мгновения?

lavep писал(а):

Первое это полиси - юзверь ничего не может установить на свой комп раз. Два - NBAR

Все-таки, как ты любишь говорить о том, что вообще не знаешь

- По моему это ты любишь все перемешать и говорить о том о чем тебе удобно. Если ты не понял то повторюсь для тех кто о своем - мы говорили с товарищем AndreyA об борьбе со скайпом в всем админским миром. И ессно я подразумеваю корпоративный админский мир а не школу о которой ты упорно хочешь поговорить и не страну о которой см выше понятия не имею.
В этом мире существуют полиси и NBAR борется со скайпом. Про сигнатуры и сониквалл ты сам в курсе.

Второе тоже не слишком эффективно, т.к шифрованный траффик ты можешь или пропустить весь или заблокировать

- Еще раз - мы говорили про скайп в частности. Читай посты целиком и не выдергивай контекст пожалуйста. По сути ты прав.

lavep писал(а):И даже в отношении одной отдельной компании И кстати не обязательно ничего ставить на рабочий комп, достаточно просто запустить програмку с флешки

- А кто тебе сказал что програмку с флешки можно запускать?

lavep писал(а):если он просто идет на запрещенный сайт

- Еще раз, открыт порт 80, 443 закрыт как и все остальные, прокси, веб-сенс. Как он просто идет на запрещенный сайт в таком случае?
- В частности помогали в борьбе сквидстат и статистика пользователей + политика.

Да если юзер 1 раз прорвется на плайбой.ком то по сути это не беда. Если он сжирает половину трафика торча там то его обнаружить и наказать - вопрос считай решенный.

Правильные пацаны писал(а):

Stanislav писал(а):

Правильные пацаны писал(а):элементарно все запрещается. Обычный трафик - через прокси, который все чекает, SSL трафик (https) - разрешается только на несколько проверенных сайтов. Остальные порты закрыты. Все. Не вырватся

Нашел в гугле за 6 сек:
http://www.softpedia.com/get/Network-To ... Pipe.shtml
Ставите приблуду типа этой у себя на компе и дома и получаете пайп обычного, но тупо заксоренного траффика.

не вижу - как это поможет? Она что - http понимает? все порты закрыты, кроме 80 и 443-го

А зачем ей понимать хттп?

PIX писал(а):- Еще раз, открыт порт 80, 443 закрыт как и все остальные, прокси, веб-сенс. Как он просто идет на запрещенный сайт в таком случае?

Какой-такой "запрещённый сайт"? Вот этот: 40505f2b89f16ac04f1e192a3e1105cc ?