squid + webmail block

Sziasztok!

Olyan squid kompatibilis listát keresünk ami kategóriákra van bontva.
Konkrétan a különböző webes levelező oldalakat kellene tiltanunk.
Folyamatosan frissülő, MEGBÍZHATÓ, karbantartott forrás érdekelne.
google-val én is találok egy csomót, olyan érdekel, amivel tapasztalatod is van!
Reális keretek között, a fizetős lista is teljesen jó!

A cél az lenne, hogy megadott kliensek a lehető legkevesebb webmail-t érjék el.

Az sem gond, ha alapban squid nem eszi meg, konvertálás megoldjuk.

Hozzászólások

ennek kovetkezmenyekent nem lesz az a veszely hogy a ceges email cimmel iratkoznak fel mindenfele helyre amitol majd 100x-osara no meg a spam?

ehelyett nem jobb ha azt a magan webes levelezesukkel hasznaljak, legfeljebb a forgalomban kerestek malwaret?

csak erdekel a velemenyed nem akarlak rabeszelni semmire sem.

neked aztan fura humorod van...

Semmilyen szempontból nem ez a cél!
A cél az hogy adott csoportba tartozó weboldalak tilthatóak legyenek.
A megrendelő azt kéri hogy a lehető legkevesebb webmail-t lehessen elérni, de vannak más kategóriák is, pl. fájl share oldalak (drive, onedrive), etc …

Amit írsz, attól nem tartanak, külső, nagy email szolgáltatónál van a levelezésük.

Közben squidguard listákról kaptunk jó visszajelzéseket.

hülye kérdés lesz lehet, de ha pont ilyen onedrive, drive, stb. cuccokat kell tiltani, akkor esetleg nem lehetne elmenni egy DNS fake-zone blokkolás irányba akár ?

Anno én a facebook-ot így "tiltottam" ki, illetve irányítottam át egy belső apache szerverre ami közölte, hogy "amennyiben a munkavégzéséhez szüksége van, blabla az oldalra jelezze itt és ott).

Gyak. egy facebook.com zonát felvettem a belsőhálós DNS-be (nyilván más külső DNS-el nem volt kikerülhető) és annak megmondtam milyen IP-t adjon vissza.
Bár tény, ez nem túl rugalmas, révén nekem kellett adott esetben ezt más domainekre is "kiterjeszteni" kézzel, de lehet megér egy pár google keresést DNS zone blocklist kulcsszavakra akár a történet.

Alapvetően a cél az lenne, mint egy csomó HW Firewallnál, bekapcsolsz egy kategóriát, pl. webmail, reklám, adult, etc … és az ennek megfelelő oldalak tiltásra kerülnek.
Tehát nem konkrétan pl. drive, és onedrive tiltása a cél, hanem az ilyen típusú oldalaké.
Ezért kell olyan forrás, ami valamilyen szinten naprakész, és kategóriákba sorolt.
Az is elvárás hogy ha adott site tiltva van, akkor arról az user, egyértelmű visszajelzést kapjon.
Ha DNS-ben elirányítjuk, akkor http-n még csak-csak megoldható a visszajelzés, de https-en tanúsítvány hibára fog szaladni.
Ráadásul DNS azért is macerás mert pl. google-nál van x.google ami mehet, y.google meg nem, tehát itt is ugyan úgy kell hogy legyen egy blacklisted, amit kezelni, karbantartani kell.
Azzal is tisztában vannak (remélem meg is értették! :D) hogy ez nem azt jelenti hogy pl. ha webmailt tiltasz, akkor onnantól minden webmail tiltva van. Csak azok lesznek tiltva, amik a listákon szerepelnek, ezért lenne fontos a jól karbantartott lista.

 

Amúgy ilyen kérések jellemzően audit alatt/után merülnek fel.

Sajnos nincs más megoldás mint egy fizetős HW vagy SW fűzfa aminek a gyártója ezt éves díjért karbantartja. Lehet, hogy opensense vagy hasonló is támogat ilyet, de szerintem egy Sophos, Zywall, Sonicwall, Wachguard stb árat érdemes rászánni mert nem csak az igénye lesz kielégítve, hanem lesz egy ssl encrypt képes av szűrt tűzfala amivel már komolyan biztonságosabb is lesz a cége.

Alapvetően szedjen elő 4 darab X5-re való gumi árat esfektesse be.

OpenDNS... Ingyen ez sem lesz szerintem már.

Idézek:
"Reális keretek között, a fizetős lista is teljesen jó!"

"Az is elvárás hogy ha adott site tiltva van, akkor arról az user, egyértelmű visszajelzést kapjon.
Ha DNS-ben elirányítjuk, akkor http-n még csak-csak megoldható a visszajelzés, de https-en tanúsítvány hibára fog szaladni."

Kivancsi vagyok mi van egy ilyen keres mogott. Ha social media van tiltva az ertheto valamilyen szinten, de webmail-ek? Ugyis megoldhatatlan. Miert nem forditva csinaljatok, pl. URL v. domain lista amit meg lehet nyitni, a tobbi tiltva.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Fentebb írtam:

"Amúgy ilyen kérések jellemzően audit alatt/után merülnek fel."

Bizonyos esetben audit során "előírják"!

De ha józan ésszel átgondolod, akkor azért mert:

  • adott cég nem szeretné ha munkaidődet privát levelezéssel töltenéd
  • adott cég nem szeretné ha munkaidődet social mediával töltenéd

Amúgy webmail, file share, és hasonlóak mögött az audit logikája az hogy ne tudj kivinni adott esetben adatokat a cégtől.
Az hogy ez hogy milyen más módok vannak arra hogy adatot vigyél ki, abba most ne menjünk bele.

Miért nem fordítva csináljuk?
Próbálj meg egyszer több 100 useres környezetben letiltani mindent, majd engedélyezni azt ami kérnek.
Semmi mást nem fog egy ember egész nap csinálni, csak az ezzel kapcsolatos ticketeket kezelni.
 

Bizonyos esetben audit során "előírják"!

De ha józan ésszel átgondolod, akkor azért mert:

  • adott cég nem szeretné ha munkaidődet privát levelezéssel töltenéd
  • adott cég nem szeretné ha munkaidődet social mediával töltenéd

Amúgy webmail, file share, és hasonlóak mögött az audit logikája az hogy ne tudj kivinni adott esetben adatokat a cégtől.

Igen, gondoltam ra, hogy azert van, hogy ne vigyenek haza adatokat a cegtol. A social mediat eddig nem emlitetted, csak a webmail-t. Nem igazan ertem, hogy az auditnak mt irt elo. Ugy gondolom ha egy normalis audit van akkor megmondjak mi a cel es ti megoldjatok. Ha a cel az osszes webmail letiltasa akkor az szerintem lehetetlen ilyen modszerrel, ha csak az ismert webmail-eket akarod tiltani akkor nem tudod teljesiteni az audit altal megadott celokat. Az alkalmazottak a mobiljaikon is tudnak levelezni vagy maskeppen idot tolteni, gondolom azokat nem kobozza el a fonokseg.

Az hogy ez hogy milyen más módok vannak arra hogy adatot vigyél ki, abba most ne menjünk bele.

Ok, akkor ebbe ne menjunk bele. Az audit csak azt javasolta, hogy webmail-en keresztul ne vigyenek el adatokat? Bocs, kicsit viccesre vettem, de nyilvan neked is vilagos, hogy ez "nem ved". Gondolom ennel a cegnel senki sem dolgozik otthonrol ami eleg erdekes az elmult egy evet nezve vagy esetleg agyon van korlatozva a laptop(?).

Próbálj meg egyszer több 100 useres környezetben letiltani mindent, majd engedélyezni azt ami kérnek.

Nem tudom melyik egyszerubb, lehet, hogy nem kell mind a 100 usert korlatozni, csak mondjuk 30-at.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Tudod, az audit-nak van egy elképzelése a dolgokról! :)
Az hogy ez a való élettel mennyire kompatibilis, az más kérdés.
A lényeg hogy megkapják amit kérnek, mással kapcsolatban kifogást nem emeltek, innentől mindenki happy! :D

Amit írtok, mindent IS meg lehetne csinálni, de addig amíg céges policy nem írja elő, ügyfél nem kéri, security vagy más okokból nem indokolt, addig nem szívatjuk az usereket és magunkat sem.

Köszönöm az 5letelést, a célt elértük! :)