Külső proxy-k blokkolása

Hálózatok általános

Sziasztok!

Én egy olyan rendszergazda vagyok, aki kénytelen a felsőbb vezetés igényeinek megfelelve tiltani bizonyos (összes) közösségi oldalt.

Erős tűzfal szabályokkal és jól konfigurált Squid-del a hátam mögött az esetek cca. 90%-ában sikeresen blokkolom ezeket az oldalakat.
Viszont egyes furmányosabb felhasználók rájöttek, hogy külső proxy használatával meg lehet kerülni ezt is... :(

Egy részről nem szeretném, ha kára származna a felhasználóknak ebből, ugyanakkor meg szeretném akadályozni az ilyen hozzáféréseket.

Az nem megoldás, hogy napról napra újabb proxy-k címét tiltsam ki a rendszerből...

Azt is "szeretem", hogy az ilyen oldalak kimondottan a szabályok ellen készülnek. Pl. "A xxxxx.hu segít, ha a rendszergazdád, vagy a szolgáltatód elérhetetlenné tette kedvenc közösségi oldaldadat (fac_book.com, yout_be.com, stb.)." (Vagy akár a nagy levelek küldözgetését segítő oldal: "Nem engedik a nagy fájlok küldését? Kit érdekel?!")

Persze lehet rám köpködni, de ha valami szabály, akkor azt be kell tartani.

Ötlete valakinek?

  • 16060 megtekintés

( ncc1701 | 2013. 06. 18., k – 12:27 )

Az open dns nem tud ilyen szolgáltatást? Kollega szállodában használja.

A 80-as portra tett külső proxy igen nehezen blokkolható. Ugyanis a proxy ilyenkor nem azt látja hogy GET/POST kérés ment a facebook.com felé, hanem mondjuk a 345uefgherijth3nv4857v5.com -ra ment és onnantól már magát az adatforgalmat kéne elemezni, ami szintén elég nehézkes. Talán jellemző facebook-os elementekre lehetne szűrni, de nem tudom mennyire éri meg.

Egyébként kicsit széllel szemben pisálás is ez, mert ott az okostelefonos 3G-zés és máris a hajára kenheti a cég a tűzfalat. Az információ szivárgás ellen persze véd a tűzfal, meg az USB tiltás, de nem lesz 100%-os.

Még az is érdekes gondolat lehet, hogy a facebook függő nem tölt-e több időt a szabály kijátszásával, mint magával a facebookkal... Ugyanígy az IT-sok nem dolgoznak-e fölöslegesen többet ezen...

A baj ott kezdődik, hogy már többször lettek figyelmeztetve a kollégák, hogy fejezzék be ezt a fajta viselkedést. És még azt is elmondtam, hogy semmi információnk nincs arról, hogy egy ilyen site milyen információkat tart meg magának. (Jelszó, stb...)

Hatástalan. És a gond az, hogy futótűzként terjed az információ a lehetőségről.

Nekem nincs jogköröm arra, hogy szankcionáljak, ugyanakkor elvárják a szabályok betartatását.

Szóval igen... Erre a rollerre felszálltam.

--
Debian Linux rulez... :D

Értem, de tisztán technikai alapon... Akár arra is lenne lehetőségetek, hogy a jelszavakat tároljátok, nem? Nem azt mondom, hogy megteszitek, de lehet olyan oldal, ami egy "jótétlélek" proxy-nak álcázza magát, miközben jelszavakat, e-mail címeket "lop"...

--
Debian Linux rulez... :D

Technikailag természetesen van rá lehetőség, lásd phishing oldalak. A webproxy-k folyamata a következő:
curl segítségével lekérdezi a céloldalt, a benne található linkeket/statikus tartalmak elérését átírja a sajátjára, majd ezt a módosított oldalt közli ki a látogató felé. Ebben a metódusban simán megoldható az, hogy mikor a delikvens beírja az azonosítóit, akkor azt a céloldal felé való kiküldés előtt lelogolja.
Magam ilyen proxyval még nem találkoztam. Amikor kérdezik tőlem, hogy mit érdemes használni, azt szoktam mondani, hogy azt, amelyik ki meri írni magáról, hogy kicsoda, ki üzemelteti, mi a címe, telefonszáma, stb., mert az nem vállalja a kockázatot, hanem becsülettel üzemelteti a szolgáltatást.
Nem véletlenül írtunk egy relatíve hosszú GYIK-ot, amiben taglaljuk, hogy ez sem mindenre orvosság, vannak biztonsági kockázatok, csak olyan oldalt látogasson rajtunk keresztül is, amiben megbízik (s minket is csak akkor használjon, ha a publikus cégadataink alapján megbízik bennünk).

( janoszen v | 2013. 06. 18., k – 12:33 )

Ime a lista, hogy en mit tennek abszolut paranoid kornyezetben:

  • A user gepen a rendszergazdai jog elvetele es csak "sanctioned" szoftverek telepitese.
  • Ki kell tuzfalaznod mindent ami nem a sajat proxydra es resolveredre megy (TCP es UDP)
  • Csak whitelistelt SSL-es oldalakat szabad megengedni (HTTP CONNECT metodus).
  • Loggolnod kell a requesteket, kulonos keppen az olyan headerekre, amik proxy-specifikusak.
  • Opcionalisan le is crawlolhatod ezeket az oldalakat es kereshetsz bizonyos kulcsszavakra.
  • Nagy fileok kuldese ellen lehet limitalni a request meretet.

Persze 100%-os vedelmet ez sem jelent, de meg lehet mondani a usereknek, hogy ha rajossz, le lesz verve az arcuk peklapattal, ha nem a ceg policyjanak megfeleloen viselkednek.

De szerintem voltak regebbebben is errol topicok, nezegesd meg oket.

A loggolásból jön ki, hogy vannak ilyen hackerek a rendszerben... És igazából mindegy, hogy naponta hányszor nézek a logokba, mindig van valami új...

A google-ban csak rákeresel, hogy webproxy és már jönnek az új címek...

Ez ellen harcolni... :(
--
Debian Linux rulez... :D

Nezd, azt tudom Neked javasolni, hogy menj oda az illetohoz es beszeld meg vele, hogy legyen oly kedves befejezni a tevekenyseget, mert Te igazan nem akarsz rosszat, de a cegvezetes elo fogja venni, ha ez igy folyatodik mert Neked muszaj lesz jelentened. (Termeszetesen a ceges policynak megfeleloen keretik atfogalmazni.) Az emberek altalaban meglepoen jol reagalnak arra, hogy ha valaki rajuk szol, hogy ezt nem kellene, ekkor ugyanis erzik, hogy hopp ezt lehet hogy megsem kene.

Alapvetoen ez egy szocialis kerdes, nem muszaki. A muszaki akadalyokat eleg konnyu kijatszani.

+1

elsőre körlevél (esetleg papír alapú, átvételi elismervénnyel)
második körben jöhet a log-analizálás.
harmadik körben (ha valaki a fentin megbukik, vagy lebukik) fizetés-megvonás, végül elbocsátó szép izenet.

persze, ezt meg lehet oldani hardwareből is. Még azt is el tudom képzelni, hogy egy ilyen L7 filter olcsóbban megvehető, mint 2 havi munkabéred - és annyiból kétlem, h failproof megoldást tudsz letenni.

Totálisan igazad van, csak igazából nem érdekli őket, hogy mit mondok, mert még nem rúgtak ki senkit ezért...
Viszont ha megteszik, akkor én leszek a szemétláda...

Szóval valahogy meg kellene akadályozni ezeket a partizánakciókat...
--
Debian Linux rulez... :D

Ha csak a proxyn keresztül engedsz ki forgalmat, akkor semmilyen hátrány nem származik belőle. Továbbá a belső hálózatban azokról a pontokról, ahol erre nincs szükség, a default route-ot is kivenném.
Ez persze semmit nem ér a proxyn keresztül CONNECT segítségével külső proxyt IP címmel megcímző júzerekkel szemben.

( Dacr (nem ellenőrzött) | 2013. 06. 18., k – 13:41 )

Hezitáltam, hogy reagáljak-e, ha már meg lettem szólítva. Az "A xxxxx.hu segít, ha a rendszergazdád, vagy a szolgáltatód elérhetetlenné tette kedvenc közösségi oldaldadat" kezdetű oldalt a mi cégünk üzemelteti. Mint azt a GYIK-ban is leírtuk, nem arra sarkaljuk az embert, hogy gátlástalanul használja ezt a szolgáltatást. Egy céges szabályzat nem véletlenül készül. Mindazonáltal úgy gondolom, hogy ha valaki ésszel használ egy ilyen proxy-t, akkor az nem egy égető probléma. Időnként szükség lehet rá (pl.: heti egyszer egy főiskolai csoportban megnézni a friss infókat; pároméknál például FB-re tolnak ki szinte mindent; ez a heti egy alkalom egy munkáltatónál is bele kell hogy férjen).

Másik, talán fontosabb példa, ami a szolgáltatás létjogosultságát igazolhatja:
Van több olyan felhasználónk, akik külföldön dolgoznak (magyarok, ők írtak nekünk köszönőlevelet) és az adott országban állami szinten vannak korlátozva bizonyos oldalak. Nekik a webproxy.hu egy elég nagy segítség abban, hogy a gyermekükről fotókat nézegethessenek (nem csak a facse van tiltva bizonyos országokban).

Mint ahogyan fentebb is írták páran, nem az eszközt, hanem annak használóját érdemes "szűrni".

Köszönöm, hogy reagáltál! Nagyra értékelem.

Sajnos van pár dolog, amiben nem értünk egyet.

1. Szerintem a rendszergazdák nem azért tesznek elérhetetlenné egy oldalt, mert nekik az olyan jó vicc... És a Ti "jelmondatotok" pont azt sugalja, hogy "na majd akkor mi segítünk a szemét rendszergazdádat kicselezni"... És ez nekem személy szerint nagyon nem tetszik... És legyünk őszinték: egy alap felhasználó nem nagyon nézegeti a GyIK-et...

2. Egy céges szabályzat azért készül, hogy mindenki tisztában legyen azzal, hogy mit szabad és mit nem. Lehet hogy nem tudják a felhasználók a szabályok okait, de ettől függetlenül be kell(ene) tartaniuk. Sajnos mostanában egyre többen "szarnak" a szabályokra... Nálunk "égető" probléma, hogy nem ésszel használják a Ti szolgáltatásotokat (is) a "hackerek"...

Arról nem is beszélve, hogy nem tudhatjuk, hogy milyen információk mennek keresztül Rajtatok... Vagy inkább fogalmazzunk úgy, hogy egy esetleges adatlopás esetén egy ilyen szolgáltató mennyire keveredik bele az ügybe...

Nem akarok vitatkozni az oldalatok létjogosultságán, hiszen tényleg lehet olyan helyzet, ahol szükség lehet rá.

Én nem szűrhetem a felhasználót, hanem csak a forgalamat, viszont nekem ez a feladatom...

--
Debian Linux rulez... :D

Azt írtad, hogy nem szociális, hanem műszaki kérdést kell megoldanod. Mégis, visszaolvasva amiket írsz, sokkal inkább humán problémát vettél a nyakadba.
CSAK! L7 szintű szűréssel tudsz pontot tenni az ügy végére. Ha ezt nem tudod vagy nem akarod megoldani, akkor marad az állandó harc. (HTTPS esetében meg csak a whitelist a megoldás, ahogy janoszen írta, de ez brutál sziszifuszi meló. Annyit tudsz még esetleg tenni, hogy új ssl session nyitást nem engedsz meg a kliens felől, csak az mehet amit www irányított át.)

Szerk. előzőhöz: egyik hazai banknál az a gyakorlat, hogy mindenki nézhet mindent, NINCS tiltás. De van egy live stat belső oldal, ahol mindenkinek látható, ki milyen oldalakon mennyi időt töltött el és mennyi adatot forgalmazott. Természetesen aláírták, hogy beleegyeznek. Ez egy szemétség, de hatékonyan szabályozható a magáncélú nethasználat. Fontold meg.

Nem mindenhol.

Elozo munkahelyemre amikor felvettek, a szerzodesemben volt egy pont, miszerint elolvastam, es elfogadtam az informatikai szabalyzatot. Amikor rakerdeztem, hogy ezt megis merre talalom, osszedugtak a fejuket, es kideritettek, hogy meg meg sincs irva. :)

Amugy elottem mar kb. 100 embert felvettek a ceghez, mindegyikuk szo nelkul alairta, hogy elolvasott egy nem letezo szabalyzatot.

--
The programmers of tomorrow are the wizards of the future. You know, you're going to look like you have magic powers compared to everybody else. -Gabe Newell

Nem. Irtak egy szabalyzatot, azt elolvastam, es elfogadtam.
Nyilvan egy cegnel kell lennie ilyesminek, csak ugy tunik senki nem is gondolt ra, hogy valaki el akarja olvasni. :)

--
The programmers of tomorrow are the wizards of the future. You know, you're going to look like you have magic powers compared to everybody else. -Gabe Newell

Örülök, hogy a probléma és annak egy részese összetalálkozott és tudnak kulturált formában erről beszélgetni. Sajnos egyre kevesebb itt az ilyen lehetőség.

1. Abszolút értem a problémádat, nálunk is vannak szabályok, amiknek meg kell felelni, s nem mindig magunk találjuk azt ki. Az oldalunk viszont egy profitorientált szolgáltatás, reklámokból él, ennek megfelelően vonzó "szlogen" szükségeltetik. Igen, disznó egy mondat, egyet értek, mivel magam is rendszergazda vagyok, de sajnos másképp ezt a szolgáltatást nem lehet eladni.

2. "Nálunk "égető" probléma, hogy nem ésszel használják a Ti szolgáltatásotokat". Ez visszacsatolás arra, hogy az alkalmazott a probléma. Aki egy szabályt nem tart be, vagy annak kijátszására alkalmas eszközt nem tud ésszel használni, az a szenzitív infókat másképp is ki fogja juttatni, nem kell hozzá webproxy. De ez már megint a feletteseid hatóköre, én max magánvéleményt mondtam :)

Természetesen továbbra is fenntartom, hogy amennyiben a cégetek ír a címünkre egy hivatalos megkeresést, a rátok vonatkozó tárolt logokat szívesen átadjuk. Nem célunk másokat megcsorbítani.

Swifty a mondat cseréjével nem változik meg semmi :), a szélmalom harc meg az egész szakmára jellemző - de csatára fel :D
Mondjuk én ezen mosolygok, hogy egyes felhasználók, csak ki-be kapcsolják naponta a gépüket, de bezzeg a lukat a falon első blikkre kilövik :D Ők egyébként nagyon jó teszterek - Nagyon jó visszacsatolás a saját munkánk létező hiányosságaira :D Még ha piszkosul bosszantóak is :D

Az uzleti modell leglenyegesebb elemet kifelejtetted.
Regisztralja a proxy HQ cimet netpinceren, rendel 4 uveg sort, a megjegyzes rovatba meg beirja az ip cimet.

Na, igy mar tenyleg mindenki jol jart.

--
The programmers of tomorrow are the wizards of the future. You know, you're going to look like you have magic powers compared to everybody else. -Gabe Newell

( zwei | 2013. 06. 18., k – 14:21 )

Egy az egyben letiltani a kimenő HTTP-t és whitelist-el engedélyezni a munkához szükséges weboldalakat.
Aljas módszer, de hatékony.

( covek v | 2013. 06. 18., k – 16:00 )

Kicsit félve jelzem, hogy létezik egy Zorp-GPL ami esetleg segíthet megoldani a problémát! Minden olyan forgalom ami proxy request-et tartalmaz azt a saját proxy-ra kell irányítani. Persze hozhat a rendszerbe egyéb problémákat, de egy tesztkörnyezetben ki lehetne próbálni mire alkalmas!Itt találhatsz némi segítséget, példákat. Tesztkörnyezet meg itt van!
c

Ebben az a baj, hogy ha pl. felmész a webproxy.hu oldalra, akkor az nem proxy-request...
Pontosabban: A belső hálóról 80-as és 443-as külső portra nem lehet forgalmazni, csak a tűzfal-on lévő squid proxy-n keresztül...
Azaz most is a saját proxy-n keresztül megy a lekérdezés, viszont a napló csak a webproxy.hu címet hozza...
--
Debian Linux rulez... :D

Nem látom, hogy a ZORP pontosan miért lenne jó/jobb erre a feladatra...

Valahogy meg kell fogalmazni, hogy milyen szabály alapján dobjuk el a kapcsolatot... És ezt egy web-es proxy-nál nem nagyon lehet megmondani... Honnan döntöd el, hogy az adott oldalról jövő információ nem-e a facsebúkról származik?
--
Debian Linux rulez... :D

( bAndie9100 | 2013. 06. 18., k – 16:27 )

kissé off:
egy betegápoló intézetben dolgozol?

~~~~~~~~
Linux 3.2.0-0.bpo.4-486
Debian 6.0.7

( utf-8 | 2013. 06. 18., k – 16:57 )

A legtöbb ilyen proxy oldal, kb. ugyanazt a 2-3 programot használja. Ezeknél érdemes megfigyelned a request-szokásaikat, és akkor kb. ki lehet tiltani (igaz, ez okozhat pár false positive-t, de azt meg maximum whitelisteled).
Glype az pl. GET u=urlencodeolt_cim formában csinálja.

Érdemes proxy.org-ot nézni, ott van még kb. 2 fajta ismert proxy, azt is meg lehet nézni, milyen requestet küld (ezt nem tettem meg), meg pár Unknown-os.
---------------------------
���������������������������

jav. félrenéztem, POST
amúgy meg akkor már legyen teljesebb a részemről: PHProxy: q=urlencodeolt_cím, dettó POST, CGIProxy meg ahogy nézem, kb. csak proxify-os van.
Unknownra is egy: incloak: url={urlencodeoltcím}&ip=rand&urlencode=on&htmlopt=on&newwin=on&dbl=on&htmlfilt=on&cutextjs= -ot küld alapból
---------------------------
���������������������������

( SySERR | 2013. 06. 18., k – 16:58 )

Hasonló a probléma nálunk is, csak én nem letiltani akarom hanem lelassítani. Olyan szinten, hogy még a kedve is elmenjen attól. Mivel még működik, nagy eséllyel nem a mobillal fognak bohóckodni, de a lassúság miatt túl sokat sem fognak próbálkozni.
-------------------
http://www.rtvstat.hu/ - A legtöbb magyar rádió és TV egy helyen!

( hokuszpk | 2013. 06. 18., k – 19:18 )

ha nem hajlandoak a kollegak betartani a betartandot, forditsd meg a problemat.
blokkolj mindent, es csak az mehet, amit engedelyezel.

( luisex v | 2013. 06. 18., k – 19:45 )

Szia,
Bocsánat, hogy ide okoskodok, de ha a cégetek ennyire komolyan szeretné kezelni a web hozzáférést, miért nem készítesz egy whitelist rendszert?
Ezt az eddigi böngészési szokások alapján fel tudnád tölteni, vagy egy hetes mintavételezéssel, és mindenkit szűrni.
Igény esetén persze lehet bővíteni a listát, sőt, ha tényleg kegyetlen akarsz lenni a szemükben, akkor /user is mehet a lista :) (Konkrét implementáció nem ugrik be, de szerintem már rengeteg ilyen van...)
Mindezt megspékelni némi "bürokratikus overheaddel", pl egy formon kell megigényelni az adott domain hozzáférést, amit neked kb. 2 klikk kell legyen engedélyezni :)
Ez a managment szemében is érdekesen jöhet ki, látva, hogy te _mindent_ megteszel a feladatért, és velük sem kellene kivételt tenned (mondhatni visszanyal a fagyi :) És hivatalos érvnek mehet, hogy nem tudsz reprezentatív mintát az ő netezési szokásaikról)...
Persze, ez csak egy abszurd megközelítés, és koncepció :)
Üdv,
LuiseX
U.i: Ez szankcionális eszközt is adna neked, mert a rendetlenkedő userektől elveheted az "extra-jogaikat". És ezt a módszert, ha megfelelően van kezelve, egyetlen egy proxy jellegű technika sem hidalja át..

1) pontosan miert is ne?
2) lehetnek privilegizalt szemelyek, nem hiszem, hogy pont a HR-es produktivitasanak csokkenese fogja a gep osszteljesitmenyet lerontani, kiveve persze, ha a ceg fo profilja a fejvadaszat. Nem kivetelezes, neki ez a munkaja, hogy weboldalakat bujjon.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Szia,
Pont ezt jelentené a /user megközelítés, és ezért kellene egy reprezentatív mintát összeszedni _előtte_... Akkor a felhasználók és az ágazatok átlagos webhasználatát lehetne összegyűjteni, és kinek kinek a maga jogköreit megadni...
Amúgy, a HR-es kaphat "direkt" netet, ha szükséges egyáltalán a munkájához (nem mindenki a PR-al foglalkozik a HR-en belül, ugyebár...)
Ha a cég vezetés kemény szabályozást akar, akkor ez az egyetlen épkézláb megoldás... A többi csak próbálkozások tömkelege, és vagy bejönnek, vagy nem.
(Itt jelzem, én az engedjünk mindent, ami nem káros filozófiát vallom, ezek ellenére, mivel a user ha kiélheti a szenvedélybetegségeit, dolgozni is fog. Ha nem, akkor a hiánytünetek károsan hatnak rá és az általa végzett munka minőségére/mennyiségére...)
Üdv,
LuiseX

( ant | 2013. 06. 19., sze – 00:20 )

Szélmalomharc.

Saját esetem (felhasználóként): régebben nem volt nálunk semmiféle tiltás, bár csak a saját proxyn lehetett kimenni. Aztán bevezettek egy elég durva szűrőt... (még a játékhíroldalak is le voltak tiltva) Egy üres délutánon végigpróbáltam egy sor webproxyt, de csak egyet találtam ami nem volt tiltva (máig sem), viszont csak a statikus oldalak jöttek át rajta úgy-ahogy. Némi további keresgélés után eljutottam a TOR-ig, és bár telepíteni semmit sem lehetett, portable módban simán tudtam futtatni. Aztán következett egy xp-win7 migrálás, ami ezt a lehetőséget is kiküszöbölte. Viszont a gép BIOS-a nincs jelszóval védve... így aztán fogtam egy pendrive-ot, rajta egy live-cd-vel, és az egyik rendszerkönyvtárba bepattintottam a TOR-t. Itt tartunk most.

Hozzáteszem azért, hogy nem lógok egész nap a facebookon (sőt), meg máshol se nagyon, pornót sem nézegetek a munkahelyemen, de ha érdekel egy cikk mondjuk a kotaku-n, akkor azt szeretném elolvasni. Megtehetném persze mobilon is, de csak kényelmesebb egy rendes méretű képernyőn... és közben egy csomó (számomra) új dolgot tanultam :-)

( bAndie9100 | 2013. 06. 19., sze – 00:32 )

képernyõképszintũ megfigyelés.
a screenshot OCR-ezése (*) és a "megböktek", "ismerõsnek jelölt", stb. sztringekre mentse is le a képet (címsori URL mentése és esetleges false positive utánellenõrzés céljából) és triggereljen megtorló szkriptet (iptables -A FORWARD -s user ip címe -j REJECT; winpopup üzenet: "ugye dolgozol?"; email a felettesnek a screenshottal; ha olyan a munkaállomások felügyelete akkor bemegy a szkript és beállít egy "big brother mindent lát" háttérképet, vagy lefuttat egy olyan weboldal-szétesõs html5-ös javascriptet a user böngészõjében - de ennek már nagyon sok az akadályozó tényezõje; egyéb egyéni perverzió).

* vagy a tartalom más módú vizuális elemzése pl. adott szũrendõ szolgáltatás logója.

~~~~~~~~
Linux 3.2.0-0.bpo.4-486
Debian 6.0.7

( Nyosigomboc v | 2013. 06. 19., sze – 00:40 )

Otletek:
Ne tilts, hanem viccelodj!

http://www.ex-parrot.com/pete/upside-down-ternet.html
Esetleg a FB falukra beinjektalhatsz egy plusz bejegyzest a fonoktol, hogy dolgozz! :)

--
The programmers of tomorrow are the wizards of the future. You know, you're going to look like you have magic powers compared to everybody else. -Gabe Newell

Egyébként volt a webproxy.hu-ban egy kis vicc a volt munkahelyemre vonatkozólag. Tudtam, hogy ott is sokan használják. A kódba beletettem egy feltételt, miszerint ha a cég IP-iről jönnek, akkor a fejlécbe tegyen be egy jól látható szöveget, valami ilyesmi volt: "Kedves ...(cégnév)...-es kolléga, ha itt végeztél, dolgozz is egy kicsit. :)". Azóta persze kiszedtem, de már látom az üzleti rést, köszönöm :D
Swifty, havi két sörért beteszem nektek, hátha a delikvens meghúzza magát :)

Simán ide kapcsolódik:

http://hup.hu/node/116574

Ez persze tényleg csak egy vicc volt, eszünkbe sem jutott, hogy ilyen módon próbáljuk korlátozni a felhasználók FB-használatát (ami amúgy is képtelenség lenne, mivel a cég tevékenységi köre erősen kapcsolódik a FB-hoz).

( gergelykiss | 2013. 06. 19., sze – 10:50 )

Nem volt időm végigolvasni a topikot, így ha már más is írta ezeket, akkor elnézést az ismétlésért.

Szerintem a két legegyszerűbb módszer:

1. Összes port tiltása a tűzfalon LAN->WAN irányban. Mindent letiltasz, kivéve a feltétlenül szükséges portokat (80, 443, 21, 25, minden, amire a napi munkához szükség van) - ez sajnos a 80-as porton futó proxy-kat nem fogja meg
2. Gyakori proxy portok tiltása - bár ez sem tökéletes megoldás, de kevesebb problémát okoz az összes port tiltásánál (pl. passzív FTP így tud működni rendesen).

Mi ezeket a portokat tiltjuk a tűzfalon LAN->WAN irányban, szerintem ez már elriasztja a legtöbb felhasználót attól, hogy külső proxy-kat próbálgasson:

tcp/3124
tcp/3127
tcp/3128
tcp/8080

( Swifty v | 2013. 07. 01., h – 14:37 )

UPDATE:

Squid-ben:

acl denied_regex url_regex -i "/etc/squid3/denied_regex"
http_access deny denied_regex
http_access deny CONNECT denied_regex

denied_regex tartalma:

[a-z0-9\-\:\.]*\/browse\.php[\?][bu]\=.*[\&][bu]\=.*
[a-z0-9\-\:\.]*\/browse\.php\/.*
[a-z0-9\-\:\.]*\/secure\.php[\?][bu]\=.*[\&][bu]\=.*

Persze lehetne még finomítani... :D

--
Debian Linux rulez... :D

OT:
> Persze lehetne még finomítani... :D

Pl. azzal, hogy jó regexpet írunk ;-) Pl szögletes zárójelen belül a \ nem speciális. Meg a : és a . sem (a : máshol sem). Ha szögletes zárójelen belül a minta elejére vagy végére írod a - karaktert, máris nem kellene takarni (amit amúgy ugye nem tudsz). A fenti írással egyébként felvetted a karakterek közé a \ -t is ;-) Az ötlet amőgy szellemes.

/OT

Ja egyébként azt még mindig nem értem, hogy az miért nem játszik, hogy meg van a dolog védve viszonylag korrekten - tűzfalazás, iwiw/FB letiltva, ismertebb proxyk kitiltása, és szerepel az a mondat a munkaszerződésben (ha nem, bele kell íratni), hogy naplózódnak az infók; ezek után nyavalyogjon a juzer a főnöknek személyesen a színes-szagos.szélesvásznú logok alapján, hogy ugyan miért is próbálja folyamatosan kikerülni a szabályokat. Boxolják le egymás között. (Ja, és azt se értem, hogy ha vannak szabályok amiket valaki tudatosan áthág, akkor miért a szabály betartatójának az édes anyját.)

Főleg azért nem értem, mert ha tilt az admin, akkor is köcsög, ha korlátoz, akkor is, ha csak simán logol, akkor is. Tehát aki köcsögnek akarja az admint tekinteni, az annak fogja minden körülmények között.

Takarítottam:


[-:./a-z0-9]*\/browse\.php[?][bu]=.*[&][bu]=.*
[-:./a-z0-9]*\/browse\.php\/.*
[-:./a-z0-9]*\/secure\.php[?][bu]=.*[&][bu]=.*

A felvetésedre:
1. nem mindenkinek a szerződésében van szó a naplózásról...
2. a főnök nem szeret naplókat nézegetni... Neki ezek kinaiak... Viszont nem szereti látni a facsét a gépeken...
3.a ha én jelentem, akkor én vagyok az, aki beárul...
3.b ha kirúgnák, akkor én lennék a szemét, mert akkor a kiscsalád miből veszi a fagyit...

--
Debian Linux rulez... :D

Mondjuk a POSIX-szabvany szerint mukodokben link. Felreertesek elkerulese vegett: azt mondtam (es mondom), hogy szogletes zarojelen belul nincs specialis jelentese semminek, csak a ], a - es a ^ karaktereknek, de ezeknek is csak meghatarozott helyen. Idezet a fenti doksibol:

"The period, left-bracket and backslash is special except when used in a bracket expression"

Kicsit arrebb:

"The special characters:
. * [ \

(period, asterisk, left-bracket and backslash, respectively) lose their special meaning within a bracket expression."
Pelda:

$ grep '[\]' << Q
> a\b
> a/b
> a]b
> Q
a\b
$ grep --version
grep (GNU grep) 2.5.1-FreeBSD
$

( sj | 2013. 07. 01., h – 15:30 )

az volt mar, hogy pl. dansguardian-nal a ceges proxy-n a tartalmat figyeled? Mert ha van is 2 millio webproxy, de a tartalomnak akkor is le kell jonni a ceges proxyra, amin meg mar lehet bannolni a problemas tartalmat.

Diktatorok kezikonyve

arra gondoltam, hogy ne a kismillio kulso proxyt, tor halozatot, stb. akard kiszurni, hanem csak a te belso halon / dmz-ben levo proxydrol lehessen kimenni a netre. Ebben az esetben minden webes traffik atmegy a te proxydon, amibe ha belepatkolsz pl. egy dans-ot, akkor azon tudod a nem kivant oldalakat szurni, pl. facebook, stb. Szerintem ez nem agyuval verebre, hanem egy korrekt megoldasa a feladatnak. Annyi pluszt is ad neked, hogy nem csak url regex alapjan tudsz szurni, hanem a weboldal tartalma alapjan is.

Diktatorok kezikonyve