информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаГде водятся OGRыЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 И ещё раз об интернет-голосовании 
 Типовые уязвимости в драйверах... 
 Logitech готовится закрыть очередную... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
<без заголовка> 11.08.04 08:02  Число просмотров: 4291
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
так ты не угадал нихрена. по мне, так лучше бы ее не было.
потому как свою privacy я могу обеспечить и поверх "традиционных" средств.
вопрос был, как с этой заразой бороться. не можешь ничем помочь - не флейми.
<sysadmin>
Со Skype кто как борется? 09.08.04 13:41  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Вот, обнаружил недавно мега-систему:
http://www.skype.com
Если в двух словах, помесь аськи, IP-телефона и файлообменной сети. Работает по технологии p2p.
Все бы ничего, но это такая дыра в секьюрити получается! Аську можно "запретить" путем закрытия приямых коннектов наружу вообще, а на сквиде зарезать доступ к ее серверам. Эта же зараза легко протаптывается через https. Фиг бы с ним разговоры, но ведь файлы со всяким дерьмом начнут в сеть таскать, а поскольку там ssl везде, то никакая централизованная система контроля ничего не отловит.
Поскольку ssl на проксике запрещать нельзя, то вижу только один способ - закрыть на проксике доступ к базовым серверам сети, чтобы не проходила авторизация.
Хотя самые хитроумные все равно придумают обходы, например с помощью http://www.htthost.com/, серверную часть которого можно поставить много где и динамически перекидывать.

p.s. А сам пейджер понравился, дома точно поставлю - войсом можно пообщаться не только с такой же программой, но и с обычным телефоном.
Ребята, сорри, что поднимаю старую тему, но уже дальше... 21.01.06 12:18  
Автор: Dpak0n4ik <Тимур Гладких> Статус: Member
<"чистая" ссылка>
Ребята, сорри, что поднимаю старую тему, но уже дальше некуда...
Как ее(Skype) запретить?
Что я пробовал:
1. Запрет на запуск программы - кто-то из пользователей написал прогу, которая меняла название программы и запускала ее.
2. Запрет на 443 - за...ся потом добавлять огромную кучу адрессов, как white list...
3. Разговор с пользователем - они не понимают...
А административно никак? Предупредить в письменном виде, и... 21.01.06 19:52  
Автор: push <Dmitry> Статус: Member
<"чистая" ссылка>
А административно никак? Предупредить в письменном виде, и служебку на пойманного?
Так в том то и дело - предупредить могу, а серьезного ничего... 22.01.06 20:56  
Автор: Dpak0n4ik <Тимур Гладких> Статус: Member
<"чистая" ссылка>
> А административно никак? Предупредить в письменном виде, и
> служебку на пойманного?
Так в том то и дело - предупредить могу, а серьезного ничего сделать не смогу:(
Один знакомый админ посоветовал - закрыть udp на все порты >1000, посмотрим, может поможет.
Как вариант блокировал на клиенте порты трендмикро офис сканом. Когда народ уж совсем наглел:-) 12.12.05 16:40  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Поиском нарыл тему. есть пара вопросов 24.11.05 21:27  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
Отредактировано 24.11.05 21:31  Количество правок: 1
<"чистая" ссылка>
Есть сетка, в которой разрешено все. ну почти все. ну так сложилось. как понимаю запретить скайп не получится, тогда есть задача читать его полностью, чтобы фильтровать утечку корпоративных секретов. домен в2к3, как я понял скайпа шифрует траффик, может кто ковырял? чем и как она это делает? если ключами, или сертификатами, то как обмен ключами идет? если их сниффером перехватить и расшифровать? какие идеи?

стоп. поправка. мне аудио не надо. тока текстовый чат
Насколько я понял, там используется стандартный ssl. Но... 12.12.05 16:05  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Есть сетка, в которой разрешено все. ну почти все. ну так
> сложилось. как понимаю запретить скайп не получится, тогда
> есть задача читать его полностью, чтобы фильтровать утечку
> корпоративных секретов. домен в2к3, как я понял скайпа
> шифрует траффик, может кто ковырял? чем и как она это
> делает? если ключами, или сертификатами, то как обмен
> ключами идет? если их сниффером перехватить и расшифровать?
> какие идеи?
>
> стоп. поправка. мне аудио не надо. тока текстовый чат
Насколько я понял, там используется стандартный ssl. Но поскольку система децентрализованная, получения сертификата от доверенного CA предварительно не происходит, то на этапе установления ssl-трубы есть теоретическая возможность вклиниться и сделать MiTM. НО, учитывая трудоемкость этого дела, я бы пошел по другому пути: запретил бы возможность запуска скайпы. Насколько мне известно, в w2k3 есть такая фича, что в политику домена можно вписать запрет запуска определенного экзешника. Идентифицируется он, естественно, не по имени и размеру, а более правильно :)

p.s. Сорри за тормоза с ответом, в отпуске/больнице был :)
пасиб 14.12.05 11:05  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
> > Есть сетка, в которой разрешено все. ну почти все. ну
> так
> > сложилось. как понимаю запретить скайп не
> получится, тогда
> > есть задача читать его полностью, чтобы фильтровать
> утечку
> > корпоративных секретов. домен в2к3, как я понял
> скайпа
> > шифрует траффик, может кто ковырял? чем и как она это
> > делает? если ключами, или сертификатами, то как обмен
> > ключами идет? если их сниффером перехватить и
> расшифровать?
> > какие идеи?
> >
> > стоп. поправка. мне аудио не надо. тока текстовый чат
> Насколько я понял, там используется стандартный ssl. Но
> поскольку система децентрализованная, получения сертификата
> от доверенного CA предварительно не происходит, то на этапе
> установления ssl-трубы есть теоретическая возможность
> вклиниться и сделать MiTM. НО, учитывая трудоемкость этого
> дела, я бы пошел по другому пути: запретил бы возможность
> запуска скайпы. Насколько мне известно, в w2k3 есть такая
> фича, что в политику домена можно вписать запрет запуска
> определенного экзешника. Идентифицируется он, естественно,
> не по имени и размеру, а более правильно :)

да это самый очевидный и правильный способ. к сожалению не подходит по политическим соображениям :)) ладненько, разберусь. есть мысль, не ломая голову, вкорячть в стену за спиной юзера камеру-невидимку и не парить мозх :)

>
> p.s. Сорри за тормоза с ответом, в отпуске/больнице был :)
Если у Вас проблема в виде "юзеры юзают ненужный софт" и Вы... 20.08.04 07:04  
Автор: JrKI Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Вот, обнаружил недавно мега-систему:
> http://www.skype.com
> Если в двух словах, помесь аськи, IP-телефона и
> файлообменной сети. Работает по технологии p2p.
> Все бы ничего, но это такая дыра в секьюрити получается!
> Аську можно "запретить" путем закрытия приямых коннектов
> наружу вообще, а на сквиде зарезать доступ к ее серверам.
> Эта же зараза легко протаптывается через https. Фиг бы с
> ним разговоры, но ведь файлы со всяким дерьмом начнут в
> сеть таскать, а поскольку там ssl везде, то никакая
> централизованная система контроля ничего не отловит.
> Поскольку ssl на проксике запрещать нельзя, то вижу только
> один способ - закрыть на проксике доступ к базовым серверам
> сети, чтобы не проходила авторизация.
> Хотя самые хитроумные все равно придумают обходы, например
> с помощью http://www.htthost.com/, серверную часть которого
> можно поставить много где и динамически перекидывать.
>
> p.s. А сам пейджер понравился, дома точно поставлю -
> войсом можно пообщаться не только с такой же программой, но
> и с обычным телефоном.


Если у Вас проблема в виде "юзеры юзают ненужный софт" и Вы имеете доступ ко всем пользователям на предмет разъяснительных бесед типа "низзясцукаатооторвутебе" - имеет смысл поднапрячь знакомых кодеров на предмет написания чего-то типа "админки" для компьютерных клубов.

То есть - нужен софт, который следит за заголовками окон софта, запускаемого пользователем.
Как минимум, должно быть оповещение админа и варианты действий (на выбор админа) - не трогать или убить (софт, хотя можно и пользователя).

В качестве дополнительной функции можно организовать посылку в окно скайпа сообщений типа
"Политика нашей организации запрещает сотрудникам использовать Instant-Messaging клиенты. В случае необходимости используйте e-mail"

В теории, можно еще помучать ОС на предмет того, что юзерам можно запускать, а что нет.
Писать администрилку не надо, таких решений полно готовых... 20.08.04 09:43  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Если у Вас проблема в виде "юзеры юзают ненужный софт" и Вы
> имеете доступ ко всем пользователям на предмет
Писать администрилку не надо, таких решений полно готовых. Но по ряду причин я не хочу это внедрять. Кроме того, технология не стоит на месте, и завтра эта шняга появится в виде java-аплета, работающего в контексте браузера и ничего следилка не отловит. В этой связи я считаю более правильным запрещать использование сервиса не распределенным контролем на рабочих местах, а централизованным, на границе сети. Собственно, решение уже озвучено - "белый список" ssl-серверов.
Эта прога - сисадминский ад. 11.08.04 16:57  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Только из-за неё я не могу перевести всех юзеров в технологическую сетку. Все остальные, так или иначе, лучше или хуже но работают через прокси. Скайп - ни в какую. Никакие соксификаторы не помогают. :(
А раскажи, как у тебя прокси настроен? ;) 12.08.04 07:11  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Только из-за неё я не могу перевести всех юзеров в
> технологическую сетку. Все остальные, так или иначе, лучше
> или хуже но работают через прокси. Скайп - ни в какую.
> Никакие соксификаторы не помогают. :(
А раскажи, как у тебя прокси настроен? ;)
Потому что я хочу, чтобы она именно НЕ работала, но она, падла, через прокси с обычной настройкой ломится.
Через какой прокси? HTTP? 12.08.04 14:37  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Skype умеет работать через HTTP прокси? Оба-на! У него же... 12.08.04 15:49  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Skype умеет работать через HTTP прокси? Оба-на! У него же вроде даже галочки такой не было.
А если хочешь запретить его - режь по User-Agent.
В том-то и суть! 12.08.04 16:43  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Skype умеет работать через HTTP прокси? Оба-на!
В том-то и суть!
> У него же вроде даже галочки такой не было.
И сейчас нету. У него вобще галочек нету, оно само все находит, видимо из настроек эксплорера подтягивает (во всяком случае, когда я в эксплорере поставил настройки прокси "в никуда", она не смогла сконнектиться).

> А если хочешь запретить его - режь по User-Agent.
А разве при обращении клиента к HTTP-прокси методом connect user-agent присутствует? Там ведь совсем даже не обязательно http-протокол будет...
Ахтыжблядь! 12.08.04 20:13  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
> > Skype умеет работать через HTTP прокси? Оба-на!
> В том-то и суть!
> > У него же вроде даже галочки такой не было.
> И сейчас нету. У него вобще галочек нету, оно само все
> находит, видимо из настроек эксплорера подтягивает (во
> всяком случае, когда я в эксплорере поставил настройки
> прокси "в никуда", она не смогла сконнектиться).

У меня-то автоматик прокси дисковери.

> > А если хочешь запретить его - режь по User-Agent.
> А разве при обращении клиента к HTTP-прокси методом connect
> user-agent присутствует? Там ведь совсем даже не
> обязательно http-протокол будет...

Да, и правда - нету в логах юзер-агента. А можно попробовать для юзеров пользующих метод connect создать очень жёсткий delay_pool. Кому надо по SSL куда-нибудь захреначиться - тот захреначится, а скайповщикам будет плохо.
ИМХО самое оптимальное решение - "белый список"... 13.08.04 13:45  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Да, и правда - нету в логах юзер-агента. А можно
> попробовать для юзеров пользующих метод connect создать
> очень жёсткий delay_pool. Кому надо по SSL куда-нибудь
> захреначиться - тот захреначится, а скайповщикам будет
> плохо.
ИМХО самое оптимальное решение - "белый список" ssl-ресурсов
Как правило, их можно перечислить заранее - онлайновый доступ к биржам, банкам и т.п.
И насколько ставить? Было сказано, что и на dial-up... 13.08.04 10:50  
Автор: voi Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Да, и правда - нету в логах юзер-агента. А можно
> попробовать для юзеров пользующих метод connect создать
> очень жёсткий delay_pool. Кому надо по SSL куда-нибудь
> захреначиться - тот захреначится, а скайповщикам будет
> плохо.
И насколько ставить? Было сказано, что и на dial-up программка нормально
работает. Еще сильнее ужимать? А если connect ужимать нельзя?
У меня, например, есть сайты на которых работают люди именно
этим методом и без SSL.
угу, сквид. 12.08.04 14:46  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
А ты запрети скачивать файлы по маске. У тебя прокси сервер... 11.08.04 10:36  
Автор: Crazybalu Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А ты запрети скачивать файлы по маске. У тебя прокси сервер или файервол кто обеспечивает?
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach