информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаГде водятся OGRыВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Какие, нафиг, файлы, там же ssl 11.08.04 12:12  Число просмотров: 5764
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> А ты запрети скачивать файлы по маске. У тебя прокси сервер
> или файервол кто обеспечивает?
Какие, нафиг, файлы, там же ssl
Клиент обращается к проксику с командой connect <IP>:443, и проксик организует "трубу", содержимое которой ему не доступно для анализа, ибо шифруется. Что и по какой маске я могу определить? Эти действия на проксе/файрволе ничем не отличимы от обычного захода на https://somesite.com
<sysadmin>
Со Skype кто как борется? 09.08.04 13:41  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Вот, обнаружил недавно мега-систему:
http://www.skype.com
Если в двух словах, помесь аськи, IP-телефона и файлообменной сети. Работает по технологии p2p.
Все бы ничего, но это такая дыра в секьюрити получается! Аську можно "запретить" путем закрытия приямых коннектов наружу вообще, а на сквиде зарезать доступ к ее серверам. Эта же зараза легко протаптывается через https. Фиг бы с ним разговоры, но ведь файлы со всяким дерьмом начнут в сеть таскать, а поскольку там ssl везде, то никакая централизованная система контроля ничего не отловит.
Поскольку ssl на проксике запрещать нельзя, то вижу только один способ - закрыть на проксике доступ к базовым серверам сети, чтобы не проходила авторизация.
Хотя самые хитроумные все равно придумают обходы, например с помощью http://www.htthost.com/, серверную часть которого можно поставить много где и динамически перекидывать.

p.s. А сам пейджер понравился, дома точно поставлю - войсом можно пообщаться не только с такой же программой, но и с обычным телефоном.
Ребята, сорри, что поднимаю старую тему, но уже дальше... 21.01.06 12:18  
Автор: Dpak0n4ik <Тимур Гладких> Статус: Member
<"чистая" ссылка>
Ребята, сорри, что поднимаю старую тему, но уже дальше некуда...
Как ее(Skype) запретить?
Что я пробовал:
1. Запрет на запуск программы - кто-то из пользователей написал прогу, которая меняла название программы и запускала ее.
2. Запрет на 443 - за...ся потом добавлять огромную кучу адрессов, как white list...
3. Разговор с пользователем - они не понимают...
А административно никак? Предупредить в письменном виде, и... 21.01.06 19:52  
Автор: push <Dmitry> Статус: Member
<"чистая" ссылка>
А административно никак? Предупредить в письменном виде, и служебку на пойманного?
Так в том то и дело - предупредить могу, а серьезного ничего... 22.01.06 20:56  
Автор: Dpak0n4ik <Тимур Гладких> Статус: Member
<"чистая" ссылка>
> А административно никак? Предупредить в письменном виде, и
> служебку на пойманного?
Так в том то и дело - предупредить могу, а серьезного ничего сделать не смогу:(
Один знакомый админ посоветовал - закрыть udp на все порты >1000, посмотрим, может поможет.
Как вариант блокировал на клиенте порты трендмикро офис сканом. Когда народ уж совсем наглел:-) 12.12.05 16:40  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Поиском нарыл тему. есть пара вопросов 24.11.05 21:27  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
Отредактировано 24.11.05 21:31  Количество правок: 1
<"чистая" ссылка>
Есть сетка, в которой разрешено все. ну почти все. ну так сложилось. как понимаю запретить скайп не получится, тогда есть задача читать его полностью, чтобы фильтровать утечку корпоративных секретов. домен в2к3, как я понял скайпа шифрует траффик, может кто ковырял? чем и как она это делает? если ключами, или сертификатами, то как обмен ключами идет? если их сниффером перехватить и расшифровать? какие идеи?

стоп. поправка. мне аудио не надо. тока текстовый чат
Насколько я понял, там используется стандартный ssl. Но... 12.12.05 16:05  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Есть сетка, в которой разрешено все. ну почти все. ну так
> сложилось. как понимаю запретить скайп не получится, тогда
> есть задача читать его полностью, чтобы фильтровать утечку
> корпоративных секретов. домен в2к3, как я понял скайпа
> шифрует траффик, может кто ковырял? чем и как она это
> делает? если ключами, или сертификатами, то как обмен
> ключами идет? если их сниффером перехватить и расшифровать?
> какие идеи?
>
> стоп. поправка. мне аудио не надо. тока текстовый чат
Насколько я понял, там используется стандартный ssl. Но поскольку система децентрализованная, получения сертификата от доверенного CA предварительно не происходит, то на этапе установления ssl-трубы есть теоретическая возможность вклиниться и сделать MiTM. НО, учитывая трудоемкость этого дела, я бы пошел по другому пути: запретил бы возможность запуска скайпы. Насколько мне известно, в w2k3 есть такая фича, что в политику домена можно вписать запрет запуска определенного экзешника. Идентифицируется он, естественно, не по имени и размеру, а более правильно :)

p.s. Сорри за тормоза с ответом, в отпуске/больнице был :)
пасиб 14.12.05 11:05  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
> > Есть сетка, в которой разрешено все. ну почти все. ну
> так
> > сложилось. как понимаю запретить скайп не
> получится, тогда
> > есть задача читать его полностью, чтобы фильтровать
> утечку
> > корпоративных секретов. домен в2к3, как я понял
> скайпа
> > шифрует траффик, может кто ковырял? чем и как она это
> > делает? если ключами, или сертификатами, то как обмен
> > ключами идет? если их сниффером перехватить и
> расшифровать?
> > какие идеи?
> >
> > стоп. поправка. мне аудио не надо. тока текстовый чат
> Насколько я понял, там используется стандартный ssl. Но
> поскольку система децентрализованная, получения сертификата
> от доверенного CA предварительно не происходит, то на этапе
> установления ssl-трубы есть теоретическая возможность
> вклиниться и сделать MiTM. НО, учитывая трудоемкость этого
> дела, я бы пошел по другому пути: запретил бы возможность
> запуска скайпы. Насколько мне известно, в w2k3 есть такая
> фича, что в политику домена можно вписать запрет запуска
> определенного экзешника. Идентифицируется он, естественно,
> не по имени и размеру, а более правильно :)

да это самый очевидный и правильный способ. к сожалению не подходит по политическим соображениям :)) ладненько, разберусь. есть мысль, не ломая голову, вкорячть в стену за спиной юзера камеру-невидимку и не парить мозх :)

>
> p.s. Сорри за тормоза с ответом, в отпуске/больнице был :)
Если у Вас проблема в виде "юзеры юзают ненужный софт" и Вы... 20.08.04 07:04  
Автор: JrKI Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Вот, обнаружил недавно мега-систему:
> http://www.skype.com
> Если в двух словах, помесь аськи, IP-телефона и
> файлообменной сети. Работает по технологии p2p.
> Все бы ничего, но это такая дыра в секьюрити получается!
> Аську можно "запретить" путем закрытия приямых коннектов
> наружу вообще, а на сквиде зарезать доступ к ее серверам.
> Эта же зараза легко протаптывается через https. Фиг бы с
> ним разговоры, но ведь файлы со всяким дерьмом начнут в
> сеть таскать, а поскольку там ssl везде, то никакая
> централизованная система контроля ничего не отловит.
> Поскольку ssl на проксике запрещать нельзя, то вижу только
> один способ - закрыть на проксике доступ к базовым серверам
> сети, чтобы не проходила авторизация.
> Хотя самые хитроумные все равно придумают обходы, например
> с помощью http://www.htthost.com/, серверную часть которого
> можно поставить много где и динамически перекидывать.
>
> p.s. А сам пейджер понравился, дома точно поставлю -
> войсом можно пообщаться не только с такой же программой, но
> и с обычным телефоном.


Если у Вас проблема в виде "юзеры юзают ненужный софт" и Вы имеете доступ ко всем пользователям на предмет разъяснительных бесед типа "низзясцукаатооторвутебе" - имеет смысл поднапрячь знакомых кодеров на предмет написания чего-то типа "админки" для компьютерных клубов.

То есть - нужен софт, который следит за заголовками окон софта, запускаемого пользователем.
Как минимум, должно быть оповещение админа и варианты действий (на выбор админа) - не трогать или убить (софт, хотя можно и пользователя).

В качестве дополнительной функции можно организовать посылку в окно скайпа сообщений типа
"Политика нашей организации запрещает сотрудникам использовать Instant-Messaging клиенты. В случае необходимости используйте e-mail"

В теории, можно еще помучать ОС на предмет того, что юзерам можно запускать, а что нет.
Писать администрилку не надо, таких решений полно готовых... 20.08.04 09:43  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Если у Вас проблема в виде "юзеры юзают ненужный софт" и Вы
> имеете доступ ко всем пользователям на предмет
Писать администрилку не надо, таких решений полно готовых. Но по ряду причин я не хочу это внедрять. Кроме того, технология не стоит на месте, и завтра эта шняга появится в виде java-аплета, работающего в контексте браузера и ничего следилка не отловит. В этой связи я считаю более правильным запрещать использование сервиса не распределенным контролем на рабочих местах, а централизованным, на границе сети. Собственно, решение уже озвучено - "белый список" ssl-серверов.
Эта прога - сисадминский ад. 11.08.04 16:57  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Только из-за неё я не могу перевести всех юзеров в технологическую сетку. Все остальные, так или иначе, лучше или хуже но работают через прокси. Скайп - ни в какую. Никакие соксификаторы не помогают. :(
А раскажи, как у тебя прокси настроен? ;) 12.08.04 07:11  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Только из-за неё я не могу перевести всех юзеров в
> технологическую сетку. Все остальные, так или иначе, лучше
> или хуже но работают через прокси. Скайп - ни в какую.
> Никакие соксификаторы не помогают. :(
А раскажи, как у тебя прокси настроен? ;)
Потому что я хочу, чтобы она именно НЕ работала, но она, падла, через прокси с обычной настройкой ломится.
Через какой прокси? HTTP? 12.08.04 14:37  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Skype умеет работать через HTTP прокси? Оба-на! У него же... 12.08.04 15:49  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Skype умеет работать через HTTP прокси? Оба-на! У него же вроде даже галочки такой не было.
А если хочешь запретить его - режь по User-Agent.
В том-то и суть! 12.08.04 16:43  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Skype умеет работать через HTTP прокси? Оба-на!
В том-то и суть!
> У него же вроде даже галочки такой не было.
И сейчас нету. У него вобще галочек нету, оно само все находит, видимо из настроек эксплорера подтягивает (во всяком случае, когда я в эксплорере поставил настройки прокси "в никуда", она не смогла сконнектиться).

> А если хочешь запретить его - режь по User-Agent.
А разве при обращении клиента к HTTP-прокси методом connect user-agent присутствует? Там ведь совсем даже не обязательно http-протокол будет...
Ахтыжблядь! 12.08.04 20:13  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
> > Skype умеет работать через HTTP прокси? Оба-на!
> В том-то и суть!
> > У него же вроде даже галочки такой не было.
> И сейчас нету. У него вобще галочек нету, оно само все
> находит, видимо из настроек эксплорера подтягивает (во
> всяком случае, когда я в эксплорере поставил настройки
> прокси "в никуда", она не смогла сконнектиться).

У меня-то автоматик прокси дисковери.

> > А если хочешь запретить его - режь по User-Agent.
> А разве при обращении клиента к HTTP-прокси методом connect
> user-agent присутствует? Там ведь совсем даже не
> обязательно http-протокол будет...

Да, и правда - нету в логах юзер-агента. А можно попробовать для юзеров пользующих метод connect создать очень жёсткий delay_pool. Кому надо по SSL куда-нибудь захреначиться - тот захреначится, а скайповщикам будет плохо.
ИМХО самое оптимальное решение - "белый список"... 13.08.04 13:45  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Да, и правда - нету в логах юзер-агента. А можно
> попробовать для юзеров пользующих метод connect создать
> очень жёсткий delay_pool. Кому надо по SSL куда-нибудь
> захреначиться - тот захреначится, а скайповщикам будет
> плохо.
ИМХО самое оптимальное решение - "белый список" ssl-ресурсов
Как правило, их можно перечислить заранее - онлайновый доступ к биржам, банкам и т.п.
И насколько ставить? Было сказано, что и на dial-up... 13.08.04 10:50  
Автор: voi Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Да, и правда - нету в логах юзер-агента. А можно
> попробовать для юзеров пользующих метод connect создать
> очень жёсткий delay_pool. Кому надо по SSL куда-нибудь
> захреначиться - тот захреначится, а скайповщикам будет
> плохо.
И насколько ставить? Было сказано, что и на dial-up программка нормально
работает. Еще сильнее ужимать? А если connect ужимать нельзя?
У меня, например, есть сайты на которых работают люди именно
этим методом и без SSL.
угу, сквид. 12.08.04 14:46  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
А ты запрети скачивать файлы по маске. У тебя прокси сервер... 11.08.04 10:36  
Автор: Crazybalu Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А ты запрети скачивать файлы по маске. У тебя прокси сервер или файервол кто обеспечивает?
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach