Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Писать администрилку не надо, таких решений полно готовых... 20.08.04 09:43 Число просмотров: 5990
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Если у Вас проблема в виде "юзеры юзают ненужный софт" и Вы
> имеете доступ ко всем пользователям на предмет
Писать администрилку не надо, таких решений полно готовых. Но по ряду причин я не хочу это внедрять. Кроме того, технология не стоит на месте, и завтра эта шняга появится в виде java-аплета, работающего в контексте браузера и ничего следилка не отловит. В этой связи я считаю более правильным запрещать использование сервиса не распределенным контролем на рабочих местах, а централизованным, на границе сети. Собственно, решение уже озвучено - "белый список" ssl-серверов.
|
|
<sysadmin>
|
Со Skype кто как борется? 09.08.04 13:41
Автор: cybervlad <cybervlad> Статус: Elderman
|
Вот, обнаружил недавно мега-систему:
http://www.skype.com
Если в двух словах, помесь аськи, IP-телефона и файлообменной сети. Работает по технологии p2p.
Все бы ничего, но это такая дыра в секьюрити получается! Аську можно "запретить" путем закрытия приямых коннектов наружу вообще, а на сквиде зарезать доступ к ее серверам. Эта же зараза легко протаптывается через https. Фиг бы с ним разговоры, но ведь файлы со всяким дерьмом начнут в сеть таскать, а поскольку там ssl везде, то никакая централизованная система контроля ничего не отловит.
Поскольку ssl на проксике запрещать нельзя, то вижу только один способ - закрыть на проксике доступ к базовым серверам сети, чтобы не проходила авторизация.
Хотя самые хитроумные все равно придумают обходы, например с помощью http://www.htthost.com/, серверную часть которого можно поставить много где и динамически перекидывать.
p.s. А сам пейджер понравился, дома точно поставлю - войсом можно пообщаться не только с такой же программой, но и с обычным телефоном.
|
|
Ребята, сорри, что поднимаю старую тему, но уже дальше... 21.01.06 12:18
Автор: Dpak0n4ik <Тимур Гладких> Статус: Member
|
Ребята, сорри, что поднимаю старую тему, но уже дальше некуда...
Как ее(Skype) запретить?
Что я пробовал:
1. Запрет на запуск программы - кто-то из пользователей написал прогу, которая меняла название программы и запускала ее.
2. Запрет на 443 - за...ся потом добавлять огромную кучу адрессов, как white list...
3. Разговор с пользователем - они не понимают...
|
| |
А административно никак? Предупредить в письменном виде, и... 21.01.06 19:52
Автор: push <Dmitry> Статус: Member
|
|
А административно никак? Предупредить в письменном виде, и служебку на пойманного?
|
| | |
Так в том то и дело - предупредить могу, а серьезного ничего... 22.01.06 20:56
Автор: Dpak0n4ik <Тимур Гладких> Статус: Member
|
> А административно никак? Предупредить в письменном виде, и
> служебку на пойманного?
Так в том то и дело - предупредить могу, а серьезного ничего сделать не смогу:(
Один знакомый админ посоветовал - закрыть udp на все порты >1000, посмотрим, может поможет.
|
|
Как вариант блокировал на клиенте порты трендмикро офис сканом. Когда народ уж совсем наглел:-) 12.12.05 16:40
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
|
Поиском нарыл тему. есть пара вопросов 24.11.05 21:27
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
Отредактировано 24.11.05 21:31 Количество правок: 1
|
Есть сетка, в которой разрешено все. ну почти все. ну так сложилось. как понимаю запретить скайп не получится, тогда есть задача читать его полностью, чтобы фильтровать утечку корпоративных секретов. домен в2к3, как я понял скайпа шифрует траффик, может кто ковырял? чем и как она это делает? если ключами, или сертификатами, то как обмен ключами идет? если их сниффером перехватить и расшифровать? какие идеи?
стоп. поправка. мне аудио не надо. тока текстовый чат
|
| |
Насколько я понял, там используется стандартный ssl. Но... 12.12.05 16:05
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Есть сетка, в которой разрешено все. ну почти все. ну так
> сложилось. как понимаю запретить скайп не получится, тогда
> есть задача читать его полностью, чтобы фильтровать утечку
> корпоративных секретов. домен в2к3, как я понял скайпа
> шифрует траффик, может кто ковырял? чем и как она это
> делает? если ключами, или сертификатами, то как обмен
> ключами идет? если их сниффером перехватить и расшифровать?
> какие идеи?
>
> стоп. поправка. мне аудио не надо. тока текстовый чат
Насколько я понял, там используется стандартный ssl. Но поскольку система децентрализованная, получения сертификата от доверенного CA предварительно не происходит, то на этапе установления ssl-трубы есть теоретическая возможность вклиниться и сделать MiTM. НО, учитывая трудоемкость этого дела, я бы пошел по другому пути: запретил бы возможность запуска скайпы. Насколько мне известно, в w2k3 есть такая фича, что в политику домена можно вписать запрет запуска определенного экзешника. Идентифицируется он, естественно, не по имени и размеру, а более правильно :)
p.s. Сорри за тормоза с ответом, в отпуске/больнице был :)
|
| | |
пасиб 14.12.05 11:05
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
> > Есть сетка, в которой разрешено все. ну почти все. ну
> так
> > сложилось. как понимаю запретить скайп не
> получится, тогда
> > есть задача читать его полностью, чтобы фильтровать
> утечку
> > корпоративных секретов. домен в2к3, как я понял
> скайпа
> > шифрует траффик, может кто ковырял? чем и как она это
> > делает? если ключами, или сертификатами, то как обмен
> > ключами идет? если их сниффером перехватить и
> расшифровать?
> > какие идеи?
> >
> > стоп. поправка. мне аудио не надо. тока текстовый чат
> Насколько я понял, там используется стандартный ssl. Но
> поскольку система децентрализованная, получения сертификата
> от доверенного CA предварительно не происходит, то на этапе
> установления ssl-трубы есть теоретическая возможность
> вклиниться и сделать MiTM. НО, учитывая трудоемкость этого
> дела, я бы пошел по другому пути: запретил бы возможность
> запуска скайпы. Насколько мне известно, в w2k3 есть такая
> фича, что в политику домена можно вписать запрет запуска
> определенного экзешника. Идентифицируется он, естественно,
> не по имени и размеру, а более правильно :)
да это самый очевидный и правильный способ. к сожалению не подходит по политическим соображениям :)) ладненько, разберусь. есть мысль, не ломая голову, вкорячть в стену за спиной юзера камеру-невидимку и не парить мозх :)
>
> p.s. Сорри за тормоза с ответом, в отпуске/больнице был :)
|
|
Если у Вас проблема в виде "юзеры юзают ненужный софт" и Вы... 20.08.04 07:04
Автор: JrKI Статус: Незарегистрированный пользователь
|
> Вот, обнаружил недавно мега-систему:
> http://www.skype.com
> Если в двух словах, помесь аськи, IP-телефона и
> файлообменной сети. Работает по технологии p2p.
> Все бы ничего, но это такая дыра в секьюрити получается!
> Аську можно "запретить" путем закрытия приямых коннектов
> наружу вообще, а на сквиде зарезать доступ к ее серверам.
> Эта же зараза легко протаптывается через https. Фиг бы с
> ним разговоры, но ведь файлы со всяким дерьмом начнут в
> сеть таскать, а поскольку там ssl везде, то никакая
> централизованная система контроля ничего не отловит.
> Поскольку ssl на проксике запрещать нельзя, то вижу только
> один способ - закрыть на проксике доступ к базовым серверам
> сети, чтобы не проходила авторизация.
> Хотя самые хитроумные все равно придумают обходы, например
> с помощью http://www.htthost.com/, серверную часть которого
> можно поставить много где и динамически перекидывать.
>
> p.s. А сам пейджер понравился, дома точно поставлю -
> войсом можно пообщаться не только с такой же программой, но
> и с обычным телефоном.
Если у Вас проблема в виде "юзеры юзают ненужный софт" и Вы имеете доступ ко всем пользователям на предмет разъяснительных бесед типа "низзясцукаатооторвутебе" - имеет смысл поднапрячь знакомых кодеров на предмет написания чего-то типа "админки" для компьютерных клубов.
То есть - нужен софт, который следит за заголовками окон софта, запускаемого пользователем.
Как минимум, должно быть оповещение админа и варианты действий (на выбор админа) - не трогать или убить (софт, хотя можно и пользователя).
В качестве дополнительной функции можно организовать посылку в окно скайпа сообщений типа
"Политика нашей организации запрещает сотрудникам использовать Instant-Messaging клиенты. В случае необходимости используйте e-mail"
В теории, можно еще помучать ОС на предмет того, что юзерам можно запускать, а что нет.
|
| |
Писать администрилку не надо, таких решений полно готовых... 20.08.04 09:43
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Если у Вас проблема в виде "юзеры юзают ненужный софт" и Вы
> имеете доступ ко всем пользователям на предмет
Писать администрилку не надо, таких решений полно готовых. Но по ряду причин я не хочу это внедрять. Кроме того, технология не стоит на месте, и завтра эта шняга появится в виде java-аплета, работающего в контексте браузера и ничего следилка не отловит. В этой связи я считаю более правильным запрещать использование сервиса не распределенным контролем на рабочих местах, а централизованным, на границе сети. Собственно, решение уже озвучено - "белый список" ssl-серверов.
|
|
Эта прога - сисадминский ад. 11.08.04 16:57
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
|
Только из-за неё я не могу перевести всех юзеров в технологическую сетку. Все остальные, так или иначе, лучше или хуже но работают через прокси. Скайп - ни в какую. Никакие соксификаторы не помогают. :(
|
| |
А раскажи, как у тебя прокси настроен? ;) 12.08.04 07:11
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Только из-за неё я не могу перевести всех юзеров в
> технологическую сетку. Все остальные, так или иначе, лучше
> или хуже но работают через прокси. Скайп - ни в какую.
> Никакие соксификаторы не помогают. :(
А раскажи, как у тебя прокси настроен? ;)
Потому что я хочу, чтобы она именно НЕ работала, но она, падла, через прокси с обычной настройкой ломится.
|
| | |
Через какой прокси? HTTP? 12.08.04 14:37
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
|
|
| | | |
Skype умеет работать через HTTP прокси? Оба-на! У него же... 12.08.04 15:49
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Skype умеет работать через HTTP прокси? Оба-на! У него же вроде даже галочки такой не было.
А если хочешь запретить его - режь по User-Agent.
|
| | | | |
В том-то и суть! 12.08.04 16:43
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Skype умеет работать через HTTP прокси? Оба-на!
В том-то и суть!
> У него же вроде даже галочки такой не было.
И сейчас нету. У него вобще галочек нету, оно само все находит, видимо из настроек эксплорера подтягивает (во всяком случае, когда я в эксплорере поставил настройки прокси "в никуда", она не смогла сконнектиться).
> А если хочешь запретить его - режь по User-Agent.
А разве при обращении клиента к HTTP-прокси методом connect user-agent присутствует? Там ведь совсем даже не обязательно http-протокол будет...
|
| | | | | |
Ахтыжблядь! 12.08.04 20:13
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> > Skype умеет работать через HTTP прокси? Оба-на!
> В том-то и суть!
> > У него же вроде даже галочки такой не было.
> И сейчас нету. У него вобще галочек нету, оно само все
> находит, видимо из настроек эксплорера подтягивает (во
> всяком случае, когда я в эксплорере поставил настройки
> прокси "в никуда", она не смогла сконнектиться).
У меня-то автоматик прокси дисковери.
> > А если хочешь запретить его - режь по User-Agent.
> А разве при обращении клиента к HTTP-прокси методом connect
> user-agent присутствует? Там ведь совсем даже не
> обязательно http-протокол будет...
Да, и правда - нету в логах юзер-агента. А можно попробовать для юзеров пользующих метод connect создать очень жёсткий delay_pool. Кому надо по SSL куда-нибудь захреначиться - тот захреначится, а скайповщикам будет плохо.
|
| | | | | | |
ИМХО самое оптимальное решение - "белый список"... 13.08.04 13:45
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Да, и правда - нету в логах юзер-агента. А можно
> попробовать для юзеров пользующих метод connect создать
> очень жёсткий delay_pool. Кому надо по SSL куда-нибудь
> захреначиться - тот захреначится, а скайповщикам будет
> плохо.
ИМХО самое оптимальное решение - "белый список" ssl-ресурсов
Как правило, их можно перечислить заранее - онлайновый доступ к биржам, банкам и т.п.
|
| | | | | | |
И насколько ставить? Было сказано, что и на dial-up... 13.08.04 10:50
Автор: voi Статус: Незарегистрированный пользователь
|
> Да, и правда - нету в логах юзер-агента. А можно
> попробовать для юзеров пользующих метод connect создать
> очень жёсткий delay_pool. Кому надо по SSL куда-нибудь
> захреначиться - тот захреначится, а скайповщикам будет
> плохо.
И насколько ставить? Было сказано, что и на dial-up программка нормально
работает. Еще сильнее ужимать? А если connect ужимать нельзя?
У меня, например, есть сайты на которых работают люди именно
этим методом и без SSL.
|
| | | |
угу, сквид. 12.08.04 14:46
Автор: cybervlad <cybervlad> Статус: Elderman
|
|
|
|
А ты запрети скачивать файлы по маске. У тебя прокси сервер... 11.08.04 10:36
Автор: Crazybalu Статус: Незарегистрированный пользователь
|
|
А ты запрети скачивать файлы по маске. У тебя прокси сервер или файервол кто обеспечивает?
|
|
|
подробно о проекте
Анализ криптографических сетевых...
