Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Как вариант блокировал на клиенте порты трендмикро офис сканом. Когда народ уж совсем наглел:-) 12.12.05 16:40 Число просмотров: 5616
Автор: Garick <Yuriy> Статус: Elderman
|
|
<sysadmin>
|
Со Skype кто как борется? 09.08.04 13:41
Автор: cybervlad <cybervlad> Статус: Elderman
|
Вот, обнаружил недавно мега-систему:
http://www.skype.com
Если в двух словах, помесь аськи, IP-телефона и файлообменной сети. Работает по технологии p2p.
Все бы ничего, но это такая дыра в секьюрити получается! Аську можно "запретить" путем закрытия приямых коннектов наружу вообще, а на сквиде зарезать доступ к ее серверам. Эта же зараза легко протаптывается через https. Фиг бы с ним разговоры, но ведь файлы со всяким дерьмом начнут в сеть таскать, а поскольку там ssl везде, то никакая централизованная система контроля ничего не отловит.
Поскольку ssl на проксике запрещать нельзя, то вижу только один способ - закрыть на проксике доступ к базовым серверам сети, чтобы не проходила авторизация.
Хотя самые хитроумные все равно придумают обходы, например с помощью http://www.htthost.com/, серверную часть которого можно поставить много где и динамически перекидывать.
p.s. А сам пейджер понравился, дома точно поставлю - войсом можно пообщаться не только с такой же программой, но и с обычным телефоном.
|
|
Ребята, сорри, что поднимаю старую тему, но уже дальше... 21.01.06 12:18
Автор: Dpak0n4ik <Тимур Гладких> Статус: Member
|
Ребята, сорри, что поднимаю старую тему, но уже дальше некуда...
Как ее(Skype) запретить?
Что я пробовал:
1. Запрет на запуск программы - кто-то из пользователей написал прогу, которая меняла название программы и запускала ее.
2. Запрет на 443 - за...ся потом добавлять огромную кучу адрессов, как white list...
3. Разговор с пользователем - они не понимают...
|
| |
А административно никак? Предупредить в письменном виде, и... 21.01.06 19:52
Автор: push <Dmitry> Статус: Member
|
А административно никак? Предупредить в письменном виде, и служебку на пойманного?
|
| | |
Так в том то и дело - предупредить могу, а серьезного ничего... 22.01.06 20:56
Автор: Dpak0n4ik <Тимур Гладких> Статус: Member
|
> А административно никак? Предупредить в письменном виде, и > служебку на пойманного? Так в том то и дело - предупредить могу, а серьезного ничего сделать не смогу:(
Один знакомый админ посоветовал - закрыть udp на все порты >1000, посмотрим, может поможет.
|
|
Как вариант блокировал на клиенте порты трендмикро офис сканом. Когда народ уж совсем наглел:-) 12.12.05 16:40
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
Поиском нарыл тему. есть пара вопросов 24.11.05 21:27
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman Отредактировано 24.11.05 21:31 Количество правок: 1
|
Есть сетка, в которой разрешено все. ну почти все. ну так сложилось. как понимаю запретить скайп не получится, тогда есть задача читать его полностью, чтобы фильтровать утечку корпоративных секретов. домен в2к3, как я понял скайпа шифрует траффик, может кто ковырял? чем и как она это делает? если ключами, или сертификатами, то как обмен ключами идет? если их сниффером перехватить и расшифровать? какие идеи?
стоп. поправка. мне аудио не надо. тока текстовый чат
|
| |
Насколько я понял, там используется стандартный ssl. Но... 12.12.05 16:05
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Есть сетка, в которой разрешено все. ну почти все. ну так > сложилось. как понимаю запретить скайп не получится, тогда > есть задача читать его полностью, чтобы фильтровать утечку > корпоративных секретов. домен в2к3, как я понял скайпа > шифрует траффик, может кто ковырял? чем и как она это > делает? если ключами, или сертификатами, то как обмен > ключами идет? если их сниффером перехватить и расшифровать? > какие идеи? > > стоп. поправка. мне аудио не надо. тока текстовый чат Насколько я понял, там используется стандартный ssl. Но поскольку система децентрализованная, получения сертификата от доверенного CA предварительно не происходит, то на этапе установления ssl-трубы есть теоретическая возможность вклиниться и сделать MiTM. НО, учитывая трудоемкость этого дела, я бы пошел по другому пути: запретил бы возможность запуска скайпы. Насколько мне известно, в w2k3 есть такая фича, что в политику домена можно вписать запрет запуска определенного экзешника. Идентифицируется он, естественно, не по имени и размеру, а более правильно :)
p.s. Сорри за тормоза с ответом, в отпуске/больнице был :)
|
| | |
пасиб 14.12.05 11:05
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
> > Есть сетка, в которой разрешено все. ну почти все. ну > так > > сложилось. как понимаю запретить скайп не > получится, тогда > > есть задача читать его полностью, чтобы фильтровать > утечку > > корпоративных секретов. домен в2к3, как я понял > скайпа > > шифрует траффик, может кто ковырял? чем и как она это > > делает? если ключами, или сертификатами, то как обмен > > ключами идет? если их сниффером перехватить и > расшифровать? > > какие идеи? > > > > стоп. поправка. мне аудио не надо. тока текстовый чат > Насколько я понял, там используется стандартный ssl. Но > поскольку система децентрализованная, получения сертификата > от доверенного CA предварительно не происходит, то на этапе > установления ssl-трубы есть теоретическая возможность > вклиниться и сделать MiTM. НО, учитывая трудоемкость этого > дела, я бы пошел по другому пути: запретил бы возможность > запуска скайпы. Насколько мне известно, в w2k3 есть такая > фича, что в политику домена можно вписать запрет запуска > определенного экзешника. Идентифицируется он, естественно, > не по имени и размеру, а более правильно :)
да это самый очевидный и правильный способ. к сожалению не подходит по политическим соображениям :)) ладненько, разберусь. есть мысль, не ломая голову, вкорячть в стену за спиной юзера камеру-невидимку и не парить мозх :)
> > p.s. Сорри за тормоза с ответом, в отпуске/больнице был :)
|
|
Если у Вас проблема в виде "юзеры юзают ненужный софт" и Вы... 20.08.04 07:04
Автор: JrKI Статус: Незарегистрированный пользователь
|
> Вот, обнаружил недавно мега-систему: > http://www.skype.com > Если в двух словах, помесь аськи, IP-телефона и > файлообменной сети. Работает по технологии p2p. > Все бы ничего, но это такая дыра в секьюрити получается! > Аську можно "запретить" путем закрытия приямых коннектов > наружу вообще, а на сквиде зарезать доступ к ее серверам. > Эта же зараза легко протаптывается через https. Фиг бы с > ним разговоры, но ведь файлы со всяким дерьмом начнут в > сеть таскать, а поскольку там ssl везде, то никакая > централизованная система контроля ничего не отловит. > Поскольку ssl на проксике запрещать нельзя, то вижу только > один способ - закрыть на проксике доступ к базовым серверам > сети, чтобы не проходила авторизация. > Хотя самые хитроумные все равно придумают обходы, например > с помощью http://www.htthost.com/, серверную часть которого > можно поставить много где и динамически перекидывать. > > p.s. А сам пейджер понравился, дома точно поставлю - > войсом можно пообщаться не только с такой же программой, но > и с обычным телефоном.
Если у Вас проблема в виде "юзеры юзают ненужный софт" и Вы имеете доступ ко всем пользователям на предмет разъяснительных бесед типа "низзясцукаатооторвутебе" - имеет смысл поднапрячь знакомых кодеров на предмет написания чего-то типа "админки" для компьютерных клубов.
То есть - нужен софт, который следит за заголовками окон софта, запускаемого пользователем.
Как минимум, должно быть оповещение админа и варианты действий (на выбор админа) - не трогать или убить (софт, хотя можно и пользователя).
В качестве дополнительной функции можно организовать посылку в окно скайпа сообщений типа
"Политика нашей организации запрещает сотрудникам использовать Instant-Messaging клиенты. В случае необходимости используйте e-mail"
В теории, можно еще помучать ОС на предмет того, что юзерам можно запускать, а что нет.
|
| |
Писать администрилку не надо, таких решений полно готовых... 20.08.04 09:43
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Если у Вас проблема в виде "юзеры юзают ненужный софт" и Вы > имеете доступ ко всем пользователям на предмет Писать администрилку не надо, таких решений полно готовых. Но по ряду причин я не хочу это внедрять. Кроме того, технология не стоит на месте, и завтра эта шняга появится в виде java-аплета, работающего в контексте браузера и ничего следилка не отловит. В этой связи я считаю более правильным запрещать использование сервиса не распределенным контролем на рабочих местах, а централизованным, на границе сети. Собственно, решение уже озвучено - "белый список" ssl-серверов.
|
|
Эта прога - сисадминский ад. 11.08.04 16:57
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Только из-за неё я не могу перевести всех юзеров в технологическую сетку. Все остальные, так или иначе, лучше или хуже но работают через прокси. Скайп - ни в какую. Никакие соксификаторы не помогают. :(
|
| |
А раскажи, как у тебя прокси настроен? ;) 12.08.04 07:11
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Только из-за неё я не могу перевести всех юзеров в > технологическую сетку. Все остальные, так или иначе, лучше > или хуже но работают через прокси. Скайп - ни в какую. > Никакие соксификаторы не помогают. :( А раскажи, как у тебя прокси настроен? ;)
Потому что я хочу, чтобы она именно НЕ работала, но она, падла, через прокси с обычной настройкой ломится.
|
| | |
Через какой прокси? HTTP? 12.08.04 14:37
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
|
| | | |
Skype умеет работать через HTTP прокси? Оба-на! У него же... 12.08.04 15:49
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Skype умеет работать через HTTP прокси? Оба-на! У него же вроде даже галочки такой не было.
А если хочешь запретить его - режь по User-Agent.
|
| | | | |
В том-то и суть! 12.08.04 16:43
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Skype умеет работать через HTTP прокси? Оба-на! В том-то и суть!
> У него же вроде даже галочки такой не было. И сейчас нету. У него вобще галочек нету, оно само все находит, видимо из настроек эксплорера подтягивает (во всяком случае, когда я в эксплорере поставил настройки прокси "в никуда", она не смогла сконнектиться).
> А если хочешь запретить его - режь по User-Agent. А разве при обращении клиента к HTTP-прокси методом connect user-agent присутствует? Там ведь совсем даже не обязательно http-протокол будет...
|
| | | | | |
Ахтыжблядь! 12.08.04 20:13
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> > Skype умеет работать через HTTP прокси? Оба-на! > В том-то и суть! > > У него же вроде даже галочки такой не было. > И сейчас нету. У него вобще галочек нету, оно само все > находит, видимо из настроек эксплорера подтягивает (во > всяком случае, когда я в эксплорере поставил настройки > прокси "в никуда", она не смогла сконнектиться).
У меня-то автоматик прокси дисковери.
> > А если хочешь запретить его - режь по User-Agent. > А разве при обращении клиента к HTTP-прокси методом connect > user-agent присутствует? Там ведь совсем даже не > обязательно http-протокол будет...
Да, и правда - нету в логах юзер-агента. А можно попробовать для юзеров пользующих метод connect создать очень жёсткий delay_pool. Кому надо по SSL куда-нибудь захреначиться - тот захреначится, а скайповщикам будет плохо.
|
| | | | | | |
ИМХО самое оптимальное решение - "белый список"... 13.08.04 13:45
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Да, и правда - нету в логах юзер-агента. А можно > попробовать для юзеров пользующих метод connect создать > очень жёсткий delay_pool. Кому надо по SSL куда-нибудь > захреначиться - тот захреначится, а скайповщикам будет > плохо. ИМХО самое оптимальное решение - "белый список" ssl-ресурсов
Как правило, их можно перечислить заранее - онлайновый доступ к биржам, банкам и т.п.
|
| | | | | | |
И насколько ставить? Было сказано, что и на dial-up... 13.08.04 10:50
Автор: voi Статус: Незарегистрированный пользователь
|
> Да, и правда - нету в логах юзер-агента. А можно > попробовать для юзеров пользующих метод connect создать > очень жёсткий delay_pool. Кому надо по SSL куда-нибудь > захреначиться - тот захреначится, а скайповщикам будет > плохо. И насколько ставить? Было сказано, что и на dial-up программка нормально
работает. Еще сильнее ужимать? А если connect ужимать нельзя?
У меня, например, есть сайты на которых работают люди именно
этим методом и без SSL.
|
| | | |
угу, сквид. 12.08.04 14:46
Автор: cybervlad <cybervlad> Статус: Elderman
|
|
|
А ты запрети скачивать файлы по маске. У тебя прокси сервер... 11.08.04 10:36
Автор: Crazybalu Статус: Незарегистрированный пользователь
|
А ты запрети скачивать файлы по маске. У тебя прокси сервер или файервол кто обеспечивает?
|
|
|