Ограничения посещения сайтов
LinuxID 14 декабря, 2014 - 01:28
Всем привет!
Назревающий конфликт между руководством, IT отделом и пользователями провоцирует на то, что бы разграничить правила посещения сайтов. Есть ли какие то шлюзовые тулзы кроме прокси серверов ибо портов в обход прокси очень много? Слышал про layer7, но он вроде как для 2.6 ядер. Можете что-то посоветовать?
Задача разбить пользователей на группы и расписать кому куда можно.
Флаг netlink в iptables не всегда правильно отрабатывает ... ну или я криворукий.
»
- Для комментирования войдите или зарегистрируйтесь
Ну вот, например...
Ну вот, например... ;)
Там не только веб можно фильтровать.
Хотя я бы делал по-простому: все прямые выходы в Инет заблокировать (с логами), открыть веб только через (транспарент, если нужно) прокси с авторизацией, почту - только через почтовый сервер. Если регистрируются попытки обойти прокси и пр., - к авторам административные меры.
В баксах тысяч сем-восемь
В баксах тысяч сем-восемь будет. На контору из трехсот человек самое-то :). Осталось найти смельчака, что с предложением к директору пойдет.
Для тех, кто боится
Для тех, кто боится - написан второй абзац! :)
Хотя для утверждения административных мер все равно придется зайти...
P.S. Кстати, на eBay'e видел от 400$ с доставкой!..
Проксей вполне хватает. Плюс
Проксей вполне хватает. Плюс лимиты на трафло. Плюс анализатор типа сарга. Плюс готовность руководства повлиять на ситуацию по результатам сарговских отчетов. Пользователям прозрачно намекают о наличии следящей системы. При непонимании сути вопроса с пользователями проводится устная беседа. В случае злобного нарушения повышаем уровень беседы по иерархии, с заключительной докладной на "САМОГО". Пара тройка показательных взысканий с вывешиванием фото тушки на доску позора. И никаких конфликтов. Предоставьте вашему руководству необходимые данные, дабы оно могло принять нужные вам решения. Железную штуку что вам посоветовали покажите в качестве альтернативы ВАШЕМУ решению (вместе с ценой). Думаю руководству будет приятно иметь в своей команде спеца, способного "сэкономить" семь штук баксов на пустом месте.
Ребята, я все понимаю, но
Ребята, я все понимаю, но нахрена это надо ?
Я в свое время ответил просто:
Если чел не хочет или не мотивирован работать - это не проблема админа и
она не решается админскими методами.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Работодателю иногда бывает
Работодателю иногда бывает обидно, когда за его деньги наемный рабочий занимается всякой ерундой. Еще обиднее ему когда для всякой ерунды сотрудник использует вверенные ему техсредства. Зачастую обида работодателя находит выход в том числе и на "программистов", которые не "обеспечили". Ну и наконец Админ должен уметь контролировать ресурс, ибо в противном случае последнего на всех не хватит.
Ага, доходы компашки пойдут
Ага, доходы компашки пойдут резко вверх, как только прикроют www на писюках.
Угу, это помешает заниматся
Угу, это помешает заниматся ППР под чаек и сплетни. Особенно это помешает делать это с телефона ;)
Еще раз для любителей позакрывать - если стоит задача DLP, то она решается комплексно, а не с наскока.
Если закровм фконтактег и заживем - то это вообще не админская тема ;), это тема мотивирования персонала к работе.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
+100. Ограничить доступ к
+100. Ограничить доступ к интернетам с рабочего места какими-то «нужными» (что, в свою очередь, не поддается исчерпывающей формализации) ресурсами/сервисами – невозможно. Плюс мобильные интернеты. Плюс кто не хочет работать – больше работать не станет из-за блокирования сайтов. Плюс кое-кто станет работать даже меньше. Так что в общем это просто геморрой с возможностью отчитаться о громадной проделанной работе и не более. Проблема должна решаться административно а не технически.
В качестве примера. С год
В качестве примера. С год назад у меня появилось несколько любителей радио/тв-онлайн. Они размножались путем общения, ибо каждому хочется "шоб как у всех". Из полтыщи юзеров епидемия поразила около 2/3. Канал, как ни нарезай, прогибался напрочь, что было негативно отмечено руководством. По результатам проделанного анализа возникшей проблемы руководству поступило 2 предложения, одно из которых - увеличение затрат на интернет канал, дабы пользователи могли наслаждаться бесплатными сервисами :). Естественно денег никто не дал.
А закончилось это включением лимитов на траф. Посмотрел утреннее телешоу - нету инета. Первый звонок в техподдержку - бесплатно. Для особо непонятливых второй звонок заканчивался, как правило, лишением премии. Через месяц пандемия сама-собой сошла на ноль.
А вообще я - "добрый сисадмин", мне безразлично чем именно занимаются пользователи, пока это не сказывается на качестве предоставляемого мною сервиса. Я не владелец предприятия, и повышение производительности труда не входит в мои заботы или обязанности. Административное решение без средств технического контроля в данном случае считаю недейственным.
wi, я просто живу в другой
wi, я просто живу в другой галактике, где гигабит стоит 70 евро, а зарплата среднего юзера превышаетоо 1000 евро, и где подключения меньше сотки впринципе уже и забыли
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
/
В альтернативной галактике ноги рассчётная пропускная способность канала внезапно равняется трафику.
А лично я бы посмотрел на него в ситуации, когда среднемесячная загрузка канала вышла на уровень, устойчиво превышающий 0.99 Эрланга. Относительно «паспортной» пропускной способности (о праздниках нового года в сетях операторов сотовой связи все поди успели забыть?).
:wq
--
Live free or die
я просто живу в другой
я просто живу в другой галактике, где гигабит стоит 70 евроПозволь уточнить - гигабит гарантированного канала пакетами любой длины? :-)
Где такой оператор живет? Я хочу у него закупиться каналом и пиринг с ним по BGP :-)
Нейтральность - высшее достижение сознания!
Позволь уточнить - гигабит
Позволь уточнить - гигабит гарантированного канала пакетами любой длины? :-)
Tы прямо как провадер ;)
Где такой оператор живет? Я хочу у него закупиться каналом и пиринг с ним по BGP :-)
Да не вопрос - порт находится в Риге, бгп за отдельные деньги
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Народ! Вы меня конечно
Народ! Вы меня конечно извините, но я же попросил кроме прокси. То что данная проблема должна решаться (в том числе) и административными методами я в курсе. Задачу пока не ставили, но все к тому идет.
Правильно заданный вопрос - половина ответа!
Логики и довода — недостаточно. Надо еще зачморить тех, кто думает не так как мы. (South Park)
Algo: Винда ? => AD+GPO+NPAS
Algo:
Винда ? => AD+GPO+NPAS &=> ? Proffit ;(
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
А вы предполагаемый принцип
А вы предполагаемый принцип действия такого решения без прокси для себя определите. Набросайте эскизик на салфетке. Тут два пути. В первом потоки, скорей всего, сойдутся в один узел. Причем до файрвола инфы к размышлению несколько больше, нежели после (ибо, скорей всего, нат). Понятно к узлу необходимо прикрутить авторизацию, и заставить его как то анализировать траф ради последующей фильтрации. После этого попробуйте объяснить самомоу себе чем это принципиально от прокси отличается. Принципиально иной способ - тотальный контроль персоналки (лучше, конечно же, централизованный), и хотя при этом инфы еще больше (вплоть до приложения, что делает запрос), мне сие решение чисто с технической точки зрения не нравится, потому как централизованный контроль на прокси много проще. И таки да, за вторым способом вам скорей на какой нить виндофак.ру надо.
Вы таки определитесь
Вы таки определитесь: вам шашечки или все-таки ехать?
Велосипедов можно напридумывать, но по сути это задача лучше (и проще) всего решается именно с помощью прокси!
Кстати, не подскажете ли хотя бы один способ обойти прокси, если политика файервола по умолчанию - запрет (DROP)?.. ;)
.
В наблюдавшихся мной тырпрайсах таки
ACCEPT☺Правда, последним правилом в цепочке
INPUTтам стоит::wq
--
Live free or die
Anarchist написал(а):SysA
Т.е. это правило там hardcoded что ли? :D
В вашем случае особой разницы в контексте ТС нет, если это правило работает и на внутренних интерфейсах. Но в общем случае это означает, что политика
партииконторы достаточно либеральна.Практически во всех серЪезных конторах, где я работал, был (и есть!) DROP да еще, как правило, с LOG'oм на удаленный сервер ;).
P.S. Под политикой я подразумевал именно ПОЛИТИКУ, т.е. документ, а не конкретную команду, т.к. реализация может быть разная (в т.ч. комплексная) и неоднозначная...
P.P.S. Возможно ТС и следует начать с написания и утверждения руководством компании политики безопасности (иногда в упрощенном варианте ее еще называют как-то вроде "Правила пользования Интернета"). Тогда и начальство будет довольно, и пользователи не будут обижаться на "злобного" админа!.. :)
P.P.P.S. И таки железяка в моем первом совете/посте НЕ прокси!!! :) Там все прозрачно, своего адреса нет... но блокирует... и логи пишутся... ;)
P.P.P.S. И таки железяка в
P.P.P.S. И таки железяка в моем первом совете/посте НЕ прокси!!! :) Там все прозрачно, своего адреса нет... но блокирует... и логи пишутся... ;)
Теxнически это не вопрос даже на лине - сквид умеет TPROXY и даже метит QoS, и включить файет на бридже тоже никто не запрещает.
Просто ТС сам не знает, что он хочет и с какой целью.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
как бы тебе по-мягче сказать...
Эээ, как бы тебе по-мягче сказать... словом почитай ТТД для начала. Теоретически так можно сделать и на лине, тем более, что скорее всего там он и стоит. :) Но уж никак не на сквиде!!! И даже iptables с L7 не справится в полной мере... Потому как говоря "...прозрачно, своего адреса нет..." я подразумевал, что там L2, a не L3!
Вот тут я согласен. По постам видно, что ему хочется, как обычно большие начальники говорят: одна кнопка и чтобы все было хорошо!
Потому я и предлагаю ему начать с политики безопасности, это позволит определить и цель, и средства.
.
Мы же вроде про умолчательное значение говорим?
А оно просто по определению изменяемое. Было бы неизменяемым, не было бы умолчательным. ☺
Лично меня в такой ситуации обычно первым делом интересует вопрос мониторинга потерь.
И, опять же мой опыт прямо-таки вопиет о том, что «серьёзные конторы» больше работают над образом, чем над фактическим обеспечением. Что, с учётом экономики (80/20 — давно пройденный этап), печально, но закономерно.
:wq
--
Live free or die
Anarchist написал(а):Мы же
И да (для установленного набора правил), и нет (не то, что приходит с завода). Честно говоря я тут вас не очень понял...
Вот тут опять не понял... :( потерь чего?! Пакетов, данных, безопасности, денег?
Первые три параметра мы мониторим, последний - другие службы. :)
А в общем позвольте с вами не согласиться - если бизнес компании зависит от сохранности (от тех, кому не надо) и доступности (для тех, кому надо) информации, то очень даже фактически работают!! :) И даже денег не жалеют (в разумных пределах, конечно).
Но вопрос эффективности, как всегда и везде, упирается в квалификацию кадров того, кто это делает и проверяет.
/
Ну…
Безопасность — проблема, требующая комплексного решения.
В данном случае (и сугубо применительно к журналированию по сети) вопрос о мониторинге целостности журнала.
Основания на примере локального журнала:
Ну… защищённость находится в очевидном противоречии с доступностью.
Денег именно что не жалеют. Причём именно «в разумных пределах».
Но по моему опыту — обычно на гонорарии доверенным подрядчикам (outsource нашет фсё).
Не столько в квалификацию, и даже не столько в мотивацию (предмет темы), сколько в ограничения (по времени и ресурсам — стремление эффективных рукой.водителей к экономии неистребимо).
Не говоря о том, что категория квалификации не так проста, как может показаться. Это совсем не скаляр.
:wq
--
Live free or die
>>Кстати, не подскажете ли
>>Кстати, не подскажете ли хотя бы один способ обойти прокси.
Выйти из локалки в инет мимо прокси возможно при помощи арп, под все ос есть соответсвующие тузлы не требующие много мозгов. Ловится достаточно быстро . Обойти запреты прокси тоже достаточно легко (тот же прокси, к примеру). Если не наглеть то не ловится вообще (редко когда анализируется лог вне топ 10). Потому лимиты (ходи куда хочешь) +сарг "где мой инет?" - вполне работоспособно.
ARP - это вы имели ввиду
ARP - это вы имели ввиду L2?
И как же вы обойдете файервол?! Будете подменять свой адрес на адрес прокси?
Так юзеры и прокси должны быть в разных сегментах сети! Это же азы, я даже не считал целесообразным об этом упоминать. И говорил я не просто о прокси, а прокси+файервол (причем на разных коробках, разумеется), т.е. выход в Инет разрешен только с адреса прокси - либо ты сам добровольно идешь на прокси, либо тебя тупо рубят (с логами! ;)) по всем портам, адресам и протоколам. Более того, прокси также не должен иметь прямого выхода, только через файервол тоже (в моем случае это физически другой файервол, не тот, что для юзеров).
И как тогда? :)
P.S. Интересная у вас политика "редко когда анализируется лог вне топ 10" - могу вас уверить, что (попыток) взлома в топХ точно не будет! Но это, конечно, не в тему...