To by mě zajímalo, mám v malé firmě transparentní proxy na které jsem blokoval squidem stránky obsahující porno, hazard, malware, ... Ne že by tam lidi chodili, ale pro jistotu. S přechodem většiny stránek na https mi to přestalo samozřejmě fungovat a není problém napsat do vyhledávače porno a jet. Nějaké řešení?
Potvrzuju. Ideální je řešit takový problém lidsky, ne technicky. Jediné, co je opravdu nutné hlídat a blokovat technicky, je odesílání spamů z firemní sítě (stačí zavirovaný NTB nějakého mamlase. Přístupy na web jsou nepodstatné -- když někdo bez problémů stíhá svou práci a ještě u toho půl dne promasturbuje, čemu to vadí? :-)
...když někdo bez problémů stíhá svou práci a ještě u toho půl dne promasturbuje, čemu to vadí?
Spomaluje siet? Treba si uvedomit, ze mala firma nema garantovanych 1Gb/s ako si to moze dovolit velka firma. Pozeranie akychkolvek videi je predsa len trosku zataz v zavislosti od kvality streamu, a ked mame takychto ludi viac, je to o hubu. V poslednej firme sme mali garantovanych 30/15 Mb/s. Na odosielanie mejlov a bezne surfovanie to stacilo, ale ak viaceri ludia pustili nejake HD video z jutubu bola sranda.
Stacilo by vyhradit kus mista na serveru, kde vy zamestnanci sdileli porno, ktere si prinesou z domova. Kazdy zamestnanec by pak nafasoval USB flash velikosti urcene podle neuspokojivosti jeho sexualniho zivota urcene po vyplneni dotazniku. Nadrzeni by fasovali 64GB, ti kteri jeste pichaji vlastni manzelku, pak jen 4GB.
A co když je to škola a pro jistotu základní? Tam by na to děti koukat neměly.
A ono to ani ve firemní sféře není až taková prdel, jak tady zaznívá. Před pár lety obletělo asi nejen český internet video, které natočil o přestávce spolužák dívčiny, která se rozhodla, že si bude rozkročená na lavici hrát s pipinou. Pokud se dobře pamatuji, tak podle médií dívčině bylo 16 a vyhodili za to několik desítek lidí ze Škoda auta, protože z toho bylo šíření dětského porna.
To nevim, ale to i tak to tezko muze byt detske porno, jedna se o nezletile, ne o deti. Krome toho porad plati, ze ji nikdo k nicemu nenutil, pred kameru se cpala sama a snad i to video sama dala na svuj profil. Takze nevim, o co komu jde. V patnacti by meli lidi mit jistou davku svepravnosti, pokud nemaji, jejich problem.
Možná jsem to nenapsal úplně jasně. Lidi na tyhle stránky nechodí a když, tak občas nějaké YT, ale vždy si napřed udělají svou práci. Není tu problém, že by byli na webu místo práce. Je tu problém, že občas mohou přes linky, na které se dostanou různě (šikovně napsaný email, ..) doklikat na weby plné malware a všeho a někde to musím blokovat, když chci předcházet následkům. A proč neblokovat v první vlně rovnou ty problémové k práci nepotřebné stránky, když se jejich seznamy dají třeba do toho squidu sehnat, tj. velmi jednoduché řešení, které zabije 90% problémů hned v zárodku. Teď to nefunguje a proto celkem logická otázka, jak se to řeší, když nechci spoléhat jen/až na nějaký antivir na cílové stanici.
Na https jde pouzit v podstate jediny nastroj, a to ho desifrovat (dulezite je vyvarovat se desifrovani provozu do bank, apod., protoze to narazi na zakony). Desifrovat SSL je mozne pomoci podstrceni firemni "duveryhodne" certifikacni autority na zarizeni zamestnancu (napr. pomoci Active Directory), a pak realizovat v podstate man-in-the-middle utok pomoci podepisovani provozu mezi cilovym serverem a klientskou stanici. Jen pro zajimavost: nektere servery se "tvari" jako https, ale obrazky a videa stahuji pomoci http.
Presne toto nám teraz nasadili a hádame sa kvôli tomu s nimi. IMHO je to kompletne nezákonné. Nakoľko dôverná komunikácia nie je len s bankami ale i emailom, facebookom... Pri všetkom tomto komunikujú minimálne 2 strany a aj keď si zamestnávateľ "vynúti" súhlas zamestnancov, stále nemá súhlas druhej strany. Vystavuje sa tak hrozbe žaloby.
Mňa by skôr zaujímalo ako sa tomuto man-in-the-middle vyhnúť. Osobne mi je jedno, že sa nedostanem na facebook (aj tak ho nemám), nepotrebujem ísť ani na youtube, gmail... ale to že mi to bráni ísť aj na samotný google, to mi už vadí.
Malware este blokovat, ale ostatne sa lepsie robi osobne.
V malej firme, kde sa vsetci pozname, staci ist upozornit osobne dotycneho a vysvetlit mu dovody, pripadne to delegovat na sefa. Ak sa to nedeje prvykrat, tak treba cez stenu zakricat na dotycneho menom, nech vypne to porno.
Znova, to porno byl jen příklad, nikdo na něj ani jiné problémové stránky cíleně nechodí. Ale stane se, že přijde email od jejich známého "tohle musíš vidět", vede na zábavné video, to vypadá jako běžný videoserver ale jede někde z .ru, pak stačí jeden dva kliky okolo a už může být problém. Nebo vede na divnou stránku odkaz z výsledků vyhledávače, často sám koukám, kam se celkem nevinným dotazem dostanu. Antivir neuhlídá vše, stanice nechci omezovat tak, že si uživatel ani nezmění pozadí, byla to z mého pohledu celkem dobrá a jednoduše realizovatelná další vrstva ochrany.
Teď z hlavy nevím odkud to tahám, ale existují předpřipravené aktualizované seznamy (obsahují jak celé domény, subdomény, konkrétní url, rozsahy ip) rozdělené do skupin (porno, hazard, drogy, ...) a člověk si jen zaškrtne, které skupiny chce blokovat, případně se k tomu doplní whitelist, pokud bych chtěl např. blokovat sociální sítě, ale povolit LinkedIn. Zkusil jsem potom lézt všude možně a blokovalo to vše co jsem chtěl aby bylo blokované, zároveň nijak neomezovalo běžné věci. Není to určitě neprůstřelné, určitě neobsahuje vše (jako antivir nechytne vše), ale jak píšu, jako další vrstva to myslím fungovalo víc než dobře.
Vyuzijte navrhu DNS - prvni odpoved je spravna a na zbytek se nehledi. Tedy necht Vam v siti bezi nejaky daemon, ktery jakmile zachyti DNS query obsahujici "youtube" nebo proste neco z blacklistu, tak vrati IPcko nejake bedny se strankou "nelezte prosim na tenhle web, tady jste v praci", pripadne proste localhsot. easy peasy. Nemusite ani nekde nastavovat DNS servery, proste daemon posadte na sit a frcite :) samozrejme pak ale nebude fungovat DNSSEC, ktery se presne tomuhle snazi zabranit