Re: [lameriada] Zdalny Pulpit

Autor: Konrad Kosmowski <konrad_at_kosmosik.net>
Data: Sat 28 Feb 2009 - 23:33:10 MET
Message-ID: <6mqo76-pqv.ln1@kosmosik.net>
Content-Type: text/plain; charset=ISO-8859-2

** Piotr Smerda <piotrs00@go2hell.pl> wrote:

>>>> A za co pensje biorą?

>> (...)

>>> Za to by było bezpiecznie - bo przetunelowanie czegokolwiek po HTTPS czy
>>> SSH jest dość trudne do zatrzymania.

>> Trudne? Gdzie tam. Wystarczy zablokować wszelki ruch na zewnątrz i dopuścić
>> jedynie proxy dla HTTP. Banalne. Jak w takim przypadku "przetunelujesz"
>> cokolwiek po HTTPS czy SSH?

> No to teraz daj mi jakieś uzasadnienie dla którego mam puszczać tylko HTTP w
> firmie?

Uzasadnienie aby nie puszczać Skype (czy ogólnie tunelowania via HTTPS).
Przecież sam się o pytasz.

> Dodtakowym utrudnieniem jest to, że podmioty zewnętrzne, które współpracują z
> firmą używają HTTPS.

Jak sam napisałeś to tylko utrudnienie. Wobec tego dla tych podmiotów na
podstawie wniosków pracowników należy odblokować HTTPS CONNECT na proxy dla
wybranych docelowych adresów IP. A no i taki wniosek musi akceptować przełożony
pracownika i wszyscy święci. :)

> Jakieś pomysły?

Naprawdę blokowanie dostępu do stron to dla Ciebie jakaś abstrakcja?

>>> Dopiero niedawno np Cisco do swoich urządzeń dołączyło możliwość
>>> filtrowania Skype. Jest jakaś metoda by skype (bez wycinania domeny
>>> *skype*/adresów IP) odciąć np za pomocą Kerio albo ISA Server?

>> No jak Cisco czegoś nie da to nie ma bata... Skype od dawna daje się
>> blokować za pomocą systemów IPS.

> Skądże - z tym, że IPS/IDS to nie firewall,

System IPS jest jak najbardziej firewallem tylko reguły ma trochę inne. IDS
firewallem nie jest.

> to nie filtr pakietów typu iptables/ISA Server. Poza tym napisałem "np" a nie
> "że nie ma bata". Nie widzę powodu by instalowąć np u siebie snorta skoro
> mam sprzętowego IDSa, nie mam potrzeby bawić się w routery Junipera jeśli mam
> 2821/2851, nie chce dokładać iptables skoro mam ASA 5520.

Ja nie wiem czy w ogóle rozumiesz różnicę IDS, a IPS? Jeżeli rozumiesz to po co
wspominasz o tym, że masz IDS skoro przecież on niczego nie zablokuje? Jeżeli
natomiast masz IPS i nie pozwala on na odhaczenie ptaszkiem "blokujemy Skype"
to to jest dupa nie IPS. 

-- 
    +                                 '                      .-.     .
                               ,                         *    ) )
  http://kosmosik.net/                     .           .     '-'  . kK
Received on Sat Feb 28 23:35:12 2009

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sat 28 Feb 2009 - 23:42:01 MET