** Piotr Smerda <piotrs00@go2hell.pl> wrote:
>>>> A za co pensje biorą?
>> (...)
>>> Za to by było bezpiecznie - bo przetunelowanie czegokolwiek po HTTPS czy
>>> SSH jest dość trudne do zatrzymania.
>> Trudne? Gdzie tam. Wystarczy zablokować wszelki ruch na zewnątrz i dopuścić
>> jedynie proxy dla HTTP. Banalne. Jak w takim przypadku "przetunelujesz"
>> cokolwiek po HTTPS czy SSH?
> No to teraz daj mi jakieś uzasadnienie dla którego mam puszczać tylko HTTP w
> firmie?
Uzasadnienie aby nie puszczać Skype (czy ogólnie tunelowania via HTTPS).
Przecież sam się o pytasz.
> Dodtakowym utrudnieniem jest to, że podmioty zewnętrzne, które współpracują z
> firmą używają HTTPS.
Jak sam napisałeś to tylko utrudnienie. Wobec tego dla tych podmiotów na
podstawie wniosków pracowników należy odblokować HTTPS CONNECT na proxy dla
wybranych docelowych adresów IP. A no i taki wniosek musi akceptować przełożony
pracownika i wszyscy święci. :)
> Jakieś pomysły?
Naprawdę blokowanie dostępu do stron to dla Ciebie jakaś abstrakcja?
>>> Dopiero niedawno np Cisco do swoich urządzeń dołączyło możliwość
>>> filtrowania Skype. Jest jakaś metoda by skype (bez wycinania domeny
>>> *skype*/adresów IP) odciąć np za pomocą Kerio albo ISA Server?
>> No jak Cisco czegoś nie da to nie ma bata... Skype od dawna daje się
>> blokować za pomocą systemów IPS.
> Skądże - z tym, że IPS/IDS to nie firewall,
System IPS jest jak najbardziej firewallem tylko reguły ma trochę inne. IDS
firewallem nie jest.
> to nie filtr pakietów typu iptables/ISA Server. Poza tym napisałem "np" a nie
> "że nie ma bata". Nie widzę powodu by instalowąć np u siebie snorta skoro
> mam sprzętowego IDSa, nie mam potrzeby bawić się w routery Junipera jeśli mam
> 2821/2851, nie chce dokładać iptables skoro mam ASA 5520.
Ja nie wiem czy w ogóle rozumiesz różnicę IDS, a IPS? Jeżeli rozumiesz to po co
wspominasz o tym, że masz IDS skoro przecież on niczego nie zablokuje? Jeżeli
natomiast masz IPS i nie pozwala on na odhaczenie ptaszkiem "blokujemy Skype"
to to jest dupa nie IPS.
-- + ' .-. . , * ) ) http://kosmosik.net/ . . '-' . kKReceived on Sat Feb 28 23:35:12 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sat 28 Feb 2009 - 23:42:01 MET