On Sat, 28 Feb 2009 23:33:10 +0100, Konrad Kosmowski wrote:
> ** Piotr Smerda <piotrs00@go2hell.pl> wrote:
>
>>>>> A za co pensje biorą?
>
>>> (...)
>
>>>> Za to by było bezpiecznie - bo przetunelowanie czegokolwiek po HTTPS czy
>>>> SSH jest dość trudne do zatrzymania.
>
>>> Trudne? Gdzie tam. Wystarczy zablokować wszelki ruch na zewnątrz i dopuścić
>>> jedynie proxy dla HTTP. Banalne. Jak w takim przypadku "przetunelujesz"
>>> cokolwiek po HTTPS czy SSH?
>
>> No to teraz daj mi jakieś uzasadnienie dla którego mam puszczać tylko HTTP w
>> firmie?
>
> Uzasadnienie aby nie puszczać Skype (czy ogólnie tunelowania via HTTPS).
> Przecież sam się o pytasz.
>
>> Dodtakowym utrudnieniem jest to, że podmioty zewnętrzne, które współpracują z
>> firmą używają HTTPS.
>
> Jak sam napisałeś to tylko utrudnienie. Wobec tego dla tych podmiotów na
> podstawie wniosków pracowników należy odblokować HTTPS CONNECT na proxy dla
> wybranych docelowych adresów IP. A no i taki wniosek musi akceptować przełożony
> pracownika i wszyscy święci. :)
>
Oczywiście do każdej wykorzystywanej strony HTTPS mam produkować tony
papierów/zbierać podpisy/tworzyć systemy do zatwierdzania itp? Chyba nie
pracowałeś w międzynarodowej firmie.
>> Jakieś pomysły?
>
> Naprawdę blokowanie dostępu do stron to dla Ciebie jakaś abstrakcja?
>
Skądże - technicznie da się to zrobić bez problemu. Pytanie jest inne - jak
to zrobić tak by to było
a) nieuciążliwe dla użytkowników i administratorów
b) efektywne i szybkie
c) bezpieczne
d) skalowalne
>>>> Dopiero niedawno np Cisco do swoich urządzeń dołączyło możliwość
>>>> filtrowania Skype. Jest jakaś metoda by skype (bez wycinania domeny
>>>> *skype*/adresów IP) odciąć np za pomocą Kerio albo ISA Server?
>
>>> No jak Cisco czegoś nie da to nie ma bata... Skype od dawna daje się
>>> blokować za pomocą systemów IPS.
>
>> Skądże - z tym, że IPS/IDS to nie firewall,
>
> System IPS jest jak najbardziej firewallem tylko reguły ma trochę inne. IDS
> firewallem nie jest.
>
>> to nie filtr pakietów typu iptables/ISA Server. Poza tym napisałem "np" a nie
>> "że nie ma bata". Nie widzę powodu by instalowąć np u siebie snorta skoro
>> mam sprzętowego IDSa, nie mam potrzeby bawić się w routery Junipera jeśli mam
>> 2821/2851, nie chce dokładać iptables skoro mam ASA 5520.
>
> Ja nie wiem czy w ogóle rozumiesz różnicę IDS, a IPS? Jeżeli rozumiesz to po co
> wspominasz o tym, że masz IDS skoro przecież on niczego nie zablokuje? Jeżeli
> natomiast masz IPS i nie pozwala on na odhaczenie ptaszkiem "blokujemy Skype"
> to to jest dupa nie IPS.
Skrót myślowy - myślałem o AIP-SSM 10/20 który jest jednocześnie IDS/IPS. A
tam w opcjach chyba raczej nie widziałem możliwości "odhaczenia ptaszkiem"
"Blokuj Skype".
Czyli AIP-SSM 10/20 jest do dupy? Jeśli tak to poproszę o jakiś przykład
IDS/IPS "nie do dupy" który mi będzie bez problemu ze sprzętem Cisco, Dell
i Juniper pracował. Najlepiej "pudełko" 1U a nie jakiś open-source system
na serwer.
-- Pozdrawiam PiotrekReceived on Sun Mar 1 13:00:05 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 01 Mar 2009 - 13:42:01 MET