** Piotr Smerda <piotrs00@go2hell.pl> wrote:
>> Jak sam napisałeś to tylko utrudnienie. Wobec tego dla tych podmiotów na
>> podstawie wniosków pracowników należy odblokować HTTPS CONNECT na proxy dla
>> wybranych docelowych adresów IP. A no i taki wniosek musi akceptować
>> przełożony pracownika i wszyscy święci. :)
> Oczywiście do każdej wykorzystywanej strony HTTPS
Nawet niech ich będzie 50 - to duży problem?
> mam produkować tony papierów/zbierać podpisy/tworzyć systemy do zatwierdzania
> itp? Chyba nie pracowałeś w międzynarodowej firmie.
I pewnie jeszcze mi napiszesz, że w tej międzynarodowej korporacji Skype jest
na porządku dziennym... :> BTW idź sobie do jakiegoś banku i zobacz jakie
strony możesz otwierać. Właśnie te po SSL stanowią *zagrożenie* wycieku danych
gdyż nie da się kontrolować transmisji.
>>> Jakieś pomysły?
>> Naprawdę blokowanie dostępu do stron to dla Ciebie jakaś abstrakcja?
> Skądże - technicznie da się to zrobić bez problemu. Pytanie jest inne - jak
> to zrobić tak by to było
> a) nieuciążliwe dla użytkowników i administratorów
Użytkownik to ma pracować, a nie siedzieć na Allegro, webmailu czy innym
czacie. Jeżeli dana strona faktycznie jest niezbędna do pracy (co określi
przełożony danego użytkownika) to się ją odblokuje. Natomiast administrator
jest po to aby to wykonywać i za to mu płacą.
> b) efektywne i szybkie
> c) bezpieczne
> d) skalowalne
WebSense.
>>>>> Dopiero niedawno np Cisco do swoich urządzeń dołączyło możliwość
>>>>> filtrowania Skype. Jest jakaś metoda by skype (bez wycinania domeny
>>>>> *skype*/adresów IP) odciąć np za pomocą Kerio albo ISA Server?
>>>> No jak Cisco czegoś nie da to nie ma bata... Skype od dawna daje się
>>>> blokować za pomocą systemów IPS.
>>> Skądże - z tym, że IPS/IDS to nie firewall,
>> System IPS jest jak najbardziej firewallem tylko reguły ma trochę inne. IDS
>> firewallem nie jest.
>>> to nie filtr pakietów typu iptables/ISA Server. Poza tym napisałem "np" a nie
>>> "że nie ma bata". Nie widzę powodu by instalowąć np u siebie snorta skoro
>>> mam sprzętowego IDSa, nie mam potrzeby bawić się w routery Junipera jeśli mam
>>> 2821/2851, nie chce dokładać iptables skoro mam ASA 5520.
>> Ja nie wiem czy w ogóle rozumiesz różnicę IDS, a IPS? Jeżeli rozumiesz to po
>> co wspominasz o tym, że masz IDS skoro przecież on niczego nie zablokuje?
>> Jeżeli natomiast masz IPS i nie pozwala on na odhaczenie ptaszkiem
>> "blokujemy Skype" to to jest dupa nie IPS.
> Skrót myślowy - myślałem o AIP-SSM 10/20 który jest jednocześnie IDS/IPS. A
> tam w opcjach chyba raczej nie widziałem możliwości "odhaczenia ptaszkiem"
> "Blokuj Skype".
To jest do dupy skoro nie potrafi implementować polityki. Byle Snort czy
IntruShield potrafi.
> Czyli AIP-SSM 10/20 jest do dupy? Jeśli tak to poproszę o jakiś przykład
> IDS/IPS "nie do dupy" który mi będzie bez problemu ze sprzętem Cisco, Dell i
> Juniper pracował. Najlepiej "pudełko" 1U a nie jakiś open-source system na
> serwer.
Wiesz, że Ty zielonego pojęcia nie masz o systemach IPS/IDS to nie jest na nic
dowód. Nie kompromituj się.
--
+ ' .-. .
, * ) )
http://kosmosik.net/ . . '-' . kK
Received on Mon Mar 2 01:45:12 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 02 Mar 2009 - 02:42:01 MET