On Mon, 2 Mar 2009 01:44:36 +0100, Konrad Kosmowski wrote:
> ** Piotr Smerda <piotrs00@go2hell.pl> wrote:
>
>>> Jak sam napisałeś to tylko utrudnienie. Wobec tego dla tych podmiotów na
>>> podstawie wniosków pracowników należy odblokować HTTPS CONNECT na proxy dla
>>> wybranych docelowych adresów IP. A no i taki wniosek musi akceptować
>>> przełożony pracownika i wszyscy święci. :)
>
>> Oczywiście do każdej wykorzystywanej strony HTTPS
>
> Nawet niech ich będzie 50 - to duży problem?
>
Tak, jest to duży problem, bo do 50 stron to się na ogół nie ogranicza.
>> mam produkować tony papierów/zbierać podpisy/tworzyć systemy do zatwierdzania
>> itp? Chyba nie pracowałeś w międzynarodowej firmie.
>
> I pewnie jeszcze mi napiszesz, że w tej międzynarodowej korporacji Skype jest
> na porządku dziennym... :> BTW idź sobie do jakiegoś banku i zobacz jakie
> strony możesz otwierać. Właśnie te po SSL stanowią *zagrożenie* wycieku danych
> gdyż nie da się kontrolować transmisji.
>
Nie - skype nie jest na porządku dziennym. Rozwiązalismy to inaczej. Mnie
raczej interesuje strona techniczna blokowania ruchu Skype, niekoniecznie w
firmie.
A co do banków - widziałem sieci w różnych bankach. I zabezpieczenia
przeróżne były. Od sieci otwartych dla użytkowników, do takich, w których
nawet szefostwo musiało prosić o dostęp do internetu i to tylko do
wybranych adresów.
>>>> Jakieś pomysły?
>
>>> Naprawdę blokowanie dostępu do stron to dla Ciebie jakaś abstrakcja?
>
>> Skądże - technicznie da się to zrobić bez problemu. Pytanie jest inne - jak
>> to zrobić tak by to było
>> a) nieuciążliwe dla użytkowników i administratorów
>
> Użytkownik to ma pracować, a nie siedzieć na Allegro, webmailu czy innym
> czacie. Jeżeli dana strona faktycznie jest niezbędna do pracy (co określi
> przełożony danego użytkownika) to się ją odblokuje. Natomiast administrator
> jest po to aby to wykonywać i za to mu płacą.
>
Ależ oczywiście, że tak. Dlatego blokuje się odpowiednie strony i prowadzi
monitoring.
>> b) efektywne i szybkie
>> c) bezpieczne
>> d) skalowalne
>
> WebSense.
>
Mmmm jasne :) Równie dobrze mógłbyś poleciś squida z SARGiem albo innymi
skryptami, albo ISA Server z GFI WebMonitor. I do tego jakiś Snort,
nieprawdaż?
>> Skrót myślowy - myślałem o AIP-SSM 10/20 który jest jednocześnie IDS/IPS. A
>> tam w opcjach chyba raczej nie widziałem możliwości "odhaczenia ptaszkiem"
>> "Blokuj Skype".
>
> To jest do dupy skoro nie potrafi implementować polityki. Byle Snort czy
> IntruShield potrafi.
>
<sarkazm>
Jasne - i doskonale współpracuje z innymi urządzeniami sieciowymi. Wręcz
modelowo.
</sarkazm>
>> Czyli AIP-SSM 10/20 jest do dupy? Jeśli tak to poproszę o jakiś przykład
>> IDS/IPS "nie do dupy" który mi będzie bez problemu ze sprzętem Cisco, Dell i
>> Juniper pracował. Najlepiej "pudełko" 1U a nie jakiś open-source system na
>> serwer.
>
> Wiesz, że Ty zielonego pojęcia nie masz o systemach IPS/IDS to nie jest na nic
> dowód. Nie kompromituj się.
A skąd ten błyskotliwy wniosek? Widziałeś Ty kiedyś w działaniu ten moduł
czy polegasz tylko na marketingowym bełkocie ze stron? Popracuj trochę z
dużymi urządzeniami sieciowymi a nie serwerkami na linuksie+open source i
urządzeniami typu Linksys WRT54G a dopiero potem oceniaj innych.
I jakoś u mnie AIP doskonale działa z ASA i rozwiązaniami Cisco. Dywaguję o
Skype teoretycznie, bo problem jako taki u mnie w sieci nie istnieje.
-- Pozdrawiam PiotrekReceived on Mon Mar 2 18:20:04 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 02 Mar 2009 - 18:42:00 MET