** Piotr Smerda <piotrs00@go2hell.pl> wrote:
>>>> Jak sam napisałeś to tylko utrudnienie. Wobec tego dla tych podmiotów na
>>>> podstawie wniosków pracowników należy odblokować HTTPS CONNECT na proxy
>>>> dla wybranych docelowych adresów IP. A no i taki wniosek musi akceptować
>>>> przełożony pracownika i wszyscy święci. :)
>>> Oczywiście do każdej wykorzystywanej strony HTTPS
>> Nawet niech ich będzie 50 - to duży problem?
> Tak, jest to duży problem, bo do 50 stron to się na ogół nie ogranicza.
Może dla Ciebie. Dla mnie ACLka z 50 adresami to żaden problem. Poza tym
napisałeś "że podmioty zewnętrzne, które współpracują z firmą używają HTTPS" -
pracuję w dużej firmie (kilkadziesiąt tys. pracowników) i zapewniam Cię, że
umów z firmami zewnętrznymi dotyczącymi używania HTTPS nie ma więcej niż 50...
>>> mam produkować tony papierów/zbierać podpisy/tworzyć systemy do
>>> zatwierdzania itp? Chyba nie pracowałeś w międzynarodowej firmie.
>> I pewnie jeszcze mi napiszesz, że w tej międzynarodowej korporacji Skype
>> jest na porządku dziennym... :> BTW idź sobie do jakiegoś banku i zobacz
>> jakie strony możesz otwierać. Właśnie te po SSL stanowią *zagrożenie*
>> wycieku danych gdyż nie da się kontrolować transmisji.
> Nie - skype nie jest na porządku dziennym. Rozwiązalismy to inaczej. Mnie
> raczej interesuje strona techniczna blokowania ruchu Skype, niekoniecznie w
> firmie.
A co mnie Skype obchodzi? Napisałeś taką bzdurę "przetunelowanie czegokolwiek
po HTTPS czy SSH jest dość trudne do zatrzymania". Ja Ci mówię, że to banalne -
wystarczy wyciąć i puszczać tylko na zasadzie białej listy (a czy ta lista jest
duża czy mała i jak ją zarządzasz to inna kwestia). I tyle.
A Ty się produkujesz chuj wie o czym.
> A co do banków - widziałem sieci w różnych bankach. I zabezpieczenia
> przeróżne były. Od sieci otwartych dla użytkowników, do takich, w których
> nawet szefostwo musiało prosić o dostęp do internetu i to tylko do wybranych
> adresów.
O, a więc jednak da się? Jednak nie jest to niemożliwe i niewyobrażalne?
>>>>> Jakieś pomysły?
>>>> Naprawdę blokowanie dostępu do stron to dla Ciebie jakaś abstrakcja?
>>> Skądże - technicznie da się to zrobić bez problemu. Pytanie jest inne - jak
>>> to zrobić tak by to było a) nieuciążliwe dla użytkowników i administratorów
>> Użytkownik to ma pracować, a nie siedzieć na Allegro, webmailu czy innym
>> czacie. Jeżeli dana strona faktycznie jest niezbędna do pracy (co określi
>> przełożony danego użytkownika) to się ją odblokuje. Natomiast administrator
>> jest po to aby to wykonywać i za to mu płacą.
> Ależ oczywiście, że tak. Dlatego blokuje się odpowiednie strony i prowadzi
> monitoring.
>>> b) efektywne i szybkie c) bezpieczne d) skalowalne
>> WebSense.
> Mmmm jasne :) Równie dobrze mógłbyś poleciś squida z SARGiem albo innymi
> skryptami, albo ISA Server z GFI WebMonitor. I do tego jakiś Snort,
> nieprawdaż?
Nie bardzo. Sorry znowu udowadniasz swoje niskie pojęcie w temacie. Wytłumacz
mi jak za pomocą Snort/Squid/ISA Server (GFI nie tykałem) zrobić tak aby dana
klasa użytkowników mogła między 8-16 (przykładowo) przeglądać sobie swobodnie
stronki przez 30 minut (na zasadzie licznika)? Bo w WebSense to bez problemu.
:)
>>> Skrót myślowy - myślałem o AIP-SSM 10/20 który jest jednocześnie IDS/IPS. A
>>> tam w opcjach chyba raczej nie widziałem możliwości "odhaczenia ptaszkiem"
>>> "Blokuj Skype".
>> To jest do dupy skoro nie potrafi implementować polityki. Byle Snort czy
>> IntruShield potrafi.
> <sarkazm> Jasne - i doskonale współpracuje z innymi urządzeniami sieciowymi.
> Wręcz modelowo. </sarkazm>
A w czym on ma współpracować? Działa w trybie inline i tyle.
>>> Czyli AIP-SSM 10/20 jest do dupy? Jeśli tak to poproszę o jakiś przykład
>>> IDS/IPS "nie do dupy" który mi będzie bez problemu ze sprzętem Cisco, Dell
>>> i Juniper pracował. Najlepiej "pudełko" 1U a nie jakiś open-source system
>>> na serwer.
>> Wiesz, że Ty zielonego pojęcia nie masz o systemach IPS/IDS to nie jest na
>> nic dowód. Nie kompromituj się.
> A skąd ten błyskotliwy wniosek? Widziałeś Ty kiedyś w działaniu ten moduł czy
> polegasz tylko na marketingowym bełkocie ze stron? Popracuj trochę z dużymi
> urządzeniami sieciowymi a nie serwerkami na linuksie+open source i
> urządzeniami typu Linksys WRT54G a dopiero potem oceniaj innych.
Ja oceniam Ciebie po bzdurach, które wypisujesz na grupie. Nie mam zamiaru Ci
udowadniać z jakim sprzętem mam na co dzień bo przecież Ty wiesz lepiej i
używasz największych, więc zapewne WAN na całą Polskę z 5000 routerami Ci nie
robi, większe rzeczy widziałeś na pewno. :)
Zastanów się tylko czy kiedykolwiek w życiu dotykałeś w ogóle np. urządzeń
NetScout, wspomnianych IntruShield/WebShield, Tivoli Netcool, ArcSight.
Obstawiam, że zielonego pojęcia nie masz co to jest i jak (i gdzie) to działa.
> I jakoś u mnie AIP doskonale działa z ASA i rozwiązaniami Cisco.
Ale jak zablokować Skype musisz się zastnawiać. :)
> Dywaguję o Skype teoretycznie, bo problem jako taki u mnie w sieci nie
> istnieje.
Czy ja twierdzę, że istnieje? Weź się opamiętaj i wróć do swojej absurdalnej
tezy, która brzmiała "przetunelowanie czegokolwiek po HTTPS czy SSH jest dość
trudne do zatrzymania".
-- + ' .-. . , * ) ) http://kosmosik.net/ . . '-' . kKReceived on Wed Mar 4 00:30:07 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 04 Mar 2009 - 00:42:00 MET