On Wed, 4 Mar 2009 00:26:44 +0100, Konrad Kosmowski wrote:
> ** Piotr Smerda <piotrs00@go2hell.pl> wrote:
>
>>>>> Jak sam napisałeś to tylko utrudnienie. Wobec tego dla tych podmiotów na
>>>>> podstawie wniosków pracowników należy odblokować HTTPS CONNECT na proxy
>>>>> dla wybranych docelowych adresów IP. A no i taki wniosek musi akceptować
>>>>> przełożony pracownika i wszyscy święci. :)
>
>>>> Oczywiście do każdej wykorzystywanej strony HTTPS
>
>>> Nawet niech ich będzie 50 - to duży problem?
>
>> Tak, jest to duży problem, bo do 50 stron to się na ogół nie ogranicza.
>
> Może dla Ciebie. Dla mnie ACLka z 50 adresami to żaden problem. Poza tym
> napisałeś "że podmioty zewnętrzne, które współpracują z firmą używają HTTPS" -
> pracuję w dużej firmie (kilkadziesiąt tys. pracowników) i zapewniam Cię, że
> umów z firmami zewnętrznymi dotyczącymi używania HTTPS nie ma więcej niż 50...
>
Może "Twoja" firma ogranicza się do 50 ... u "mnie" jest to _trochę_
więcej.
>> Nie - skype nie jest na porządku dziennym. Rozwiązalismy to inaczej. Mnie
>> raczej interesuje strona techniczna blokowania ruchu Skype, niekoniecznie w
>> firmie.
>
> A co mnie Skype obchodzi? Napisałeś taką bzdurę "przetunelowanie czegokolwiek
> po HTTPS czy SSH jest dość trudne do zatrzymania". Ja Ci mówię, że to banalne -
> wystarczy wyciąć i puszczać tylko na zasadzie białej listy (a czy ta lista jest
> duża czy mała i jak ją zarządzasz to inna kwestia). I tyle.
>
OK - nie zgadzasz sie z tezą o problemach z zatrzymywaniem czegokolwiek po
ssh/HTTPS. Twoja wola i Twoje prawo. Pomysł białej listy był rozwazany, ale
w przypadku firmy rozsianej po całym świecie jest w realizacji trochę
skomplikowany - bo w każdym oddziale czy to na Tajwanie czy w Indiach czy w
Kanadzie musi być taka sama polityka dostępu do sieci. A to jest w tym
konkretnym przypadku nie do zrealizowania - zbyt dużo procedur może
sparaliżować działanie każdej firmy.
> A Ty się produkujesz chuj wie o czym.
>
Piotr mnie ostrzegał, że zaczniesz bluzgać... Jak widać słusznie. Więcej
kultury w Twoich wypowiedziach na pewno nikomu by nie zaszkodziło.
>> A co do banków - widziałem sieci w różnych bankach. I zabezpieczenia
>> przeróżne były. Od sieci otwartych dla użytkowników, do takich, w których
>> nawet szefostwo musiało prosić o dostęp do internetu i to tylko do wybranych
>> adresów.
>
> O, a więc jednak da się? Jednak nie jest to niemożliwe i niewyobrażalne?
>
Tak - da sie. W banku gdzie pracuje 200 osób, który ma 3-4 oddziały. Poza
tym gdzie napisałem że jest to "niewyobrażalne i niemożliwe"?
>
>>> WebSense.
>
>> Mmmm jasne :) Równie dobrze mógłbyś poleciś squida z SARGiem albo innymi
>> skryptami, albo ISA Server z GFI WebMonitor. I do tego jakiś Snort,
>> nieprawdaż?
>
> Nie bardzo. Sorry znowu udowadniasz swoje niskie pojęcie w temacie. Wytłumacz
> mi jak za pomocą Snort/Squid/ISA Server (GFI nie tykałem) zrobić tak aby dana
> klasa użytkowników mogła między 8-16 (przykładowo) przeglądać sobie swobodnie
> stronki przez 30 minut (na zasadzie licznika)? Bo w WebSense to bez problemu.
> :)
>
Na zasadzie licznika? Czyli co? Wchodzę na wp.pl i siedzę na stronie
głównej przez 30 minut? czy może w sumie transfery z domeny wp.pl zajmują
mi 30 minut? A może jeszcze coś innego? Jak chcesz liczyć 30 minut na
zasadzie licznika? Bo jeśli to pierwsze rozwiązanie - zaczynam np o 12:07 i
kończę o 12:37 - to na squid załatwiam jednym skryptem.
>
>> A skąd ten błyskotliwy wniosek? Widziałeś Ty kiedyś w działaniu ten moduł czy
>> polegasz tylko na marketingowym bełkocie ze stron? Popracuj trochę z dużymi
>> urządzeniami sieciowymi a nie serwerkami na linuksie+open source i
>> urządzeniami typu Linksys WRT54G a dopiero potem oceniaj innych.
>
> Ja oceniam Ciebie po bzdurach, które wypisujesz na grupie. Nie mam zamiaru Ci
> udowadniać z jakim sprzętem mam na co dzień bo przecież Ty wiesz lepiej i
> używasz największych, więc zapewne WAN na całą Polskę z 5000 routerami Ci nie
> robi, większe rzeczy widziałeś na pewno. :)
>
WAN na Polskę ze 500 routerami to jest coś. Wiem z czym pracuję, wiem z
czym pracują klienci. A Ty po prostu boisz się pokazać z czym naprawdę
pracujesz. Bo wygooglanie kilku nazw brzmiących "profesjonalnie" to nic
trudnego a to co poniżej przedstawiłeś tak właśnie wygląda.
> Zastanów się tylko czy kiedykolwiek w życiu dotykałeś w ogóle np. urządzeń
> NetScout, wspomnianych IntruShield/WebShield, Tivoli Netcool, ArcSight.
> Obstawiam, że zielonego pojęcia nie masz co to jest i jak (i gdzie) to działa.
>
O jaką stawkę chcesz się założyć? :) Ty oczywiście wiesz gdzie i jak to
działa. Bo to "co to jest' można np na wikipedii znaleźć.
>> I jakoś u mnie AIP doskonale działa z ASA i rozwiązaniami Cisco.
>
> Ale jak zablokować Skype musisz się zastnawiać. :)
>
Nie muszę - u mnie skype w sieci nie działa.
-- Pozdrawiam PiotrekReceived on Wed Mar 4 07:15:11 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 04 Mar 2009 - 07:42:01 MET