** Piotr Smerda <piotrs00@go2hell.pl> wrote:
>> Może dla Ciebie. Dla mnie ACLka z 50 adresami to żaden problem. Poza tym
>> napisałeś "że podmioty zewnętrzne, które współpracują z firmą używają HTTPS"
>> - pracuję w dużej firmie (kilkadziesiąt tys. pracowników) i zapewniam Cię,
>> że umów z firmami zewnętrznymi dotyczącymi używania HTTPS nie ma więcej niż
>> 50...
> Może "Twoja" firma ogranicza się do 50 ... u "mnie" jest to _trochę_ więcej.
Czyli? 500? 5000? Wiesz ile to jest czy po prostu Ty piszesz (bo Ty dotykasz
duuuużych urząąąądzeń), że jest to więcej. No zastanów się na chłopski rozum
ile możesz mieć *umów* dotyczących produkcyjnego wykorzystania zewnętrznego
systemu via HTTPS.
Najpewniej będzie to bank, może klika systemów wymieniających dane, system
trackingu itd. - wymienisz więcej niż 20?
>>> Nie - skype nie jest na porządku dziennym. Rozwiązalismy to inaczej. Mnie
>>> raczej interesuje strona techniczna blokowania ruchu Skype, niekoniecznie w
>>> firmie.
>> A co mnie Skype obchodzi? Napisałeś taką bzdurę "przetunelowanie
>> czegokolwiek po HTTPS czy SSH jest dość trudne do zatrzymania". Ja Ci mówię,
>> że to banalne - wystarczy wyciąć i puszczać tylko na zasadzie białej listy
>> (a czy ta lista jest duża czy mała i jak ją zarządzasz to inna kwestia). I
>> tyle.
> OK - nie zgadzasz sie z tezą o problemach z zatrzymywaniem czegokolwiek po
> ssh/HTTPS. Twoja wola i Twoje prawo. Pomysł białej listy był rozwazany, ale w
> przypadku firmy rozsianej po całym świecie jest w realizacji trochę
> skomplikowany - bo w każdym oddziale czy to na Tajwanie czy w Indiach czy w
> Kanadzie musi być taka sama polityka dostępu do sieci. A to jest w tym
> konkretnym przypadku nie do zrealizowania - zbyt dużo procedur może
> sparaliżować działanie każdej firmy.
Nie widzę w tym nic skomplikowanego. Serio. W kontekście Twojego oddziału (bo
jak rozumiem nie zarządzasz całą tą siecią tylko jakimś regionalnym wydziałem
operacyjnym czy jak to nazwać) to po prostu implementujemy politykę
bezpieczeństwa i w razie konieczności (komuś nie działa) dopisujemy do białej
listy na podstawie wniosku (to nie musi być na papierze, ale ja akurat lubię
mieć jasno zdefiniowane i mieć dupokrytkę) - ktoś musi skorzystać z tunelowania
(w zasadzie użycie TLS implikuje tunelowanie) to jeżeli mu nie działa niech
zgłosi zgodnie z procedurą i stworzy się biała lista. W okresie przejściowym
można nie blokować, a tylko wykrywać te połączenia i je weryfikować.
Nie wmawiaj mi, że to jest duży problem.
>> A Ty się produkujesz chuj wie o czym.
> Piotr mnie ostrzegał, że zaczniesz bluzgać... Jak widać słusznie. Więcej
> kultury w Twoich wypowiedziach na pewno nikomu by nie zaszkodziło.
A ja Ci odpiszę, że pierdolą mnie Twoje wynurzenia o kulturze, dopiero jak
zacząłem bluzgać to przy okazji zrozumiałeś punkt bieżący. Dyskusji.
>>> A co do banków - widziałem sieci w różnych bankach. I zabezpieczenia
>>> przeróżne były. Od sieci otwartych dla użytkowników, do takich, w których
>>> nawet szefostwo musiało prosić o dostęp do internetu i to tylko do
>>> wybranych adresów.
>> O, a więc jednak da się? Jednak nie jest to niemożliwe i niewyobrażalne?
> Tak - da sie. W banku gdzie pracuje 200 osób, który ma 3-4 oddziały.
Gówno wiesz, gówno widziałeś. :)))
> Poza tym gdzie napisałem że jest to "niewyobrażalne i niemożliwe"?
Oj tak pisałeś, już mi się nie chce cofać w wątkach bo to bezpłodne jest.
>> Nie bardzo. Sorry znowu udowadniasz swoje niskie pojęcie w temacie.
>> Wytłumacz mi jak za pomocą Snort/Squid/ISA Server (GFI ie tykałem) zrobić
>> tak aby dana klasa użytkowników mogła między 8-16 (przykładowo) przeglądać
>> sobie swobodnie stronki przez 30 minut (na zasadzie licznika)? Bo w WebSense
>> to bez problemu. :)
> Na zasadzie licznika? Czyli co? Wchodzę na wp.pl i siedzę na stronie głównej
> przez 30 minut?
Na przykład tak.
> czy może w sumie transfery z domeny wp.pl zajmują mi 30
> minut?
Niekoniecznie tak. Zastanów się, pomyśl, może w końcu do tego dojdziesz, że da
się... W każdym razie WebSense tak ma i to sobie implementujemy...
> A może jeszcze coś innego? Jak chcesz liczyć 30 minut na zasadzie licznika?
Oj w prosty sposób:
1. Użytkownik otwiera stronę, która jest klasyfikowana jako niezwiązana z pracą.
2. Użytkownikowi wyświetla się monit - ta strona nie jest związana z pracą -
czy chcesz kontynuować przeglądanie (i inne informacje jakie tam chcesz
zamieścić)?
3. Każde kliknięcie otwiera sesję np. 1 minutową - jak otworzysz wp.pl i potem
przez minutę nie klikniesz dalej po wp.pl to odlicza Ci minutę.
A na przeglądanie masz 30 minut dziennie bo każdy ma swoje potrzeby (np.
sprawdzić kiedy jest otwarta przychodnia, wydrukować rozkład zajęć dziecka) i
my to rozumiemy, ale na te potrzeby ma 30 minut dziennie.
> Bo jeśli to pierwsze rozwiązanie - zaczynam np o 12:07 i kończę o 12:37 - to
> na squid załatwiam jednym skryptem.
Jasne. Pewnie dlatego WebSense jest stosowany w większości amerykańskich
urzędów, w marynarce amerykańskiej itd. I Ty mi coś sugerowałeś na temat tego,
że ja się znam na Linuksach, ale nie wiem do czego służą komercyjne systemy...
dobrze, że nie napisałeś jeszcze, że mam pryszcze i mieszkam u rodziców w
garażu.
Serio nie mam zamiaru wyjaśniać Ci tutaj jak działają duże systemy tego typu,
studium przypadków jest u nich na stronach. Google pewnie użyć potrafisz.
>>> A skąd ten błyskotliwy wniosek? Widziałeś Ty kiedyś w działaniu ten moduł
>>> czy polegasz tylko na marketingowym bełkocie ze stron? Popracuj trochę z
>>> dużymi urządzeniami sieciowymi a nie serwerkami na linuksie+open source i
>>> urządzeniami typu Linksys WRT54G a dopiero potem oceniaj innych.
>> Ja oceniam Ciebie po bzdurach, które wypisujesz na grupie. Nie mam zamiaru
>> Ci udowadniać z jakim sprzętem mam na co dzień bo przecież Ty wiesz lepiej i
>> używasz największych, więc zapewne WAN na całą Polskę z 5000 routerami Ci
>> nie robi, większe rzeczy widziałeś na pewno. :)
> WAN na Polskę ze 500 routerami to jest coś. Wiem z czym pracuję, wiem z czym
> pracują klienci. A Ty po prostu boisz się pokazać z czym naprawdę pracujesz.
No ja drżę. Normalnie sram w gacie. :)))
> Bo wygooglanie kilku nazw brzmiących "profesjonalnie" to nic trudnego a to co
> poniżej przedstawiłeś tak właśnie wygląda.
Tak, tak. :)
>> Zastanów się tylko czy kiedykolwiek w życiu dotykałeś w ogóle np. urządzeń
>> NetScout, wspomnianych IntruShield/WebShield, Tivoli Netcool, ArcSight.
>> Obstawiam, że zielonego pojęcia nie masz co to jest i jak (i gdzie) to
>> działa.
> O jaką stawkę chcesz się założyć? :) Ty oczywiście wiesz gdzie i jak to
> działa. Bo to "co to jest' można np na wikipedii znaleźć.
No wiem jak to działa i mogę sobie iść tego dotknąć, ty sobie czytaj w
Wikipedii.
--
+ ' .-. .
, * ) )
http://kosmosik.net/ . . '-' . kK
Received on Tue Mar 10 23:05:18 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 10 Mar 2009 - 23:42:00 MET