форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Скрипты, настройки и файлы конфигурации. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Внутренняя безопасность: запрещение туннеля через Squid."

Сообщение от Сидякин Виталий on 18-Ноя-02, 10:23

"Умные" юзера скачали и установили туннелизирующий socks сервер на свои машины. И теперь, несмотря на все запреты ipchains и squid, лазят где попало :((( Работает он по HTTP порту, squid добросовестно фиксирует это в логах. Конечно, я могу запрещать адреса, по которым он коннектится, но не сидеть же мне целыми днями за просмотром логов, выискивая все новые и новые адреса. И где гарантия того, что в следующий раз они не полезут через pop3 или smtp, логи которых не ведутся? Кто-нибудь боролся с подобным? Заранее спасибо.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "RE: Внутренняя безопасность: запрещение туннеля через Squid."

Сообщение от admin on 18-Ноя-02, 12:31

>"Умные" юзера скачали и установили туннелизирующий socks сервер на свои машины. И >теперь, несмотря на все запреты ipchains и squid, лазят где попало >:((( >Работает он по HTTP порту, squid добросовестно фиксирует это в логах. Конечно, >я могу запрещать адреса, по которым он коннектится, но не сидеть >же мне целыми днями за просмотром логов, выискивая все новые и >новые адреса. И где гарантия того, что в следующий раз они >не полезут через pop3 или smtp, логи которых не ведутся? >Кто-нибудь боролся с подобным? >Заранее спасибо. Самый верный и быстрый способ. 1. Отрезаешь провода на которых сидят "Умные" юзера 2. Закрываешь серверную и идешь пить пиво/водка. 3. Возвращаешься через 2 часа (но не раньше) 4. Общаешься с "Умные" юзера, попутно вымогая пиво/водка. 5. Получая желаемое, закрываешь серверную и идешь домой. 6. В ответ на вопли "Умные" юзера, рассказываешь про вспышку на солнце. 7. Восстанавливаешь провода, но не раньше, чем через 2 суток. Неверный способ. Используешь redirector squid пропускает через него stdin, а затем читает его обратно. В redirector пишешь что нибудь типа: while (<>) { ($url, $who, $ident, $method) = /^(\S+) (\S+/) (\S+)$); Смотришь все это дело и если видишь, что запрос сделан через socks, то $url="место, где лежит какая нибудь фигня"; print $url; } Подробнее смотри http://squid.opennet.ru/redirect.html

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	2. "RE: Внутренняя безопасность: запрещение туннеля через Squid."
	Сообщение от uzna on 20-Фев-03, 14:32
	пробовол использовать аутентификацию через ncsa и подобные модули?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Внутренняя безопасность: запрещение туннеля через Squid."

Сообщение от poige on 04-Апр-03, 15:31

>"Умные" юзера скачали и установили туннелизирующий socks сервер на свои машины. И >теперь, несмотря на все запреты ipchains и squid, лазят где попало >:((( >Работает он по HTTP порту, squid добросовестно фиксирует это в логах. Конечно, >я могу запрещать адреса, по которым он коннектится, но не сидеть >же мне целыми днями за просмотром логов, выискивая все новые и >новые адреса. И где гарантия того, что в следующий раз они >не полезут через pop3 или smtp, логи которых не ведутся? >Кто-нибудь боролся с подобным? >Заранее спасибо. С чем бороться? С тем, что пользователи обошли запреты? Если да, то наиболее эффективное решение это меры административные, разумеется. Но если главное не это, а уверенность, что запреты не обойдут даже если специально будут пытаться, то нужно использовать принцип "default deny". И разрешать только те хосты, которые нужны, администраторы которых тебе пообещают (подпишут соглашение), что у них только "порядочные" WEB-сервера (без тунелей) и ничего более. Не забудь пункты про ответственность, порядок оценки и возмещения ущерба, обрати внимание на форсмажорные обс-ва. ;-) Кстати, как именно работает этот тунель? Он случайно не метод CONNECT использует? :-) Как называется их софтина? /poige -- http://www.morning.ru/poige/

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	4. "Внутренняя безопасность: запрещение туннеля через Squid."
	Сообщение от butcher on 09-Апр-03, 15:07
	ИМНО httpport работает следующим образом: т.к. прога не бесплатная, то в инете стоит сервер, который обслуживает этих клиентов (httpport), те коннектятся к нему, говорят что и куда им нужно, тот, соответственно, пропускает через себя все запросы и ответы преобразует в HTTP траффик. Выводы, определяем куда в инете лезет эта прога и DENY на его IP.. точно не уверен, но ИМНО должно помочь..
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	5. "Внутренняя безопасность: запрещение туннеля через Squid."
	Сообщение от Сидякин Виталий on 09-Апр-03, 18:02
	>Выводы, определяем куда в инете лезет эта прога и DENY на его >IP.. >точно не уверен, но ИМНО должно помочь.. Эх... Заблочил один ip, так она на другой полезла. Пришлось действовать методом убеждения, что ставить такие проги неправильно, и что во второй раз про эту неправильность будет кое-кто "повыше" меня объяснять. Подействовало... Но не обезопасило на все 100... Не могу же я ежедневно тонны логов просматривать.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	6. "Внутренняя безопасность: запрещение туннеля через Squid."
	Сообщение от Alex on 04-Сен-03, 21:59
	>>Выводы, определяем куда в инете лезет эта прога и DENY на его >>IP.. >>точно не уверен, но ИМНО должно помочь.. > >Эх... Заблочил один ip, так она на другой полезла. >Пришлось действовать методом убеждения, что ставить такие проги неправильно, и что во >второй раз про эту неправильность будет кое-кто "повыше" меня объяснять. Подействовало... >Но не обезопасило на все 100... >Не могу же я ежедневно тонны логов просматривать. Интересная тема :) В принципе, здесь все уже сказали из того что я мог добавить : единственный способ борьбы - административный. Могу только сказать, что серверная часть программы для обхода firewall-а не обязательно может работать только как fake httpd на 80 порту. Некоторое время назад я написал похожую программу, в которой сервером является CGI скрипт, позволяющий делать туннели для чего угодно, бегающего в TCP или UDP. http://gray-world.net - firepass. Alex
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	7. "Внутренняя безопасность: запрещение туннеля через Squid."
	Сообщение от Serg on 10-Дек-03, 21:30
	у меня в универе подобная проблема :) Сам являюсь таким юзером:) Ка я понимаю, почему бы просто не запретить метод Connect? или разрешить его только для SSL? кстати, на днях скачал, метров 200. Немного пожадничал. результат: заблочили https-proxy И кстати HTTport теперь не создаёт туннели с другими подобными проксями..не онимаю, как админы могли это зашить?? это же нереально? ну если запретить метод Коннект - это ведь не выход...остаётся GET, а его ведь не закрыть :))
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	8. "Внутренняя безопасность: запрещение туннеля через Squid."
	Сообщение от Nikolaev_D on 19-Янв-04, 22:46
	>у меня в универе подобная проблема :) >кстати, на днях скачал, метров 200. А могут и поймать, и припать статью по УК. Взрослее надо быть.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "Внутренняя безопасность: запрещение туннеля через Squid."

Сообщение от baka on 23-Янв-04, 17:36

Скажите пожалуйста, как для сквида выглядит работа НТТР-туннеля? Как отражается в логах?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	10. "Внутренняя безопасность: запрещение туннеля через Squid."
	Сообщение от Nikolaev_D on 10-Фев-04, 22:24
	>Скажите пожалуйста, как для сквида выглядит работа НТТР-туннеля? Как отражается в логах? > а некий запрос по некому урлу. и все.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	11. "Внутренняя безопасность: запрещение туннеля через Squid."
	Сообщение от ase (ok) on 22-Янв-06, 04:00
	Можно поступить и несколько иначе. Технически-административно. Сделать на проксе группу - разрешены только определенные сайты, на остальные служебка со списком сайтов. Админ просматривает, и если ничего критичного нет, то группе разрешает. На остальные сайты - deny. Итак. Провинившегося юзера заносим в такую группу. После помещения трех четырех юзеров в эту группу, как правило "умных любителей" становится на порядок меньше.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	12. "Внутренняя безопасность: запрещение туннеля через Squid."
	Сообщение от Сергей (??) on 27-Фев-06, 00:18
	>>Скажите пожалуйста, как для сквида выглядит работа НТТР-туннеля? Как отражается в логах? >> >а некий запрос по некому урлу. и все. не совсем. единичный запрос именно так и выглядит - запрос по некому урлу и всё. но при _импользовании_ (реальном) такого туннеля таких запросов десятки и сотни. соответственно, отлавливается элементарной статистикой посещений. Мы ведь люди взрослые, правда? и за логами нашего прокси-сервера всё-таки следим ... А вообще вопрос организационный - если есть распоряжение "нельзя", то нельзя. и админ может либо блокировать такие ..., либо просто сообщать "по инстанции" а если распоряжений нет - можно от пользователей и по фейсу канделябром схлопотать. Ибо называется это уже иначе - "самоуправство админа" и "беспредел".
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]