URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 10205
[ Назад ]

Исходное сообщение
"Выявление прокси"

Отправлено Star__ , 12-Ноя-01 20:07 
Подскажите, есть ли уже отработанный метод выявления факта установления пользователями прокси серверов? Если есть подскажите как, а то кроме сканирования портов юзверя, ничего дельного придумать не могу.

Содержание

Сообщения в этом обсуждении
"RE: Выявление прокси"
Отправлено mrAngel , 13-Ноя-01 14:37 
а тебе это надо? дык коль ты пров тоды понятно, трафик упал, денег нету, а так вроде радоваться надо
cnc.chuvashia.ru?

"RE: Выявление прокси"
Отправлено Star__ , 14-Ноя-01 18:48 
>а тебе это надо? дык коль
>ты пров тоды понятно, трафик
>упал, денег нету, а так
>вроде радоваться надо
>cnc.chuvashia.ru?

Ну это организация с довольно таки большой сетью. И у начальства такая политика, чтобы инет был только у тех у кого он должен быть. И ему (начальству) очень не нравится когда злобные юзвери ставят у себя прокси и расшаривают инет, после чего пол сети, вместо работы, сидит в чатах и т.д.
Это одна сторона вопроса, другая - юзверь, установивший прокси, начинает больше выкачивать, чем забивает канал - это уже не нравится мне (про delay_pools знаю, просьба не напоминать).
Так посоветуйте же всё-таки как всё это выявлять и бороться - поверьте очень очень надо.


"RE: Выявление прокси"
Отправлено Alex , 14-Ноя-01 19:30 
>Ну это организация с довольно таки
>большой сетью. И у начальства
>такая политика, чтобы инет был
>только у тех у кого
>он должен быть. И ему
>(начальству) очень не нравится когда
>злобные юзвери ставят у себя
>прокси и расшаривают инет, после
>чего пол сети, вместо работы,
>сидит в чатах и т.д.
>
>Это одна сторона вопроса, другая -
>юзверь, установивший прокси, начинает больше
>выкачивать, чем забивает канал -
>это уже не нравится мне
>(про delay_pools знаю, просьба не
>напоминать).
>Так посоветуйте же всё-таки как всё
>это выявлять и бороться -
>поверьте очень очень надо.

delay pool очень правильная фитча. Кроме того можно поставить ipa, и при превышении какого-то определенного траффика по порту 3128 (или какой он там у Вас) рубить на сегодня. Ночью скриптом обновлять. Есть еще один вариант - ограничение кол-ва одновременных сессий. чтоб максимум 2 експлорера, или 3 и все. OOPS это умеет, кстати, очень хороший прокси-сервер.


"RE: Выявление прокси"
Отправлено mrAngel , 14-Ноя-01 20:37 
"maxconn" for squid...

"RE: Выявление прокси"
Отправлено Star__ , 15-Ноя-01 11:53 
Maxconn это конечно классно, но этот acl позволяет защититься от использования проксей, а вопрос звучал как выявить установленную проксю у юзверя. Помогите плиз - ну уж очень нужен совет.
Чем ещё воспользоваться, кроме сканирования портов?

"RE: Выявление прокси"
Отправлено Star__ , 19-Ноя-01 13:47 
>"maxconn" for squid...


Неужели никто не может ничего посоветовать. :-(((
Научите плиз выявлять прокси. Поверьте - очень, очень надо.


"RE: Выявление прокси"
Отправлено qw , 20-Ноя-01 13:24 

"RE: Выявление прокси"
Отправлено Andrey , 14-Дек-01 13:46 
>>"maxconn" for squid...
>
>
>Неужели никто не может ничего посоветовать.
>:-(((
>Научите плиз выявлять прокси. Поверьте -
>очень, очень надо.


Вводишь правила работы в сети с запретом установки программ. Даешь на подпись начальству, потом каждый пользователь расписывается в журнальчике. Потом административные наказания вплоть до увольнения. Помогает. А так отследил кто какой объем качает, прошел на его рабочее место и проверил, что стоит. Обычно наказание в половину з/п хватает раз и навсегда. У нас в фирме у юзеров даже дисководов нет. Ибо не надо.
Весь необходимый софт лежит на серваках.

А вообще тема не разрешенного ПО уже как-то поднималась здесь. И иного решения вроде и нет. :(


"RE: Выявление прокси"
Отправлено BartSimpson , 21-Дек-01 15:08 
Почитал, почитал и думаю, ежели не могем поиметь это спереди, так могет сзади отъимеем.

Поставим маханькую прогу на каждом компе, чтоб в определенных условиях, мыло слала.
У меня был такой случай, решил сеть перекопать, всем говорю, давайте пароль (от биоса), а один мне: у меня там секретная информация. Чуть ему морду не набил, ушел к себе, (а до меня на все компы прогу по удаленному наблюдению ставили, умные себе пароль поставили, на я ее поковырял, и всем при входе в сеть поставил один пароль) захожу на его комп (он та думал все, никто не смогет), копирую и правлю autoexec.bat, ну написал там ему все что о нем думаю, вешаю комп.
Вот такая была история.


"RE: Выявление прокси"
Отправлено Falcon , 11-Дек-01 19:40 
>Подскажите, есть ли уже отработанный метод
>выявления факта установления пользователями прокси
>серверов? Если есть подскажите как,
>а то кроме сканирования портов
>юзверя, ничего дельного придумать не
>могу.

Дядько, попробуй поставить авторизацию на прокси. В сквид.конф поройся, там это есть. Если пользователей, которым Инет дествительно нужен, мало, то это самый верный способ или разреши доступ к своему прокси-серверу по ай-пи-адресам, но опять же если юзеров не много. Еще можно всем кому ты разрешаешь инет выделить определенный промежуток ай-пи-адресов, а потом Айпиченсом из отрулить. Есть еще один отличнейший способ. Называется он trafshow. Это если у тебя линукс стоит на сервере, в смысле на Инет-роутере, на твоем, то запустив там ентот трафшоу ты сможешь увидеть кто из неразрешенных пользователей в Инет ломится, ну а дальше уже дело техники. Но и это еще не все... Я ставил особо "умным" и всем, кто баловался, ВинНТ Воркстэйшн и добавлял их в группу обычных смертных и тогда, ни то что Прокси-сервер не поставишь, а отпадает проблема игрового трафика и всего остального ненужного. А вооще книги читать иногда полезно. Ред Бук например.


"RE: Выявление прокси"
Отправлено mrAngel , 11-Дек-01 19:52 
А ты небось на дебиане сидишь?
эт да... но откель на редхат trafshow хапнуть?

"RE: Выявление прокси"
Отправлено Konstantin , 11-Дек-01 20:11 
>А ты небось на дебиане сидишь?
>
>эт да... но откель на редхат
>trafshow хапнуть?

ftp://rpmfind.net/linux/redhat/7.1/en/powertools/i386/RedHat...


"RE: Выявление прокси"
Отправлено mrAngel , 11-Дек-01 20:25 
ага, пасиб, тока я как вопрос задал, сразу и подумал (но не наоборот :) и укачал

"RE: Выявление прокси"
Отправлено Konstantin , 11-Дек-01 20:32 
Только trafshow проблему то не решает вопросто был задан четко как выявить проксю видимо имелось введу чтото типа скрипта или проги котороя по крону скажем раз в час проверяла айпишники по списку и в случае обнаружения прокси поднимала вой :-))

"RE: Выявление прокси"
Отправлено mrAngel , 11-Дек-01 20:36 
а этого так не сделаешь...
либо сканировать (ведь могут на любой порт повесить), либо стандартные проверять...

"RE: Выявление прокси"
Отправлено Falcon , 11-Дек-01 23:07 
>а этого так не сделаешь...
>либо сканировать (ведь могут на любой
>порт повесить), либо стандартные проверять...
>
Люди, по-моему все таки Трафшоу самый нормальный способ. Вы, блин даете, каждый час сеть сканить. Это долбонуться можно. Тем более что сами сканы трафик увеличивать будут. А так сразу можно просечь фишку. Ну подумайте сами. Если выход в Инет официально разрешен ПЯТИ компам из СТА ПЯТИ, а прокси поставят на трех из запрещенных, то намного легче их по Трафшоу выхватить. Тем более что проксю на любой свободный порт прописать можно. А если в сети 100 компов, то сканить "раз в час" 65535 портов умножить на сто... ну и что получится? Вопрос риторический - бардак получится. А так все ясно. Смотришь, комп 192.168.50.15 ломится на твой сквид - все ясно. Ему не разрешено. Иди сюда... Они же все равно своими проксями твой роутер разшаривают. А Трафшоу можно взять в стандартном дистрибутиве, по-моему на втором диске лежит, ну а как его поставить тут уж я думаю "ман рпм" подскажет.

"RE: Выявление прокси"
Отправлено klim , 13-Дек-01 10:10 
>Люди, по-моему все таки Трафшоу самый
>нормальный способ. Вы, блин даете,
>каждый час сеть сканить. Это
>долбонуться можно. Тем более что
>сами сканы трафик увеличивать будут.
>А так сразу можно просечь
>фишку. Ну подумайте сами. Если
>выход в Инет официально разрешен
>ПЯТИ компам из СТА ПЯТИ,
>а прокси поставят на трех
>из запрещенных, то намного легче
>их по Трафшоу выхватить. Тем
>более что проксю на любой
>свободный порт прописать можно. А
>если в сети 100 компов,
>то сканить "раз в час"
>65535 портов умножить на сто...
>ну и что получится? Вопрос
>риторический - бардак получится. А
>так все ясно. Смотришь, комп
>192.168.50.15 ломится на твой сквид
>- все ясно. Ему не
>разрешено. Иди сюда... Они же

А если разрешено!? Тогда, что (ведь проксю будут вешать на "разрешенном" компе).
И вообще этот вопрос по моему так просто не решить (во первых как здесь писалось прокся может висеть на любом порту, во вторых если использовать NAT пакет автоматически отсылается от разрешенного компа (то есть от неавторизованого прокси), а не от левой тачки).
Вывод. Нужно строить юзеров или мирится с этим.
У меня такая же проблема - но мне сложней мы фирма которая обслуживает другую и мы не имеем права что то там ставить на клиентсие машины (как следствие конролировать).
А вообще есть какая то прога она (если ты имешь право ставить свой софт и ограничивать)ставиться на все windows машины и она запрещает делать то что ты не разрешил (она используется почти в любом интернет-кафе, интернет-клюбе, или в любом игровом - для того чтобы не было несанкционированного взлома или чтобы клиент не поставил свою прогу, например удаленный доступ не мог настроить) как она называется не скажу, но на любом игровом-хакерском форуме задают вопрос как взломать ту или иную подобную прогу.


"RE: Выявление прокси"
Отправлено le Forestier , 17-Дек-01 14:25 
>Подскажите, есть ли уже отработанный метод
>выявления факта установления пользователями прокси
>серверов? Если есть подскажите как,
>а то кроме сканирования портов
>юзверя, ничего дельного придумать не
>могу.
про HTTP протокол:
если пускаешь все через свой прокси, то выявить очень легко:
в прокси серверах есть acl, обрабатывающие клиентов. прошерсти логи на наличие "левых" клиентов. Потом на своем прокси сервере закрывать клиенты (у меня, к примеру, стоит oops) ессно это дело лучше не афишировать
а вообще, логи, имхо - самый рулез!

"Посмотрел я тут всю нить..."
Отправлено Vlad , 17-Дек-01 15:31 
И сделал вывод: ставьте Netware сервер и на него прокси новелловский BorderManager  - у вас в жизни больше таких проблем не будет. Гарантировано.


"RE: Посмотрел я тут всю нить..."
Отправлено mrAngel , 17-Дек-01 20:28 
Ты видно фишку не просёк...
те же проблемы, в том же количестве, и той же сложности и у тебя будут на нетваре...
прочти еще раз внимательно... ok?

"Почему это не просек?"
Отправлено Vlad , 17-Дек-01 21:13 
>Ты видно фишку не просёк...
>те же проблемы, в том же
>количестве, и той же сложности
>и у тебя будут на
>нетваре...
>прочти еще раз внимательно... ok?

Как я понял - проблема в том, что юзвери, которым Инет не разрешен (в данном случае им не прописали в виндах прокси) выявляют адрес прокси и порт, прописывают себе настройки и вперед по Инету.
На BorderManager ты можешь вычислить и адрес прокси, и порт, но там стоит аутентификация с разрешением или нет вылазит в Инет. И если у твой логин на этой проксе не внесен в список юзверей, которым можно вылазить наружу, то ты можешь сколько угодно пытаться вычислять адрес, знать его, писать настройки, но ни фига у тебя не получиться. Вот и все. Или я не прав?


"RE: Почему это не просек?"
Отправлено mrAngel , 17-Дек-01 21:57 
да в том то и прикол, что ходят юзари которым МОЖНО(!!!), тока вот они в свою очередь у себя ставят проксю, и все запросы идут от их имени (т.е. те кому нельзя, договариваються с ними, и все идет от имени), вопросы еще есть?

"Конечно..."
Отправлено Vlad , 17-Дек-01 22:14 
>да в том то и прикол,
>что ходят юзари которым МОЖНО(!!!),
>тока вот они в свою
>очередь у себя ставят проксю,
>и все запросы идут от
>их имени (т.е. те кому
>нельзя, договариваються с ними, и
>все идет от имени), вопросы
>еще есть?


В новелле ставиться количество разрешенных конкурент-логинов = 1 и все!


"Либо"
Отправлено Vlad , 17-Дек-01 22:16 
>>да в том то и прикол,
>>что ходят юзари которым МОЖНО(!!!),
>>тока вот они в свою
>>очередь у себя ставят проксю,
>>и все запросы идут от
>>их имени (т.е. те кому
>>нельзя, договариваються с ними, и
>>все идет от имени), вопросы
>>еще есть?
>
>
>В новелле ставиться количество разрешенных конкурент-логинов
>= 1 и все!


Разрешить логин в Новелле только с определенного IP и тоже все. А ты не веришь!


"RE: Либо"
Отправлено mrAngel , 18-Дек-01 11:26 
ну и что?
maxconn под squid тоже это может, и delay_pool фишка рулит, только все коннекты от лица легального пользователя идут, и резать легального нельзя(!)

"RE:"
Отправлено ntlm , 18-Дек-01 11:56 
IMHO, рыть надо в направлении заголовков HTTP. Некоторые (еси не все) прокси вставляют свои специфические, типа X-ForwardedFor: <ip клиента>.

Удачи.


"RE:"
Отправлено mrAngel , 18-Дек-01 12:50 
если нет ничего вроде: X-forwardedFor off

"RE:"
Отправлено ntlm , 18-Дек-01 13:29 
есть еще другие заголовки, например сквид добавляет еще такие:

Via: <версия протокола, имя хоста и порт, версия squid'а>
X-Forwarded-For: <ip клиента>
Cache-Control: <max-age=?????>

короче, делай раз: tcpdump -s 0 -l -w - -i <фейс_смотрящий_наружу> tcp and dst port 80 | strings > cache.log

делай два: tail -f cache.log | grep < X-Forwarded ,Via, Cache-Control, ну и т.д. по вкусу...>

Некоторым прокси можно запретить эти заголовки, но уровень юзера для этого должен быть соответствующим.


"RE: Либо"
Отправлено Vlad , 18-Дек-01 13:05 
>ну и что?
>maxconn под squid тоже это может,
>и delay_pool фишка рулит, только
>все коннекты от лица легального
>пользователя идут, и резать легального
>нельзя(!)


Дорогой мой, если ты заметил, я написал конкурент-логин, а не конкурент-коннект - а это две большие разницы, как говорят в соседней Одессе.:-)
От разрешенного лица, с определенного IP, с одним конкурент-!логином! друг или сосед этого пользователя, может только тогда работать, когда разрешенная тачка не работает в сети вообще, к тому же ему нужен его логин и пароль, адрес в сети, да плюс работа в нерабочее время, а Новелле и временное разрешение можно выставить - ты знаешь, это все попахивает злостным нарушением служебных инструкций (можно представить как воровство) с последующим увольнением и расстрелом:-) У нас отдел информационной безопасности решает этот вопрос быстро...


"RE: Либо"
Отправлено Konstantin , 18-Дек-01 13:18 
>>ну и что?
>>maxconn под squid тоже это может,
>>и delay_pool фишка рулит, только
>>все коннекты от лица легального
>>пользователя идут, и резать легального
>>нельзя(!)
>
>
>Дорогой мой, если ты заметил, я
>написал конкурент-логин, а не конкурент-коннект
>- а это две большие
>разницы, как говорят в соседней
>Одессе.:-)
>От разрешенного лица, с определенного IP,
>с одним конкурент-!логином! друг или
>сосед этого пользователя, может только
>тогда работать, когда разрешенная тачка
>не работает в сети вообще,
>к тому же ему нужен
>его логин и пароль, адрес
>в сети, да плюс работа
>в нерабочее время, а Новелле
>и временное разрешение можно выставить
>- ты знаешь, это все
>попахивает злостным нарушением служебных инструкций
>(можно представить как воровство) с
>последующим увольнением и расстрелом:-) У
>нас отдел информационной безопасности решает
>этот вопрос быстро...

По моему ты не понял до конца проблему ... Когда работают через прокси на разрешенном клиенте это для главной прокси видится как несколько открытых окон броузера ... а не как еще одна машина в сети с логином и паролем из тех кому можно ...


"RE: Либо"
Отправлено Vlad , 18-Дек-01 13:40 
...
>
>По моему ты не понял до
>конца проблему ... Когда работают
>через прокси на разрешенном клиенте
>это для главной прокси видится
>как несколько открытых окон броузера
>... а не как еще
>одна машина в сети с
>логином и паролем из тех
>кому можно ...


Ну вот еще один товарищ!!:-) Объясняю подробно принцип работы BorderManager.
Например юзер USER1:
- количество конкурент-логинов=1
- адрес с которого можно заходить= 192.168.1.139
- период работы = 8.00-17.00
Это надеюсь понятно.
Теперь результат: юзер USER1 может работать в Инете только с машины с IP=192.168.1.139 с 8 утра до 17 часов вечера с неограниченным количеством окон браузера, коннектов FTP и прочей херней, которая его машина потянет. Предположим, что юзер Петя Васечкин узнал логин и пароль USER1 и пытается со своей машины с адресом 192.168.1.140 пройти через BorderManager в Инет с 8 до 17 часов, на что он получает отлуп (причем причина, что это из-за его адреса в отлупе не указывается, а в лог админу пишется от попытке прорваться), что логиниться с такого адреса нельзя, а следовательно и никакого Инета у него нет. Ситуация другая - юзер Петя Васечкин стал очень ламерным и узнал еще и адрес USER1 и пытается проделать ту же операцию с изменением адреса на своей машине, а что при этом происходит в сетях вы знаете - оба интерфейса с одним и тем же адресом фактичски не работают, приходит админ и разбирается. Во вне рабочее время юзер Петя Васечкин не сможет даже при решении 2 условий прорваться из-за третьего. Ну а если юзер USER1 заболел или в отпуске, или в командировке, то на это время его аккаунт блокируется и все.
Еще вопросы есть?
С удовольствием отвечу.
Влад


"RE: Либо"
Отправлено Stas , 18-Дек-01 13:47 
Ты не понял проблему в корне!
Юзер1 зашел в инет, поставив у себя прокси сервер, Юзер2 никуда не зашел. Он просто прописал у себя прокси сервер айпи Юзера1(договорившись с ним).
Все!

"Вот, блин..."
Отправлено Vlad , 18-Дек-01 13:53 
>Ты не понял проблему в корне!
>
>Юзер1 зашел в инет, поставив у
>себя прокси сервер, Юзер2 никуда
>не зашел. Он просто прописал
>у себя прокси сервер айпи
>Юзера1(договорившись с ним).
>Все!


А как юзер2 залогинится вторым конкурент-логином на прокси, если разрешен только один? Подумай. Да еще с конкретного адреса? Подумай. Пусть даже, если он выучил адрес прокси назубок и ночью тебе его скажет? Внимательно вчитывайся. Короче, для фом неверящих пришлю скриншот Бордера, а может лучше вам экскурсию организовать?


"RE: Вот, блин..."
Отправлено Shaman , 18-Дек-01 14:30 
>>Ты не понял проблему в корне!
>>
>>Юзер1 зашел в инет, поставив у
>>себя прокси сервер, Юзер2 никуда
>>не зашел. Он просто прописал
>>у себя прокси сервер айпи
>>Юзера1(договорившись с ним).
>>Все!
>
>
>А как юзер2 залогинится вторым конкурент-логином
>на прокси, если разрешен только
>один?
Hi
Я понял так - Юзер2 ходит в инет ч/з прокси Юзера1
для главного (общего) прокси все коннекты выглядят от Юзера1. У нас все решается анализом логов и педоставления их начальству с последующей раздачей слонов


"RE: Вот, блин..."
Отправлено Antonio , 18-Дек-01 14:34 
>>Ты не понял проблему в корне!
>>
>>Юзер1 зашел в инет, поставив у
>>себя прокси сервер, Юзер2 никуда
>>не зашел. Он просто прописал
>>у себя прокси сервер айпи
>>Юзера1(договорившись с ним).
>>Все!
>
>
>А как юзер2 залогинится вторым конкурент-логином
>на прокси, если разрешен только
>один? Подумай. Да еще с
>конкретного адреса? Подумай. Пусть даже,
>если он выучил адрес прокси
>назубок и ночью тебе его
>скажет? Внимательно вчитывайся. Короче, для
>фом неверящих пришлю скриншот Бордера,
>а может лучше вам экскурсию
>организовать?

Ей-богу, испорченный телефон, господа.

Как я понял задачу.

ДАНО: Юзер1 имеет право ходить в Интернет со своей машины. Он устанавливает НА СВОЕЙ МАШИНЕ (которой
можно ходить в Интернет и на которой он залогинен) прокси (не суть важно, Squid, wingate, winproxy и т.п.) и говорит юзеру Юзер2 свой IP и порт, на котором висит прокси. Для того, чтобы попасть в Инет, Юзеру2 не нужно никаких логинов, ему нужно знать только IP и порт.

Юзер2 знать ничего не желает про конкурент-логин и прочее.

С машины Юзера1 идет пакет в Интернет.

НАЙТИ: Кто его послал? Юзер1 или Юзер2 через прокси на машине Юзера1?

РЕШЕНИЕ: На данный момент кроме разбора заголовков других решений не видится. :-(


"Если проблема стоит так, то решение такое..."
Отправлено Vlad , 18-Дек-01 14:40 
>>>Ты не понял проблему в корне!
>>>
>>>Юзер1 зашел в инет, поставив у
>>>себя прокси сервер, Юзер2 никуда
>>>не зашел. Он просто прописал
>>>у себя прокси сервер айпи
>>>Юзера1(договорившись с ним).
>>>Все!
>>
>>
>>А как юзер2 залогинится вторым конкурент-логином
>>на прокси, если разрешен только
>>один? Подумай. Да еще с
>>конкретного адреса? Подумай. Пусть даже,
>>если он выучил адрес прокси
>>назубок и ночью тебе его
>>скажет? Внимательно вчитывайся. Короче, для
>>фом неверящих пришлю скриншот Бордера,
>>а может лучше вам экскурсию
>>организовать?
>
>Ей-богу, испорченный телефон, господа.
>
>Как я понял задачу.
>
>ДАНО: Юзер1 имеет право ходить в
>Интернет со своей машины. Он
>устанавливает НА СВОЕЙ МАШИНЕ (которой
>
>можно ходить в Интернет и на
>которой он залогинен) прокси (не
>суть важно, Squid, wingate, winproxy
>и т.п.) и говорит юзеру
>Юзер2 свой IP и порт,
>на котором висит прокси. Для
>того, чтобы попасть в Инет,
>Юзеру2 не нужно никаких логинов,
>ему нужно знать только IP
>и порт.
>
>Юзер2 знать ничего не желает про
>конкурент-логин и прочее.
>
>С машины Юзера1 идет пакет в
>Интернет.
>
>НАЙТИ: Кто его послал? Юзер1 или
>Юзер2 через прокси на машине
>Юзера1?
>
>РЕШЕНИЕ: На данный момент кроме разбора
>заголовков других решений не видится.
>:-(

На главной проксе запретить каскадирование прокси-серверов и "тогда наверняка, вдруг запляшут облака..."
А Юзер1 не имеет права ставить софт не нужный ему для работы - это все описывается в служебной инструкции. То есть все, что не касается его профессиональной деятельности, карается по закону :-)


"RE: Можно еще так, но..."
Отправлено MF_FLIP , 18-Дек-01 15:25 
... убого конечно....
но всетаки:
есть программулина ConSeal PC FireWall for W9x by Signal 9 Solutions
Эта злющая прога может запретить вобще двум левым компам в локалке между собой общаться.

"RE: Если проблема стоит так, то решение такое..."
Отправлено Stas , 19-Дек-01 15:58 
>На главной проксе запретить каскадирование прокси-серверов
>и "тогда наверняка, вдруг запляшут
>облака..."
>А Юзер1 не имеет права ставить
>софт не нужный ему для
>работы - это все описывается
>в служебной инструкции. То есть
>все, что не касается его
>профессиональной деятельности, карается по закону
>:-)
Наконец-то дошло. А как это запретить каскадирование?
2Пункт отвергается - мало ли чего там в служебных инструкциях... На то он и админ чтобы технически все сделать а не административно.



"RE: Если проблема стоит так, то решение такое..."
Отправлено Vlad , 19-Дек-01 17:33 
>>На главной проксе запретить каскадирование прокси-серверов
>>и "тогда наверняка, вдруг запляшут
>>облака..."
>>А Юзер1 не имеет права ставить
>>софт не нужный ему для
>>работы - это все описывается
>>в служебной инструкции. То есть
>>все, что не касается его
>>профессиональной деятельности, карается по закону
>>:-)
>Наконец-то дошло. А как это запретить
>каскадирование?
>2Пункт отвергается - мало ли чего
>там в служебных инструкциях... На
>то он и админ чтобы
>технически все сделать а не
>административно.

Тут говорилось о том, что прокся при обращении куда-то оставляет следы в своих заголовках - это не так - она ничего не оставляет - обычный запрос и все. Я тут посмотрел инфу по каскадирования - тоже проблема, так как я думал не получится. Есть вариант- ставить на рабочие станции инвентори и использовать его отчеты для обнаружения постороннего софта типа прокси на машинах, с которых идет большой трафик, и отрубать доступ этим юзерам до выяснения всех обстоятельств.
Еще одно решение - это использование свичей 4-го уровня, которые позволяют анализировать заголовки пакетов, и в частности, HTTP заголовки пакетов с определенных адресов. То есть надо разбить пользователей на две подсети и соединять их через такой свич. На свиче установить правило, что если с запрещенной сети идет пакет с таким заголовком на адрес в разрешенную подсеть, то такие пакеты рубить, а отчет мылить тебе на мыло. Таким образом убивается сразу двух зайцев: 1 - обнаруживаешь юзера, который хочет выбраться в Инет, 2 - обнаруживаешь юзера, который пытается раздать прокси.
Правда, такой свич стоит денег.


"RE: Еще разок (to Vlad)"
Отправлено MF_FLIP , 18-Дек-01 15:14 
>
>А как юзер2 залогинится вторым конкурент-логином
>на прокси, если разрешен только
>один? Подумай. Да еще с
>конкретного адреса? Подумай. Пусть даже,
>если он выучил адрес прокси
>назубок и ночью тебе его
>скажет? Внимательно вчитывайся. Короче, для
>фом неверящих пришлю скриншот Бордера,
>а может лучше вам экскурсию
>организовать?

1. Есть сеть 192,168,1,0
2. Есть роутер 192,168,1,1
3. Есть юзеры которым можно в инет 192,168,2 -    192,168,1,10
4. есть юзеры которым нельзя 192,168,1,11 ->
5. юзер 192,168,1,15 договаривается с юзером 192,168,1,3 чтоб тот поставил у себя прокси.
6. все юзеры - тем которым низя прописывают в настройках ИЁ прокси 192,168,1,3
7. на роутере видно что с 192,168,1,3 немереный траффик

!!!! никакие нафиг конкурент лАгины не помогут, прокси все запросы шлет от своего имени.!!!
сам так сисадминов мучал пока сам им не стал :)


"А где служебные инструкции..."
Отправлено Vlad , 18-Дек-01 16:39 
>>
>>А как юзер2 залогинится вторым конкурент-логином
>>на прокси, если разрешен только
>>один? Подумай. Да еще с
>>конкретного адреса? Подумай. Пусть даже,
>>если он выучил адрес прокси
>>назубок и ночью тебе его
>>скажет? Внимательно вчитывайся. Короче, для
>>фом неверящих пришлю скриншот Бордера,
>>а может лучше вам экскурсию
>>организовать?
>
>1. Есть сеть 192,168,1,0
>2. Есть роутер 192,168,1,1
>3. Есть юзеры которым можно в
>инет 192,168,2 -  
> 192,168,1,10
>4. есть юзеры которым нельзя 192,168,1,11 ->
>5. юзер 192,168,1,15 договаривается с юзером
>192,168,1,3 чтоб тот поставил у
>себя прокси.
>6. все юзеры - тем которым
>низя прописывают в настройках ИЁ
>прокси 192,168,1,3
>7. на роутере видно что с
>192,168,1,3 немереный траффик
>
>!!!! никакие нафиг конкурент лАгины не
>помогут, прокси все запросы шлет
>от своего имени.!!!
>сам так сисадминов мучал пока сам
>им не стал :)

За бардак в своей сети отвечать должен админ - не можешь организовать работу сети на программном уровне, организуй на бюрократическом.
А таких хитрых жуков мы у себя быстро вылавливаем и отправляем в "службу наказания". У нас пользователю (даже самым крутым программерам) категорически и под страхом смертной казни, на бумажном уровне, запрещено ставить софт не относящийся к их проф.деятельности.


"RE: А где служебные инструкции..."
Отправлено mrAngel , 18-Дек-01 16:56 
извини конечно Vlad, но мудак и ламер ты порядочный, ты вьезжаешь с 10 пинка, споришь без толку, и пытаешься что то доказать...
ты думаешь если у вас сеть такая образцовая, то я не смогу ничего поставить, открыть и прочее?
совсем ты людей запарил своей глупостью, если кто не согласен (кроме тебя), пусть напишет об этом, крупными буквами, а таких как ты, в форуме банить нужно, ПОЖИЗНЕННО!!!

"На хамство..."
Отправлено Vlad , 18-Дек-01 17:18 
...Отвечать не буду. Я с пинков не въезжаю, а расписывал решение проблемы так, как я ее понимаю. Просто, когда задаешь вопрос - будь добр распиши исходные условия. Потому как реальная проблема была расписана только, как ты выражаешься "с 10 пинка"... Дело не в образцовой сети, а в исполнении админом и пользователями своих полномочий.
А насчет умения выслушать чужое мнение, причем основанное на реальной ситуации, где вышеописанная проблема решена, как программными, так и административными мерами, говорить с такими людьми как ты сложно.
Если кто-то кого-то в чем-то обвиняет, то он всего лишь боится, что бы его в этом обвинили.
Если человек стоит на своей позиции, причем подтвержденной фактами из реальной жизни, то это не повод для оскорбления, от того что у тебя что-то не получается, а повод задуматься, может ты мудак, ведь у тебя не получается...


"RE: На хамство..."
Отправлено MF_FLIP , 18-Дек-01 20:47 
извини Vlad, но ты вобще знаешь что такое прокси?
я (да и думаю что все)почему-то сразу понял суть проблеммы и решение (лог + сканирование портов)?
А какого банана ты сюда Нетваре приплел, чтоб все знали какой ты крутой BOFH?

"RE: На хамство..."
Отправлено Vlad , 19-Дек-01 11:12 

Боже упаси, я не говорю, что я какой-то крутой... И не волнуйся за меня, знаю что такое прокси и какие они бывают.
Насчет описания проблемы - глянь сверху в топик - где сказано про два прокси? Сказано?
Если я не верно понял - я признаю свою ошибку, но так как я понял проблему - я ее решил. И не важно, в чем в Нетваре или в какой-либо другой системе - но она решена.
Хвастаться я не чем не собирался - я еще очень много не знаю, и я этого не стыжусь... Если это повод для оскорбления, то флаг вам в руки и транспарант в ж...


"RE: На хамство..."
Отправлено I am , 20-Дек-01 16:39 
не сильно ты умён, как хочешь казаться:
19. "Посмотрел я тут всю нить..."
35. "Если проблема стоит так, то решение такое..."
доходит как до жирафа (мягко сказано)

"RE: На хамство..."
Отправлено Vlad , 20-Дек-01 20:01 
>не сильно ты умён, как хочешь
>казаться:
> 19. "Посмотрел я тут всю
>нить..."
> 35. "Если проблема стоит так,
>то решение такое..."
>доходит как до жирафа (мягко сказано)
>
бревно из глаза вынь...


"RE: На хамство..."
Отправлено Valdemar , 27-Дек-01 14:21 
Ладно, народ, кончайте базар.
Ты, Влад, не прав во многом, хотя бы в том, что не умеешь слушать людей, это такое качество человека, от которого избавиться нельзя. Просто это твоя суть. То, что тебе пишут люди по поводу проблемы темы - и ежу понятно. То, что ты пишешь на эту тему - детский лепет, это и мне понятно (я лох полнейший, но вопрос почему-то сразу понял)... Ты ничего не понял из вопроса - читай внимательнее и вдумчивее. Условия были поставлены так точно, что понять по-другому может только неординарная личность как ты, и моя теща...Так что не обижайся на ребят и прочти все с самого начала - помогает:)))


"RE: На хамство..."
Отправлено Vlad , 27-Дек-01 17:17 
Понять то понял, а кроме как оставить предыдущий пост... - на другое тебя не хватило :-))
Если внимательно почитаешь весь тред, то увидишь где я признал свое непонимание, и увидишь ответ на данный вопрос (пониже почитай...)
Но чем я лучше? Да просто я никого не оскорбил... и не тыкал пальцем в глаз - ты, мол, такой -рассякой. А вообще - тема закрыта. Либо ты пишешь по существу, либо перейди в какой-нить чат и там рассказывай про свою тещу :-)...

"RE: Выявление прокси"
Отправлено Sergey , 18-Дек-01 18:57 
>Подскажите, есть ли уже отработанный метод
>выявления факта установления пользователями прокси
>серверов? Если есть подскажите как,
>а то кроме сканирования портов
>юзверя, ничего дельного придумать не
>могу.


Способ извратный, но стопроцентно помогающий. Настраиваешь IP-шники таким образом, чтоб весь трафик между тачками шел через роутер. На роутере ставишь ipchains или что-нето подобное (в зависимости от оси), настраиваешь чтобы все, что идет не с сервака/на сервак писалось в лог - и вперед. Заодно попутно выяснишь, как тачки между собой общаются - тож полезно иногда.


"RE: Выявление прокси"
Отправлено alice , 18-Дек-01 20:58 
>Способ извратный, но стопроцентно помогающий. Настраиваешь
>IP-шники таким образом, чтоб весь
>трафик между тачками шел через
>роутер. На роутере ставишь ipchains
>или что-нето подобное (в зависимости
>от оси), настраиваешь чтобы все,
>что идет не с сервака/на
>сервак писалось в лог -
>и вперед. Заодно попутно выяснишь,
>как тачки между собой общаются
>- тож полезно иногда.
Это прикольный способ, грамотный, но помогающий никак не на 100%, поскольку может найтись кто-то добрый и умный (я например ;), кто подскажет юзерам откорректировать маршрутные таблицы на своих компах таким образом, чтобы включить друг друга в прямую маршрутизацию. На виндах (блин, кого я учу, вы и сами небось знаете) это делается вводом в строчку командную следующего:

route add friends_ip own_ip

А на 100% (ну на 99 и очень много 9 после запятой) проблема решается установкой _программно-аппаратного_ комплекса по ущемлению прав юзера ковыряться в своей машине. На память помню для виндов только SecretNet (сорри если выглядит как advertisement, надо же хоть что-то посоветовать). Компы опечатать. За снятие пломб можно и того... по мозгам :)


"RE: Выявление прокси"
Отправлено Sergey , 19-Дек-01 14:57 
>>Способ извратный, но стопроцентно помогающий. Настраиваешь
>>IP-шники таким образом, чтоб весь
>>трафик между тачками шел через
>>роутер. На роутере ставишь ipchains
>>или что-нето подобное (в зависимости
>>от оси), настраиваешь чтобы все,
>>что идет не с сервака/на
>>сервак писалось в лог -
>>и вперед. Заодно попутно выяснишь,
>>как тачки между собой общаются
>>- тож полезно иногда.
>Это прикольный способ, грамотный, но помогающий
>никак не на 100%, поскольку
>может найтись кто-то добрый и
>умный (я например ;), кто
>подскажет юзерам откорректировать маршрутные таблицы
>на своих компах таким образом,
>чтобы включить друг друга в
>прямую маршрутизацию. На виндах (блин,
>кого я учу, вы и
>сами небось знаете) это делается
>вводом в строчку командную следующего:
>
>
>route add friends_ip own_ip
>
>А на 100% (ну на 99
>и очень много 9 после
>запятой) проблема решается установкой _программно-аппаратного_
>комплекса по ущемлению прав юзера
>ковыряться в своей машине. На
>память помню для виндов только
>SecretNet (сорри если выглядит как
>advertisement, надо же хоть что-то
>посоветовать). Компы опечатать. За снятие
>пломб можно и того... по
>мозгам :)
Безусловно - это самый лучший способ, и сам я стараюсь пользоваться именно им :о) но от него товарисч почему-то очень настойчиво отказывается. Впрочем, знаю не понаслышке - есть конторы в которых админа не очень-то уважают и наказать, скажем кого-нето из менеджеров по указке админа проблематично, а если оный менеджер и есть злостный проксиустановщик... В административной работе на практике объявляется такая куча проблем, далеких от теории и связанных с дивным русским стилем работы... Впрочем - так же как и в технической области. Опять же - задача стоит - не пресечь, а обнаружить. Мне лично понравился метод, изложенный ниже - разделяй и властвуй. Разделить сеть на две подсети - для тех, кто может работать с инетом и для тех, кто не может. Если постараться, можно даже одной сетевухой обойтись - хотя с двумя надежнее, но могут возникнуть проблемы с СКС - особенно если сеть большая - не у всех шнурки собраны в одну кучу - я видел массу случаев когда в каждом подразделении висит свой хаб. Маршрутизацию зарубать опять же не обязательно - нужно только записать в лог все проходящие пакеты между воркстейшенами - а далее уже дело техники. А если будет маршрутизация - будет и MS network работать, главное в портах не запутаться.

"RE: Выявление прокси"
Отправлено alice , 19-Дек-01 18:59 
>>>Способ извратный, но стопроцентно помогающий. Настраиваешь
>>>IP-шники таким образом, чтоб весь
>>>трафик между тачками шел через
>>>роутер. На роутере ставишь ipchains
>>>или что-нето подобное (в зависимости
>>>от оси), настраиваешь чтобы все,
>>>что идет не с сервака/на
>>>сервак писалось в лог -
>>>и вперед. Заодно попутно выяснишь,
>>>как тачки между собой общаются
>>>- тож полезно иногда.
>>Это прикольный способ, грамотный, но помогающий
>>никак не на 100%, поскольку
>>может найтись кто-то добрый и
>>умный (я например ;), кто
>>подскажет юзерам откорректировать маршрутные таблицы
>>на своих компах таким образом,
>>чтобы включить друг друга в
>>прямую маршрутизацию. На виндах (блин,
>>кого я учу, вы и
>>сами небось знаете) это делается
>>вводом в строчку командную следующего:
>>
>>
>>route add friends_ip own_ip
>>
>>А на 100% (ну на 99
>>и очень много 9 после
>>запятой) проблема решается установкой _программно-аппаратного_
>>комплекса по ущемлению прав юзера
>>ковыряться в своей машине. На
>>память помню для виндов только
>>SecretNet (сорри если выглядит как
>>advertisement, надо же хоть что-то
>>посоветовать). Компы опечатать. За снятие
>>пломб можно и того... по
>>мозгам :)
>Безусловно - это самый лучший способ,
>и сам я стараюсь пользоваться
>именно им :о) но от
>него товарисч почему-то очень настойчиво
>отказывается. Впрочем, знаю не понаслышке
>- есть конторы в которых
>админа не очень-то уважают и
>наказать, скажем кого-нето из менеджеров
>по указке админа проблематично, а
>если оный менеджер и есть
>злостный проксиустановщик... В административной работе
>на практике объявляется такая куча
>проблем, далеких от теории и
>связанных с дивным русским стилем
>работы... Впрочем - так же
>как и в технической области.

тут в принципе согласна. хотя с установкой комплекса и наказывать-то никого не придется: просто все сотрудники будут видеть, что, дескать "так устроены компьютеры в фирме, что ничего с ними не сделаешь". вот такие компьютеры грамотные, почему нет...?

>Опять же - задача стоит
>- не пресечь, а обнаружить.
>Мне лично понравился метод, изложенный
>ниже - разделяй и властвуй.
>Разделить сеть на две подсети
>- для тех, кто может
>работать с инетом и для
>тех, кто не может. Если
>постараться, можно даже одной сетевухой
>обойтись - хотя с двумя
>надежнее, но могут возникнуть проблемы
>с СКС - особенно если
>сеть большая - не у
>всех шнурки собраны в одну
>кучу - я видел массу
>случаев когда в каждом подразделении
>висит свой хаб. Маршрутизацию зарубать
>опять же не обязательно -
>нужно только записать в лог
>все проходящие пакеты между воркстейшенами
>- а далее уже дело
>техники. А если будет маршрутизация
>- будет и MS network
>работать, главное в портах не
>запутаться.
Ну вот, начали за здравие, а кончили -- как всегда ;)
Если разделить сегменты на физическом уровне -- через маршрутизатор с двумя интерфейсами (пофиг, PC-router или традиционный) -- да, рулез, все будет вышше, я с вами тут на все 100 согласна. НО. Если разделять на сетевом (сети, подсети и всетакое) -- возникают ровно те же проблемы, что и были у нас. При включении прямой маршрутизации
(ARP работает -- и IP-пакеты забегают, куда денутся) пакеты между станциями напрямую ходить будут. А логи-то КТО писать будет??? Хаб? :) Коммутатор 2-го уровня? :) Нет, ну может в принципе наверное коммутатор 3-го уровня, но я таких свичей чтоб логи писали -- не видела. Разве что SNMP-управляемые, не знаю, не в курсе...


"Есть решение..."
Отправлено Vlad , 19-Дек-01 19:16 
>>>>Способ извратный, но стопроцентно помогающий. Настраиваешь
>>>>IP-шники таким образом, чтоб весь
>>>>трафик между тачками шел через
>>>>роутер. На роутере ставишь ipchains
>>>>или что-нето подобное (в зависимости
>>>>от оси), настраиваешь чтобы все,
>>>>что идет не с сервака/на
>>>>сервак писалось в лог -
>>>>и вперед. Заодно попутно выяснишь,
>>>>как тачки между собой общаются
>>>>- тож полезно иногда.
>>>Это прикольный способ, грамотный, но помогающий
>>>никак не на 100%, поскольку
>>>может найтись кто-то добрый и
>>>умный (я например ;), кто
>>>подскажет юзерам откорректировать маршрутные таблицы
>>>на своих компах таким образом,
>>>чтобы включить друг друга в
>>>прямую маршрутизацию. На виндах (блин,
>>>кого я учу, вы и
>>>сами небось знаете) это делается
>>>вводом в строчку командную следующего:
>>>
>>>
>>>route add friends_ip own_ip
>>>
>>>А на 100% (ну на 99
>>>и очень много 9 после
>>>запятой) проблема решается установкой _программно-аппаратного_
>>>комплекса по ущемлению прав юзера
>>>ковыряться в своей машине. На
>>>память помню для виндов только
>>>SecretNet (сорри если выглядит как
>>>advertisement, надо же хоть что-то
>>>посоветовать). Компы опечатать. За снятие
>>>пломб можно и того... по
>>>мозгам :)
>>Безусловно - это самый лучший способ,
>>и сам я стараюсь пользоваться
>>именно им :о) но от
>>него товарисч почему-то очень настойчиво
>>отказывается. Впрочем, знаю не понаслышке
>>- есть конторы в которых
>>админа не очень-то уважают и
>>наказать, скажем кого-нето из менеджеров
>>по указке админа проблематично, а
>>если оный менеджер и есть
>>злостный проксиустановщик... В административной работе
>>на практике объявляется такая куча
>>проблем, далеких от теории и
>>связанных с дивным русским стилем
>>работы... Впрочем - так же
>>как и в технической области.
>
>тут в принципе согласна. хотя с
>установкой комплекса и наказывать-то никого
>не придется: просто все сотрудники
>будут видеть, что, дескать "так
>устроены компьютеры в фирме, что
>ничего с ними не сделаешь".
>вот такие компьютеры грамотные, почему
>нет...?
>
>>Опять же - задача стоит
>>- не пресечь, а обнаружить.
>>Мне лично понравился метод, изложенный
>>ниже - разделяй и властвуй.
>>Разделить сеть на две подсети
>>- для тех, кто может
>>работать с инетом и для
>>тех, кто не может. Если
>>постараться, можно даже одной сетевухой
>>обойтись - хотя с двумя
>>надежнее, но могут возникнуть проблемы
>>с СКС - особенно если
>>сеть большая - не у
>>всех шнурки собраны в одну
>>кучу - я видел массу
>>случаев когда в каждом подразделении
>>висит свой хаб. Маршрутизацию зарубать
>>опять же не обязательно -
>>нужно только записать в лог
>>все проходящие пакеты между воркстейшенами
>>- а далее уже дело
>>техники. А если будет маршрутизация
>>- будет и MS network
>>работать, главное в портах не
>>запутаться.
>Ну вот, начали за здравие, а
>кончили -- как всегда ;)
>
>Если разделить сегменты на физическом уровне
>-- через маршрутизатор с двумя
>интерфейсами (пофиг, PC-router или традиционный)
>-- да, рулез, все будет
>вышше, я с вами тут
>на все 100 согласна. НО.
>Если разделять на сетевом (сети,
>подсети и всетакое) -- возникают
>ровно те же проблемы, что
>и были у нас. При
>включении прямой маршрутизации
>(ARP работает -- и IP-пакеты забегают,
>куда денутся) пакеты между станциями
>напрямую ходить будут. А логи-то
>КТО писать будет??? Хаб? :)
>Коммутатор 2-го уровня? :) Нет,
>ну может в принципе наверное
>коммутатор 3-го уровня, но я
>таких свичей чтоб логи писали
>-- не видела. Разве что
>SNMP-управляемые, не знаю, не в
>курсе...


Свич 4-го уровня, он умеет определять HTTP-заголвки в пакетах. Но это стоит денег.


"RE: Есть решение..."
Отправлено alice , 19-Дек-01 19:27 
>>логи-то КТО писать будет??? Хаб? :)
>>Коммутатор 2-го уровня? :) Нет,
>>ну может в принципе наверное
>>коммутатор 3-го уровня, но я
>>таких свичей чтоб логи писали
>>-- не видела. Разве что
>>SNMP-управляемые, не знаю, не в
>>курсе...
>
>
>Свич 4-го уровня, он умеет определять
>HTTP-заголвки в пакетах. Но это
>стоит денег.

Да уж в принципе пес с ними с заголовками HTTP, достаточно протоколировать "междусобойную" активность юзеров напредмет того, юзают ли они друг в друге порты, отличные от нетбиосовских (мелкософт нетворк), просто IP:port-->IP:port. Но вы правы, коммутатор _третьего уровня с этим не справится.
КСТАААТИ, еще солюшн по _выявлению_ проксиков: снифер (анализатор протоколов, etc).
НО работать будет только в некоммутируемом Ethernet'е...


"RE: Есть решение..."
Отправлено LMax , 20-Дек-01 01:27 
>
>Да уж в принципе пес с ними с заголовками HTTP, достаточно протоколировать "междусобойную" активность юзеров напредмет того, юзают ли они друг в друге порты, отличные от нетбиосовских (мелкософт нетворк), просто IP:port-->IP:port. Но вы правы, коммутатор _третьего уровня с этим не справится.
>КСТАААТИ, еще солюшн по _выявлению_ проксиков:
>снифер (анализатор протоколов, etc).
>НО работать будет только в некоммутируемом
>Ethernet'е...

А может нормальный свич + VLAN-ы и маршрутизатор. Кождую рабочую станцию в свой VLAN и все дела, а на маршрутизаторе уже можно рулить как угодно и чем угодно...


"А вот и ссылка"
Отправлено Vlad , 19-Дек-01 19:25 
http://www.enterasys.ru/xpedition/SSR-2-B128.html

"RE: Выявление прокси"
Отправлено pinkpiton , 18-Дек-01 19:53 
да.... кто в лес кто по дрова.....
куча воплей из ничего....

у меня самого такой проблемы не стояло, по причине небольшого количества машин и доступности инета для всех....

но видел решение этой проблемы админом одного из одесских банков...

итак....
выход в инет мимо прокси на роутере невозможен.
прикручен Sarg на роутере и наличие/отсутствие прокси на клиентской машине вычисляется по трафику...
затем следует сканирование подозрительной машины на предмет наличия нестандартных портов, затем следуют административные меры к нарушителю....

иного выхода я и сам признатся не нахожу....


"Итоги"
Отправлено ntlm , 19-Дек-01 09:50 
Очевидно что общего и 100% решения проблемы не существует.

Короче суммировав все мнения можно подвести итог что надо использовать комплекс мер:

1. административнобумажные
Поймаем - накажем. Человеку разъясняются последствия нарушения инструкции и он подписывает бумажку. Потом все что он делает - делает на свою задницу и прекрасно это понимает.

2. системная/сетевая политика: затруднить возможность самовольной установки и использования постороннего софта
Ставить NT, делать вход в домен с соответствующими политиками (запреты на инсталляции / ковыряние в реестре и т.д.), пароль на биос сетап, опечатывать системник, ну еще можно флопы сидюки повытаскивать но это IMHO слишком жестоко. Достаточно запретить загрузку с них.

3. методы обнаружения нелегального прокси-сервера в сети.
Выявление подозрительных клиентов путем анализа сетевого трафика, нестандартных HTTP заголовков специфичных для прокси-серверов или даже порядок этих заголовков благо у стандартных броузеров (IE,NN,OPERA, etc...) он известен. А вот потом можно просканировать порты этой тачки и посмотреть что там за сервисы подняты (это если юзверь от админа не закроется персональным фаерволом, но за это надо тоже пинать и причем пребольно).

Лично мне комбинация первого и третьего нравится больше всего т.к. это весьма эффективно. Второй способ IMHO гемор страшный - бесправные на своей тачке юзвери будут по каждому пустяку теребить админа Ж%()

А вот сканирование портов по всей сетке или навязывание маршрута - IMHO полный бред, особенно для больших локалок.

Может еще есть какие способы... Удачи...


"RE: Итоги"
Отправлено Falcon , 19-Дек-01 13:24 
Люди, я вот смотрю на все ЭТО... Честно говоря, немного стыдно за некоторых товарищей. Такое впечатление, что будь вы знакомы лично, то набили бы друг другу морды (лица), а зачем? Смысл? Поэтому, девочки, не ссорьтесь :-) Я вот еще такой способ придумал. А что, если в роутер две карточки вставить? Смысл в следующем. Клиентам одной сети разрешен Инет, а второй нет. Сразу напрашивается вопрос. А как же они будут работать (юзера) между собой, например по Сети Майкрософт? Да никак. В пределай конторы и по электронной почте можно отправить и 50 и 100 мегабайт. Вот пусть и испытывают маленькие неудобства, если вести нормально не умеют. А если чуваки, которым разрешен Инет хотят поставить прокси-сервер, то пусть ставят хоть по 10 штук на каждую тачку, и все равно у них ничего не получится, так как напрямую они сидят в разных сетях, которые зафаирволенны на роутере. Как вам моя идея? Именно так сделали админы в одной Донецкой конторе, не буду называть ее имя, но контора очень большая.

"RE: Итоги"
Отправлено MF_FLIP , 19-Дек-01 13:47 
>Майкрософт? Да никак. В пределай
>конторы и по электронной почте
>можно отправить и 50 и
>100 мегабайт. Вот пусть и
>испытывают маленькие неудобства, если вести
>нормально не умеют. А если
>чуваки, которым разрешен Инет хотят
>поставить прокси-сервер, то пусть ставят
>хоть по 10 штук на
>каждую тачку, и все равно
>у них ничего не получится,
>так как напрямую они сидят
>в разных сетях, которые зафаирволенны
>на роутере. Как вам моя
>идея? Именно так сделали админы
>в одной Донецкой конторе, не
>буду называть ее имя, но
>контора очень большая.

Хе...
Мне это все "Железный занавес" напомнило
:)


"RE: Итоги"
Отправлено MF_FLIP , 19-Дек-01 13:47 
>Майкрософт? Да никак. В пределай
>конторы и по электронной почте
>можно отправить и 50 и
>100 мегабайт. Вот пусть и
>испытывают маленькие неудобства, если вести
>нормально не умеют. А если
>чуваки, которым разрешен Инет хотят
>поставить прокси-сервер, то пусть ставят
>хоть по 10 штук на
>каждую тачку, и все равно
>у них ничего не получится,
>так как напрямую они сидят
>в разных сетях, которые зафаирволенны
>на роутере. Как вам моя
>идея? Именно так сделали админы
>в одной Донецкой конторе, не
>буду называть ее имя, но
>контора очень большая.

Хе...
Мне это все "Железный занавес" напомнило
:)


"RE: Итоги"
Отправлено alice , 19-Дек-01 19:14 
>Поэтому, девочки, не ссорьтесь :-)
>Я вот еще такой способ
>придумал. А что, если в
>роутер две карточки вставить? Смысл
>в следующем. Клиентам одной сети
>разрешен Инет, а второй нет.
Дарагой Falcon, способо отличный, мы его как раз в параллельном треде (N мессаг от вашей) обсуждаем ;)
>Сразу напрашивается вопрос. А как
>же они будут работать (юзера)
>между собой, например по Сети
>Майкрософт? Да никак.
А вот тут вы не есть правы. Именно для решения этой, с позволения сказать, проблемы, был придуман сервис WINS. Ну или файл lmhosts для тех, кому лень устанавливать лишний мелкомягкий демон (мне, например ;) Мелкософт нетворк на маршрутизируемых сегментах шуршит как нанятый.
Так что можно не мучить юзеров совместной работой с помощью мыла, да и большинство офисных работ практически невозможно провернуть таким образом, всегда нужна и сетевая печать и клиент-серверные приложения, и разделяемые файлы.

Но в остальном ваши выкладки вполне здравы и разумны.



"RE: Итоги"
Отправлено Botva , 24-Дек-01 21:50 
Всем, что плохо стало?
Большинство проксей работает с высоких портов 50000-65535(в случае использование NAT), а наш (не) любимый IE с 1024 и выше. Смотрим в логах, кто ломится в инет с 50000-65535 портов и бьем больно в бубуен.

"RE: Выявление прокси"
Отправлено klot , 20-Дек-01 13:38 
По поводу определения прокси я тебе посоветовать не смогу. Есть другое предложение: если ты можешь заблокировать сетевые настройки на компах - убери протокол IP на тех машинах, которым не разрешено ходить в инет. Решение, конечно, не выдающееся, но ходить на прокси они уже не смогут.

"RE: Выявление прокси"
Отправлено Unnamed , 23-Дек-01 04:52 
Есть предложение достаточно нестандартное...
Пишется небольшая прога которую по ctrl+alt+del не видно...
висит и чекает что пользователь запускает...
в конце дня присылается на мыло или ещё куда на шару складывается список приложений (естессьно одно и тоже приложение 2 раза не записывается)

т.к. компов с инетом нетак и много с утреца можно себя заставить посмотреть логи, стукнуть начальству чтоб отступники получили в рог.

или как вариант эта прога должна убивать процессы/приложения, из запрещенного списка (хотя простое переименование *.exe иногда спасает от такого убийства! :)


"RE: Выявление прокси"
Отправлено Konstantin , 24-Дек-01 12:47 
>Есть предложение достаточно нестандартное...
>Пишется небольшая прога которую по ctrl+alt+del
>не видно...
>висит и чекает что пользователь запускает...
>
>в конце дня присылается на мыло
>или ещё куда на шару
>складывается список приложений (естессьно одно
>и тоже приложение 2 раза
>не записывается)

А как быть с антивирусными прогами которые возможно стоят на машине (например у меня на каждой тачке стоит Касперский), ведь то что ты предлагаешь чистый троян ...

>т.к. компов с инетом нетак и
>много с утреца можно себя
>заставить посмотреть логи, стукнуть начальству
>чтоб отступники получили в рог.
>
>
>или как вариант эта прога должна
>убивать процессы/приложения, из запрещенного списка
>(хотя простое переименование *.exe иногда
>спасает от такого убийства! :)
>


"RE: Выявление прокси"
Отправлено BartSimpson , 24-Дек-01 13:07 
Читай сообщение № 62 в этой ветке (оно кде-то вверху).
У него тожа антивирус стоял. Непомогло.
Лень писать прогу поставь RADMIN, там мона даже экран смотреть удаленно, выключать, захватывать мыш и клаву, у нас много любительниц в пасьянс поиграть, так я за них доигрывал, они фигели, карты сами раскладываются.

Мы или умрем вместе, или поплывем навстречу солнце.
И встретим мы вместе с вами кровавый закат страсти.
З.Ы. Водка, девки, виндузя - мои лучшие друзья...


"RE: Выявление прокси"
Отправлено MF_FLIP , 24-Дек-01 13:42 
>Лень писать прогу поставь RADMIN

неудобно - список процессов не получить + на каждый комп нада залезать, смотреть... да и некоторые юзвери не любят и начинают ныть когда "вмешиваются в ИХ частную жизнь и могут получить доступ к конфиденциальной информации"
ээээээх...


"RE: Выявление прокси"
Отправлено MF_FLIP , 24-Дек-01 13:27 
>>Есть предложение достаточно нестандартное...
>>Пишется небольшая прога которую по ctrl+alt+del
>>не видно...
>>висит и чекает что пользователь запускает...
>>
>>в конце дня присылается на мыло
>>или ещё куда на шару
>>складывается список приложений (естессьно одно
>>и тоже приложение 2 раза
>>не записывается)
>
>А как быть с антивирусными прогами
>которые возможно стоят на машине
>(например у меня на каждой
>тачке стоит Касперский), ведь то
>что ты предлагаешь чистый троян
>...
>

Ну так можно и какой-нибудь телнет-сервер самопальный трояном назвать...

А вобще ничего эти Касперские и иже с ними не определяют - проверено. Я писал прогу, которая висела в памяти и позволяла что угодно (почти) делать с удаленной машиной и ни Касперский ни ДрВеб на неё не ругались.

P.S. если я не убедил то можно еще почитать здесь  http://www.programme.ru/index.phtml?arch/012001/012001_3_3.htm
как раз по теме.


"RE: Выявление прокси"
Отправлено Unnamed , 28-Дек-01 19:12 
Согласен...
Напиши правильно.. (в крайнем случае спроси у Касперского как сделать чтоб тебя А.Вирь не сёк :))))))
Всё будет  ОК....

"RE: Выявление прокси"
Отправлено Sampan , 27-Дек-01 07:59 
>Подскажите, есть ли уже отработанный метод
>выявления факта установления пользователями прокси серверов?

Если сеть не свичеванная, то лучше снифера ни чего нету! Ставишь в нем фильтр на HTTP траффик и как увидел оный между локальными машинами - вот оно! В хорошем снифере можешь настроить alert, например почту будет посылать при заданном событии.
Ежели есть свичи, собери юзеров с разрешенным инетом в один сегмент, ставь машину со снифером туда-же и (см. выше).


"RE: Выявление прокси"
Отправлено uzer , 27-Дек-01 16:03 
>Подскажите, есть ли уже отработанный метод
>выявления факта установления пользователями прокси
>серверов? Если есть подскажите как,
>а то кроме сканирования портов
>юзверя, ничего дельного придумать не
>могу.
Я почитал все сообщения и у меня появилась идея. Просба спецов прокомментировать если можно. Короче так. На самом первом прокси вставляем в html текст некие теги, например картинка 1х1 или яваскрипт который загружается с сервера в локальной сети. При этом в идеале пользователь ничего не замечает, а в логах сервера прописывается некая инфа. Проблема в том будет-ли пропечатывалься инфа "нелегального" пользователя или установленного у юзера прокси. То есть надо написать такой хитрый скрипт, который будет работать в обход прокси, если это возможно.
Ну так что скажете? Полная фигня?  

"RE: Выявление прокси"
Отправлено Евгений , 27-Дек-01 21:13 
IMHO, лучше сниффера ничего не придумаешь. Можно даже обойтись стандартными средствами: раз в час пускаешь tcpdump на 5 минут на предмет межюзерного траффика, отличного от tcp/udp 137-139 и тут все вылезет - самопальные прокси, quake - сервера и много чего еще интересного...

"Знаю, что тебя спасет"
Отправлено Евгений , 27-Дек-01 21:51 
http://ettercap.sourceforge.net/
Из описания:
Ettercap is a network sniffer/interceptor/logger for switched LANs. It uses ARP poisoning and the man-in-the-middle technique to sniff all the connections between two hosts. Features character injection in an established connection - you can inject characters to server (emulating commands) or to client (emulating replies) while maintaining an established TCP connection! Integrated into a easy-to-use and powerful ncurses interface...

"RE: Знаю, что тебя спасет"
Отправлено hobo , 05-Янв-02 15:27 
яНЦКЮЯЕМ Я ОПЕДКНФЕМШЛ ПЕЬЕМХЕЛ МН Я МЕЙНРНПШЛХ ОНОПЮБЙЮЛХ.
оПНАКЕЛЮ:ОНКСВЕМХЕ МЕЯЮМЙЖХНМХПНБЮММНЦН ДНЯРСОЮ Й ПЕЯСПЯС.
лЕРНДШ АНПЭАШ:(ЯОПНЯХ КЧАНЦН security ЮДЛХМХЯРПЮРНПЮ)
1.ЮДЛХМХЯРПЮРХБМШЕ-ОНКХРХЙЮ ЙНЛОЭЧРЕПМНИ АЕГНОЮЯРМНЯРХ ЙНЛОЮМХХ. ЕЯКХ ЕЕ МЕР - ЯПНВМН(!) ПЮГПЮАНРЮРЭ ОНДОХЯЮРЭ Х БМЕДПХРЭ Б СЛШ ЯНРПСДМХЙНБ:)
2.РЕУМХВЕЯЙХЕ-НРЯКЕДХРЭ Х МЮЙЮГЮРЭ Б ЯННРБ Я О.1:)
3....ОНЯКЕДМЕЕ,ЯНАЯРБЕММН РЕУМХВЕЯЙНЕ ПЕЬЕМХЕ ЯЮАФЮ: IDS aka snort (www.snort.org)

ЯЙЮФС РНКЭЙН НДМН: С ЛЕМЪ ЕМРН ПЮАНРЮЕР.ОПХЛЕПМН ДКЪ РЕУФЕ ЖЕКЕИ(РНКЭЙН ДКЪ ДПСЦНЦН РХОЮ РПЮТХЙЮ)

сДЮВХ

гш:хлун...гЮОСЦЮИРЕ ЛЮМЮЦЕПНБ:УЮЙЕПЮЛХ,СРЕВЙНИ ЙНМТХДЕМЖХЮКЭМНИ ХМТНПЛЮЖХХ Х ДПСЦХЛХ ЛЮКНОПХЪРМШЛХ БЕЫЮЛХ(яохд, ЦЕЛНППНИ Х Р.Д.:)))
Х ОНД ЕМРХЛ ЯНСЯНЛ ОНЯРЮБРЕ ЯХЯРЕЛС НАМЮПСФЕМХЪ БРНПФЕМХИ:) мЕР-МЕР, ДЮ ОПХЦНДХРЯЪ:)


"RE: Выявление прокси"
Отправлено VZ , 02-Янв-02 22:35 
Не кидайтесь камнями - это как вариант:
Ставишь юзверам лимит по трафику + логинство типа sarg (где чётко видно когда и куда он зашел) + delay-pools или ограничение трафика на более низком уровне.
Тогда юзверу2 придётся много платить юзверу1 для прокси (психологическая ятяка на юзвера :) ).
К сожалению чисто админовски, без шефом проблему решить никак: будь то покупка сфича, remote control, и прочее. К тому-же не забывай что даже один из шефов может иметь прокси :) (зная или не зная этого)

В целом я склонен раздавать всем инет, но с ограничениями (скоростей, порно, баннеры, mp3) или используя редиректор доступ тока там и там!

А сниферовать сеть на 100-200 компов нехорошо - если это тока не целях секюрити: трафику много и больше каждодневной работы - это уже не админство :( - всё должно автоматом!

P.S. Кстати празники! Поздравляю всех! С новым годом!


"RE: Выявление прокси"
Отправлено john , 08-Янв-02 01:08 
А почему бы не сканировать только те машины где
разрешен выход в инет на наличие открытых портов

"RE: Выявление прокси"
Отправлено Star__ , 09-Янв-02 23:06 
>А почему бы не сканировать только
>те машины где
>разрешен выход в инет на наличие
>открытых портов

А если таких машин в сети около 200? И у каждой нужно просканировать около 6400 портов, а затем ещё и зайти телнетом на каждый подозрительный порт...


"RE: Выявление прокси"
Отправлено Konstantin , 08-Июл-02 19:09 
>>А почему бы не сканировать только
>>те машины где
>>разрешен выход в инет на наличие
>>открытых портов
>
>А если таких машин в сети около 200? И у каждой нужно
>просканировать около 6400 портов, а затем ещё и зайти телнетом на
>каждый подозрительный порт...

привет!
не подоидет ли решение:
1) закрыть все входящие для юзверей и резрешить всем клиентам выходить только как бидирекшинал(keep-state)? в таком случае и прокси никакой не поставишь..да и все остальное придется устанавливать только по согласованию с провом.

2) поставить snort и написать ему рулес для выевления прокси.

Star_ напиши мне на altazar@pit.lv было бы интересно поговорить на эту тему, а если ты нашел уже какое-нить решение, то услышать бы его..