"Умные" юзера скачали и установили туннелизирующий socks сервер на свои машины. И теперь, несмотря на все запреты ipchains и squid, лазят где попало :(((
Работает он по HTTP порту, squid добросовестно фиксирует это в логах. Конечно, я могу запрещать адреса, по которым он коннектится, но не сидеть же мне целыми днями за просмотром логов, выискивая все новые и новые адреса. И где гарантия того, что в следующий раз они не полезут через pop3 или smtp, логи которых не ведутся?
Кто-нибудь боролся с подобным?
Заранее спасибо.

• RE: Внутренняя безопасность: запрещение туннеля через Squid.,admin, 12:31 , 18-Ноя-02
  • RE: Внутренняя безопасность: запрещение туннеля через Squid.,uzna, 14:32 , 20-Фев-03
• Внутренняя безопасность: запрещение туннеля через Squid.,poige, 15:31 , 04-Апр-03
  • Внутренняя безопасность: запрещение туннеля через Squid.,butcher, 15:07 , 09-Апр-03
    • Внутренняя безопасность: запрещение туннеля через Squid.,Сидякин Виталий, 18:02 , 09-Апр-03
      • Внутренняя безопасность: запрещение туннеля через Squid.,Alex, 21:59 , 04-Сен-03
        • Внутренняя безопасность: запрещение туннеля через Squid.,Serg, 21:30 , 10-Дек-03
          • Внутренняя безопасность: запрещение туннеля через Squid.,Nikolaev_D, 22:46 , 19-Янв-04
• Внутренняя безопасность: запрещение туннеля через Squid.,baka, 17:36 , 23-Янв-04
  • Внутренняя безопасность: запрещение туннеля через Squid.,Nikolaev_D, 22:24 , 10-Фев-04
    • Внутренняя безопасность: запрещение туннеля через Squid.,ase, 04:00 , 22-Янв-06
    • Внутренняя безопасность: запрещение туннеля через Squid.,Сергей, 00:18 , 27-Фев-06

>"Умные" юзера скачали и установили туннелизирующий socks сервер на свои машины. И
>теперь, несмотря на все запреты ipchains и squid, лазят где попало
>:(((
>Работает он по HTTP порту, squid добросовестно фиксирует это в логах. Конечно,
>я могу запрещать адреса, по которым он коннектится, но не сидеть
>же мне целыми днями за просмотром логов, выискивая все новые и
>новые адреса. И где гарантия того, что в следующий раз они
>не полезут через pop3 или smtp, логи которых не ведутся?
>Кто-нибудь боролся с подобным?
>Заранее спасибо.

Самый верный и быстрый способ.

1. Отрезаешь провода на которых сидят "Умные" юзера
2. Закрываешь серверную и идешь пить пиво/водка.
3. Возвращаешься через 2 часа (но не раньше)
4. Общаешься с "Умные" юзера, попутно вымогая пиво/водка.
5. Получая желаемое, закрываешь серверную и идешь домой.
6. В ответ на вопли "Умные" юзера, рассказываешь про вспышку на солнце.
7. Восстанавливаешь провода, но не раньше, чем через 2 суток.

Неверный способ.

Используешь redirector

squid пропускает через него stdin, а затем читает его обратно.

В redirector пишешь что нибудь типа:

while (<>) {

($url, $who, $ident, $method) = /^(\S+) (\S+/) (\S+)$);

Смотришь все это дело и если видишь, что запрос сделан через socks,

то $url="место, где лежит какая нибудь фигня";

print $url;
}

Подробнее смотри http://squid.opennet.ru/redirect.html

пробовол использовать аутентификацию через ncsa и подобные модули?

>"Умные" юзера скачали и установили туннелизирующий socks сервер на свои машины. И
>теперь, несмотря на все запреты ipchains и squid, лазят где попало
>:(((
>Работает он по HTTP порту, squid добросовестно фиксирует это в логах. Конечно,
>я могу запрещать адреса, по которым он коннектится, но не сидеть
>же мне целыми днями за просмотром логов, выискивая все новые и
>новые адреса. И где гарантия того, что в следующий раз они
>не полезут через pop3 или smtp, логи которых не ведутся?
>Кто-нибудь боролся с подобным?
>Заранее спасибо.

С чем бороться? С тем, что пользователи обошли запреты?
Если да, то наиболее эффективное решение это меры административные, разумеется. Но если главное не это, а уверенность, что запреты не обойдут
даже если специально будут пытаться, то нужно использовать принцип "default deny". И разрешать только те хосты, которые нужны, администраторы которых тебе пообещают (подпишут соглашение), что у них только "порядочные" WEB-сервера (без тунелей) и ничего более. Не забудь пункты про ответственность, порядок оценки и возмещения ущерба, обрати внимание на форсмажорные обс-ва. ;-)

Кстати, как именно работает этот тунель? Он случайно не метод CONNECT использует? :-) Как называется их софтина?

/poige
--
http://www.morning.ru/poige/

ИМНО httpport работает следующим образом:
т.к. прога не бесплатная, то в инете стоит сервер, который обслуживает этих клиентов (httpport), те коннектятся к нему, говорят что и куда им нужно, тот, соответственно, пропускает через себя все запросы и ответы преобразует в HTTP траффик.
Выводы, определяем куда в инете лезет эта прога и DENY на его IP..
точно не уверен, но ИМНО должно помочь..

>Выводы, определяем куда в инете лезет эта прога и DENY на его
>IP..
>точно не уверен, но ИМНО должно помочь..

Эх... Заблочил один ip, так она на другой полезла.
Пришлось действовать методом убеждения, что ставить такие проги неправильно, и что во второй раз про эту неправильность будет кое-кто "повыше" меня объяснять. Подействовало... Но не обезопасило на все 100...
Не могу же я ежедневно тонны логов просматривать.

>>Выводы, определяем куда в инете лезет эта прога и DENY на его
>>IP..
>>точно не уверен, но ИМНО должно помочь..
>
>Эх... Заблочил один ip, так она на другой полезла.
>Пришлось действовать методом убеждения, что ставить такие проги неправильно, и что во
>второй раз про эту неправильность будет кое-кто "повыше" меня объяснять. Подействовало...
>Но не обезопасило на все 100...
>Не могу же я ежедневно тонны логов просматривать.

Интересная тема :) В принципе, здесь все уже сказали из того что я мог добавить : единственный способ борьбы - административный. Могу только сказать, что серверная часть программы для обхода firewall-а не обязательно может работать только как fake httpd на 80 порту. Некоторое время назад я написал похожую программу, в которой сервером является CGI скрипт, позволяющий делать туннели для чего угодно, бегающего в TCP или UDP. http://gray-world.net - firepass.

Alex

у меня в универе подобная проблема :)
Сам являюсь таким юзером:)
Ка я понимаю, почему бы просто не запретить метод Connect? или разрешить его только для SSL?
кстати, на днях скачал, метров 200. Немного пожадничал. результат: заблочили https-proxy И кстати HTTport теперь не создаёт туннели с другими подобными проксями..не онимаю, как админы могли это зашить?? это же нереально? ну если запретить метод Коннект - это ведь не выход...остаётся GET, а его ведь не закрыть :))

>у меня в универе подобная проблема :)
>кстати, на днях скачал, метров 200.

А могут и поймать, и припать статью по УК. Взрослее надо быть.

Скажите пожалуйста, как для сквида выглядит работа НТТР-туннеля? Как отражается в логах?

>Скажите пожалуйста, как для сквида выглядит работа НТТР-туннеля? Как отражается в логах?
>

а некий запрос по некому урлу. и все.

Можно поступить и несколько иначе. Технически-административно.
Сделать на проксе группу - разрешены только определенные сайты, на остальные служебка со списком сайтов. Админ просматривает, и если ничего критичного нет, то группе разрешает. На остальные сайты - deny.

Итак. Провинившегося юзера заносим в такую группу. После помещения трех четырех юзеров в эту группу, как правило "умных любителей" становится на порядок меньше.

>>Скажите пожалуйста, как для сквида выглядит работа НТТР-туннеля? Как отражается в логах?
>>
>а некий запрос по некому урлу. и все.

не совсем.
единичный запрос именно так и выглядит - запрос по некому урлу и всё.
но при _импользовании_ (реальном) такого туннеля таких запросов десятки и сотни.

соответственно, отлавливается элементарной статистикой посещений.

Мы ведь люди взрослые, правда? и за логами нашего прокси-сервера всё-таки следим ...

А вообще вопрос организационный - если есть распоряжение "нельзя", то нельзя. и админ может либо блокировать такие ..., либо просто сообщать "по инстанции"
а если распоряжений нет - можно от пользователей и по фейсу канделябром схлопотать. Ибо называется это уже иначе - "самоуправство админа" и "беспредел".