|
2.2, samm (ok), 14:24, 11/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
И, кстати, я соверешнно не понимаю кто (или что) мешает вашим пользователям использовать прокси не по адресу, а по хостнейму, гг.
| |
|
|
4.6, samm (ok), 16:15, 11/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> а что мешает делать прокси-сервер прозрачным ?
Это ничего не изменит. Кстати, я вообще вижу не очень много смысла в прокисровании ссл траффика - фильтрацию все равно не добавить (как и кеширование), ну разьве что статистику считать чуток удобнее.
| |
|
5.10, Sw00p aka Jerom (?), 16:25, 11/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> а что мешает делать прокси-сервер прозрачным ?
> Это ничего не изменит. Кстати, я вообще вижу не очень много смысла
> в прокисровании ссл траффика - фильтрацию все равно не добавить (как
> и кеширование), ну разьве что статистику считать чуток удобнее.
да плохая идейка проксировать ссл - я предпочитаю натировать
| |
|
4.25, Aquarius (ok), 20:04, 13/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> а что мешает делать прокси-сервер прозрачным ?
а с каких пор skype работает по http?
| |
|
5.34, Nik (??), 18:35, 28/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
Вообще-то с рождения. :-)
Он пробует разные протоколы, и если ничего не получается, врубает http.
| |
|
|
3.7, max88 (ok), 16:18, 11/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
Имеется ввиду не само обращение пользователя к прокси серверу, а уже скайпа к своим серверам. Скайп всегда обращается к серверам по ip-адресам, а не по хостнеймам.
| |
|
4.8, samm (ok), 16:21, 11/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
А, понятно. Ну да, это логично запретить, не думаю что кто-то использует ссл с айпи только.
> Имеется ввиду не само обращение пользователя к прокси серверу, а уже скайпа
> к своим серверам. Скайп всегда обращается к серверам по ip-адресам, а
> не по хостнеймам. | |
|
|
2.4, Sw00p aka Jerom (?), 16:08, 11/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Ужасное решение. Откройте для себя снорт, наконец.
по ваше анализировать в реалтайме трафик - это круто ? нежели один раз проснифать и статически всё блочить
| |
|
3.5, samm (ok), 16:13, 11/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Ужасное решение. Откройте для себя снорт, наконец.
> по ваше анализировать в реалтайме трафик - это круто ?
Это не "круто", это то, как работают все современные IDS.
> нежели один раз проснифать и статически всё блочить
1 раз в неделю вы хотели сказать. При этом решение требует еженедельного ручного обновления. И обходится элементарно. А так - все круто, да, нет сомнений.
| |
|
4.9, Sw00p aka Jerom (?), 16:23, 11/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>1 раз в неделю вы хотели сказать.
то есть вы хотите сказать что скайп обращается к нодам авторизации не на прямую а через посредников ?
| |
|
5.12, max88 (ok), 16:27, 11/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>>1 раз в неделю вы хотели сказать.
> то есть вы хотите сказать что скайп обращается к нодам авторизации не
> на прямую а через посредников ?
Да, у скайпа есть такая возможномсть, соединиться через другой компьютер, где запущен скайп. В реальной сети я пробовал это, компьютер на котором запрещён скайп, не смог соедениться через другой компьютер, на котором был запущен скайп и был в сети. Возможно это будет работать, только при наличии каких то определённых параметров, таких как мощность компьютера, скорость соединения с интернетом и т.д.
| |
|
6.14, Sw00p aka Jerom (?), 16:33, 11/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>>>1 раз в неделю вы хотели сказать.
>> то есть вы хотите сказать что скайп обращается к нодам авторизации не
>> на прямую а через посредников ?
> Да, у скайпа есть такая возможномсть, соединиться через другой компьютер, где запущен
> скайп. В реальной сети я пробовал это, компьютер на котором запрещён
> скайп, не смог соедениться через другой компьютер, на котором был запущен
> скайп и был в сети. Возможно это будет работать, только при
> наличии каких то определённых параметров, таких как мощность компьютера, скорость соединения
> с интернетом и т.д.
___h_t_t_p://www.villoing.net/dossiers/skype.pdf
всё равно можно статически (статическими правилами файервола) блочить скайп
выявлять сигнатуры пакетов на авторизацию
тоже самое и делают IDS
так же и блочиться p2p (который как три года успешно режу по сигнатуре)
| |
|
7.16, Аноним (-), 17:45, 11/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> __h_t_t_p://www.villoing.net/dossiers/skype.pdf
> всё равно можно статически (статическими правилами файервола) блочить скайп
> выявлять сигнатуры пакетов на авторизацию
А можно реальные примеры правил блокировки или хотя бы сигнатур ? А то в том документе только расплывчатые теоретические выкладки.
| |
|
|
|
|
|
|
|
2.13, max88 (ok), 16:30, 11/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Зачем всё это? Не проще перекрыть порты skype?
Да, можно, и проще всего. Видите ли, запретив все порты, мы запретим и 443(https), а его используют давольно часто, придётся жёстко прописывать в браузере адрес прокси сервера, т.к. прозрачного https проксирования не существует, на сколько я знаю. И к тому же мы перекроем доступ к аське и маил агенту, а может их не надо закрывать. Опять же, их можно пустить через проксю, но это геморно. ИМХО.
| |
|
3.27, Mikula (?), 16:05, 22/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>к тому же мы перекроем доступ к аське и маил агенту
IMHO нет. Т.к. "стандратный" аськин порт 80-ый. К тому же ася-зло
| |
|
2.15, samm (ok), 17:37, 11/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Зачем всё это? Не проще перекрыть порты skype?
ГГ ) Нет никаких "портов скайп".
| |
|
3.28, Mikula (?), 16:06, 22/07/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Зачем всё это? Не проще перекрыть порты skype?
> ГГ ) Нет никаких "портов скайп".
ГГ ) Т.е. связь через астрал, так и запишем :-D
| |
|
4.29, samm (ok), 16:09, 22/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> ГГ ) Т.е. связь через астрал, так и запишем :-D
хорошо, 1-65535, вам так легче? Добавим в фаер блокировку по портам, ась?
Удивительно, что только не делают вместо того, чтобы немного почитать об обсуждаемой теме.
| |
|
5.32, Mikula (?), 10:42, 28/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>хорошо, 1-65535, вам так легче?
Что, узнали диапазон портов? Возьми с полки пряник
| |
5.33, Bestman (?), 10:47, 28/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> ГГ ) Т.е. связь через астрал, так и запишем :-D
> хорошо, 1-65535, вам так легче? Добавим в фаер блокировку по портам, ась?
> Удивительно, что только не делают вместо того, чтобы немного почитать об обсуждаемой
> теме.
Т.е. всё же порты используются? Молодец! Растёшь на глазах.
| |
|
|
|
|
1.20, Аноним (-), 09:01, 13/07/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Какое-то кривое пионерское решение. Что такой недо-совет делает на опеннете? Столь мощные советы школьного уровня позорят ресурс: такие горе-советы более уместны в журнале "ксакеп", там их поймут и даже поверят что все эти извращения - типа круто.
| |
|
2.30, Maresias (ok), 15:38, 24/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А почему Скайп вообще установлен у этих пользователей?
Чтобы можно было блокировать ему доступ в инет. Просто выпилить - это скучно :)
| |
2.31, Аноним (-), 12:11, 27/07/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А почему Скайп вообще установлен у этих пользователей?
У них личные ноутбуки :)
| |
|
3.35, count0 (ok), 08:27, 18/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> А почему Скайп вообще установлен у этих пользователей?
> У них личные ноутбуки :)
Подобные вопросы (о разрешении/запрещении использования определенного ПО) определяются корпоративной политикой. Директор выпускает распоряжение о списке разрешенного ПО (на "личных" ПК можно запретить его запускать во время подключения к ресурсам компании). Всё остальное - разрешается по служебке, которые хранятся в сейфе. При 1м фиксировании нездоровой активности с ПК - пользователю отправляется предупреждение о нарушении корп. политики (со скриншотом лога во вложении), копия - на его непоср. руководителя. При повторном нарушении - последнее китайское, с копией на директора предприятия, поднимается вопрос о необходимости использования интернета данным сотрудником, его соответствии занимаемой должности. При 3м нарушении - интернет отключается без предупреждений, подключение - по письменному указанию директора.
Работает на 100% эффективно, снорт не нужен (хотя и стоит, но для других целей, прикрывает внешку). Юзеры поначалу качают права, после пары увольнений начинают относиться очень вежливо и доброжелательно.
Дружите с директорами - работы становится намного меньше ;-)
| |
|
|
|