AbcLinuxu:/ Poradna / Linuxová poradna / blokovanie free proxy cez https

Štítky: pravidla, proxy, sítě

Dotaz: blokovanie free proxy cez https

2.2.2009 20:31 Jaro
blokovanie free proxy cez https

Přečteno: 4944×

Odpovědět | Admin

Dobrý deň, ako blokujete prístup do internetu cez freeproxy, ktoré komunikujú cez https protokol? Týmto spôsobom užívatelia obchádzajú pravidlá surfovania nadstavené v squide. Ďakujem.

Nástroje: Začni sledovat (1) ?

Odpovědi

2.2.2009 23:25 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Nijak tomu nezabráníš. Jedině asi blacklist freeproxy serverů ...
Zdar Max

Měl jsem sen ... :(

2.2.2009 23:58 tuxmartin | skóre: 39 | blog: tuxmartin | Jicin
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Blokovat https ;-)

3.2.2009 00:53 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Jop, to je geniální nápad :D. Třeba u nás by pak neběžela půlka webů, kam zaměstnanci potřebují nutně přístup (většinou informační server jiné firmy, jenž běží v https, což je celkem logické).
Zdar Max

Měl jsem sen ... :(

3.2.2009 10:38 Jaro
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Takže môžem mať akékoľvek pravidla v squide, uživateľ si dá https://nejake_free_proxy.xxx a lezie kam chce, sťahuje čo chce. Jediné čo môžem urobiť, zakázať 443 protokol pre konkrétnu ip adresu.

3.2.2009 10:46 hysterix
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Jedinym resenim je delat statistiky a predhazovat je uzivatelum plus pokud ma nekdo obrovsky https traffic na nejaky divny site, at to vysvetli svemu sefovi. Pokud je s tim sef happy, ses taky v pohode.

3.2.2009 13:29 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Né, pokud je daná IP blokována, jak už jsem navrhl výše a jak navrh i Zdeněk Štěpánek ;-)

. Seznamy proxy serverů jsou na každém rohu.
Zdar Max

Měl jsem sen ... :(

4.2.2009 23:54 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Kdo chce, ten vždycky proleze. Já si třeba provozuju vlastní proxy na portu 443 a nikdo o ní neví (no dobře, tak teď už jo :-)

)...

3.2.2009 11:22 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

ve firewallu zablokovat IP toho freeproxy serveru. urcxite nebude problem vygooglit seznam IP adres takovych serveru.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

3.2.2009 11:50 Jaro
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Áno, blokovanie IP funguje. Poradte mi ešte, ako robiť štatistiky? Zatiaľ sledujem náhodne komunikáciu cez iftop. Tam vidím aj prístup na https, ale potreboval by som to nejako slušne logovať. Ďakujem.

3.2.2009 13:47 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Opet ve firewallu, ale jen teoreticky postup, nikdy jsem to nepotreboval delat.

iptables -t mangle -A PREROUTING -d ip_freeproxy -p tcp --dport 443 -j LOG

Je potreba si s tim pohrat, tohle vlastne zaloguje pozadavky na pristup na tu freeproxy. Pokud to nechas odblokovany, muzes i zjistovat kdo to pouziva nejvic. Ono vpodstate poklud to zablokujes a pak budes logovat, tak nalogujes akorat par pokusu, nez si to uzivatele zrusej protoze jim nepujde net. Urcite pouzij nejakou sumarizaci, jinak ti to zaloguje nejspis kazdej paket, a to asi nechces... Nevim kam to loguje a nevim co vsechno. To uz si musis vyzkouset sam.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

3.2.2009 14:22 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Podle mně je toto věc proxy serveru. Takové pokusy bych blokoval přímo na něm, čímž docílíš jak třeba možného logování, tak třeba i vystrašujícího redirektu, kdy se uživatel pokusí přistoupit na nějakou stránku na blacklistu a ty mu místo stránky předhodíš svojí varovnou typu : "Přistupujete na zakázanou stránku. Tato skutečnost byla oznámena administrátorovi. Pokud se domníváte, že je tato stránka nezbytná pro vaší práci, konzultujte to s administrátorem.". Nebo něco takového, čeho se povětšinou lidé leknou :).
Zdar Max

Měl jsem sen ... :(

3.2.2009 15:41 Jaro
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Neviem ci som spravne pochopil posledny prispevok od Maxa. Pristup cez http mam na routri kde bezi aj squid osetreny. Hodit tam akukolvek hlasku, ked uzivatel lezie kam nema, nie je problem. Lenze https protokol mi squid nevie logovat. A tym ani nemozem dat blacklist na https stranky. Ostava moznost este logovat s iptables, ako spomenul Zdenek. A taktiez v iptables blokovat ip adresy freeproxy serverov.

3.2.2009 16:23 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Áha, to jsem nevěděl. Tak to opravdu asi jedině fw.
Zdar Max

Měl jsem sen ... :(

3.2.2009 15:54 VM
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Zajímalo by mě, jaký problém chcete tím blokováním vyřešit. Mám zkušenosti, že s tím jsou jen problémy, a jakákoliv cenzura nepřispívá k vzájemným vztahům.

3.2.2009 16:16 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

No, až budeš mít okolo 250 uživatelů a budeš jim věřit, že nebudou klikat na netu na všechno, co uvidí, aby si nezavirovali PC, v horším případě celou síť, tak dej vědět. Rád se pak podívám, v jakém stavu tu síť budeš mít.
Zdar Max

Měl jsem sen ... :(

3.2.2009 18:02 hysterix
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Nesouhlasim. Boj s lidskou kreativitou nastavenim firewallu a proxy nevyhrajes. Je treba osveta, dohled a kontrola. A take nestupidni vedeni :)

4.2.2009 22:44 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

A teď promluvila praxe, nebo co?
Budeš se divit, ale nemáme nejmenší problémy ;-)

Nevím jak ty, ale já se v práci rozhodně nenudím a na nějaký prolejzání logů z proxyny a monitorování uživatelů nemám fakt čas ani náladu ;-)

. Při 10 uživatelých budiž, ale když je máš ve stovkách, tak už to tak pěkná věc nejni.
Ani nevím, jak dohled, kontrola a osvěta napomůže tomu, aby nějaký debil neťukal tam, kam nemá. Nepatřím mezi nějaký extra důvěřivce ;-)

.
Zdar Max

Měl jsem sen ... :(

5.2.2009 00:09 hysterix
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Strasne se stydim, ze si dovoluji obtezovat tak zamestnaneho cloveka, ale jak je mozne, ze pri tak obrovskem pracovnim nasazeni vase proxy ani vasi uzivatele jeste nemaji nainstalovan antivir a stale jedou jako admini? Pokud nekdy v pristim tisicleti vam vybyde trocha casu, zkuste se zamyslet, zda se logy musi projizdet rucne. Moc dekuji, ze jste se vubec obtezoval odpovedet na muj ponizeny a nemistny post.

Zdar Min

5.2.2009 09:47 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Neříkej, že jsem se tě mým komentářem dotkl :)
Antiviry samozřejmě nainstalovány máme. Vím, že logy nemusí člověk procházet ručně, ale výsledky už ano a je toho opravdu nemálo ;-)

.
Zdar Max

Měl jsem sen ... :(

5.2.2009 22:16 hysterix
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

To je presne ono. "Neříkej, že jsem se tě mým komentářem dotkl", "A teď promluvila praxe, nebo co?", "Budeš se divit, ale nemáme nejmenší problémy" apod. To jsou vsechno kecy emocne labilniho a nejistotou suzovaneho jedince. Divny je, ze pises "Že tobě se něco nestalo ještě neznamená, že se to nemůže stát, nebo že se to nemůže stát někomu jinému" a pritom se tim sam neridis - ergo kladivko evidentne sam nechapes, co rikas. Mene emoci a vic logiky - otevre se ti uplne jiny svet a sam se svym vylevum zasmejes.

5.2.2009 23:21 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Nevím čím to je, možná nevyspáním, ale vůbec tě nechápu :-/. Jak neřídím? Právě, že snad řídím, ne? Když se snažím eliminovat každou skulinu, kudy by něco zákeřného mohlo přijít.
Toto nemá cenu, neslyšel jsem od tebe žádné argumenty, reaguješ úplně na něco jiného a jen urážíš :-/
Zdar Max

Měl jsem sen ... :(

3.2.2009 18:49 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Zavirování se brání tak, že uživatel nemá právo zápisu tam, kam zapisovat nemusí – třeba do aplikací. Spravoval jsem síť na gymplu, na proxy bylo zablokováno pár on-line her, které zbytečně vytěžovaly internetovou přípojku a pozornost studentů, a to bylo vše. Nebyl potřeba žádný antivir a nebyly žádné problémy s viry.

4.2.2009 08:50 Jaro
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Pravidla su tu na to, aby kazdy mohol pracovat a vyuzivat internet na svoju pracu. Taktiez az si niekto pozrie nieco sukromne, tak mu nikto hlavu neodtrhne. Problemy zacinaju tam, ked sa najde zopar chytrakov, ktori zneuzivaju pracovne prostriedky na ukor ostatnych. Neumernym stahovanim vytazuju pristup do internetu, cim spomaluju pracu kolegov. Navstevovanim warezov a podobnych stranok zaviruju pocitac a siet. Nastrbuju bezpecnost firemnej siete. Pasivny pristup administratora k tejto problematike asi nie je spravny. Dakujem vsetkym za ich rady a nazory. Zelam pekny den.

4.2.2009 22:36 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Máme tu díru ve woknech, na které MS ještě nevydal záplatu. Pak tu máme nějakýho kreativce, který by nejraději porklikal všechny stránky s péčkama. Myslím, že je jasné, jaká je úspěšnost nákazy. Pár varovných oken a vzdá to. Nefungují mu žásné stránky s péčkama, nejdou mu free proxy servery, které mu radí všichni jeho kamarádi a co udělá? Vydlábne se nato. Řekne si, že je to neproniknutelný a věř nebo ne, takhle to funguje a funguje to dobře.
Že tobě se něco nestalo ještě neznamená, že se to nemůže stát, nebo že se to nemůže stát někomu jinému ;-)

.
Zdar Max

Měl jsem sen ... :(

5.2.2009 00:34 voves
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Musi byt mimoradne povznasejici naprosto jiste vedet, ze jste zablokoval veskere pecko na internetu. Spolu s jistym postmasterem, ktery cokoli na portu 25 zablokuje, tak je to spam, byste mohli ten augiasuv chliv na internetu vycistit behem 3 dnu :)))

BTW o kterou wokenni diru jde?

PS Nejste pribuzny doktora Ratha?

5.2.2009 23:03 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Nic takového netvrdím. To si má myslet uživatel ;-)

. Samozřejmě vím, že blacklist není nic stoprocentního.
O jakou? Zřejmě jste nepochopil, že mluvím čistě hypoteticky (vzhledem k tomu, že díry ve webových prohlížečích byly a jsou atd.)
To, že zjevně neuznáváte blokování ještě neznamená, že jsem příbuzný toho na hlavičku nemocného p. Ratha. Vůbec nechápu, jak k takovým názorům může někdo dojít.
Zdar Max

Měl jsem sen ... :(

5.2.2009 08:05 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Díra ve Windows vás nemusí zajímat, pokud nejde o průšvih typu buffer overflow při zpracování paketu. Pokud tedy nepovolíte připojení na stanice s Windows z venku a zajistíte, aby ten vir nebyl přímo ve vaší síti. Pokud jde o zavirování počítače z webových stránek, musela by být chyba v internetovém prohlížeči. O žádné chybě v aktuálním Firefoxu nebo Opeře, která by umožnila vykonání kódu, nevím. Pokud je taková díra v MSIE, prostě nedovolte uživatelům používat MSIE. Pokud máte strach, že i tak stáhne nějaký exe soubor a ručně ho spustí, zakažte spouštění neautorizovaných programů. Pokud chcete uživatelům blokovat na proxy přístup k některým serverům, blokujte jim ho. Ale nevymlouvejte se, že je to kvůli virům.

5.2.2009 23:16 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Jak už jsem řekl, zřejmě jsem nebyl pochopen. Mluvil jsem o čistě hypotetické situaci, kdy se díra vyskytne (z historie víme, že to není nic neobvyklého). Samozřejmě jsem myslel díru ve webovém prohlížeči, kde jinde, když se tady bavíme o proxyně. Ano, ve firmě používáme IE (proto jsem řekl díra ve windows a neřekl jsem v prohlížeči, moje chyba). Je to nejsnazší na aktualizace a správu. Nechápu, proč ho zakazovat. Díry jsou všude, někde méně, někde více. Vím, že IE není dokonalý, ale také to není žádná vykopávka ;-)

.
Na proxyně se samozřejmě neblokují jen samotné stránky, ale i přípony souborů atd.
To není výmluva. Je to celkem velké riziko, které se řeší blokací. Jaksi nechápu, co je na tom špatného :-/.
Zdar Max

Měl jsem sen ... :(

5.2.2009 23:30 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Jinak ještě k tomu gymplu. Jsem rád, že ti všechno probíhalo dobře. Můžu to přirovnat k následujícímu :
Znám kluka, který nepoužívá antivir, firewall atd. Nikdy nechytil vira. Také znám kluka, který měl PC zavirovaný každou chvíly ač měl antivir i firewall.
Ani jedno z toho není náhoda. Někdo na netu moc nepobývá, nebo chodí jen na známé informační servery. Někdo zase leze všude možně a tak je náchylnější občas něco chytit. To, že předpokládáme, že jsou jsou všichni zvědavější a potenciálně náchylnější a snažíme se eliminovat každou skulinku, je špatně? Blokujeme kvůli potvorám, kvůli tomu, aby nezatěžovali síť videama apod. věcma. Všechny počítače se aktualizují, všude jsou antiviry a aktivní firewally, blokují se nebezpečné přípony v mailech a mnoho dalšího.
Zdar Max

Měl jsem sen ... :(

6.2.2009 10:20 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Vy to pořád popisujete, jako by se počítačové viry šířily kapénkovou infekcí z procesoru na procesor. Aby uživatel mohl „chytit vira“, musí jeho kód buď vědomě spustit, nebo jej musí spustit kvůli chybě jím používaný program. Spuštění externího souboru se dá snadno zabránit nastavením přístupových práv a povolených aplikací, takže zbývá spuštění kódu přímo v rámci prohlížeče. I když je takový vir spuštěn, musí mít nějaké možnosti, jak škodit – pokud se jednou spustí a nedokáže se zapsat nikam, aby se mohl spustit i po příštím startu počítače, je vcelku neškodný. Jestli přitom promázne dokumenty uživatele, který ten vir vědomě spustil, beru to spíš jako plus – dotyčnému dokumenty obnovím ze zálohy, a výchovný efekt je nenahraditelný. MSIE nepoužívám právě kvůli možnosti chyby v prohlížeči – je to jediný prohlížeč, který umožňuje přímo spouštět neinterpretovaný kód (ActiveX), proto jej považuji za nejnáchylnější k tomu druhu chyb, kdy se bez vědomí uživatele spustí výkonný kód.

Ta vaše eliminace každé skulinky je sice hezká věc, ale eliminujete na špatném místě. Vy chcete zabránit nákaze virem, a místo toho blokujete přístup na některé internetové stránky nebo používáte antivir. Asi si myslíte, že je nějaká souvislost mezi tím, čeho chcete dosáhnout, a tím, jaká děláte opatření. Ale ony ty souvislosti jsou prapodivné a nechávají v sobě spoustu skulinek. Rozhodně mi připadá účinnější proti virům bojovat tak, že uživateli nedovolím zapisovat někam, kam zapisovat nemusí, číst něco, co číst nemusí, a spouštět každý kód, který se mu dostane do ruky. Pak už je úplně jedno, zda si ten kód stáhne ze zakázaného serveru, z povoleného serveru, někdo mu ho pošle e-mailem nebo ho přinese na flash disku.

6.2.2009 11:52 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

V podstatě máte pravdu a já bych taky použil toto řešení jako dost dobré na místo filtrování webu.

Na druhou stranu je třeba si připustit, že někdo považuje za hrozbu i keylogger, který nepřežije relaci.

Taktéž se obávám, že ve Windows vždy zůstanou nějaké adresáře, kam uživatel musí mít právo zapisovat i odkud musí mít právo spouštět. Viděl jsem podobně zabezpečený systém na královehradecké lékařské fakultě a stačila mi hodina na nalezení takového slabého místa.

I když teoreticky by to zabezpečit jít mělo. Třeba vzdálený desktop Ulteo používá Linux se SELinuxem a tam se mi nepodařilo propašovat žádný binární kód.

6.2.2009 12:05 hysterix
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Jen pro zajimavost - vazne existuje keylogger, kteremu ke spravne fumkci staci i prava bezneho uzivatele?

6.2.2009 12:24 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Jestli existuje, nevím, ale napsat takový pro X11 není žádný problém.

6.2.2009 14:30 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Windows jdou nastavit tak, aby povolily spouštění jen podepsaných nebo vyjmenovaných programů. Pokud uživatel nemá testovat/spouštět/vytvářet nový software, není důvod, proč by měl spouštět jiné programy, než ty explicitně vyjmenované (což samozřejmě na druhé straně předpokládá, že když je zvyklý pracovat třeba se správcem souborů XY, firma mu ho bez diskuzí koupí a nainstaluje).

Keylogger, který nepřežije relaci, je hrozba, ale hrozba pro dotyčného zaměstnance. Na správci je zajistit, aby se mu nedostal do počítače sám od sebe. Pokud si ho uživatel aktivně stáhne a spustí, je to jeho problém a jeho zodpovědnost. Správce by ho maximálně měl upozornit, že pokud bude stahovat kde co z internetu, takové riziko mu reálně hrozí. Navíc důležité systémy (třeba přístup k bankovnímu účtu) by měly být zabezpečené tak, aby je keylogger neohrozil – jednorázová hesla, externí šifrovací modul apod.

6.2.2009 13:50 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: blokovanie free proxy cez https

Souhlasím, ale toto řešení se dá použít jen někdě. Příkladem budiž jednolité klientské stanice třeba v makru, ve škole apod. Pokud je síť rozmanitá, používá se v ní desítky různých komerčních softů, klienti migrují, přípojná zařízení se často mění a problémy musí být nutně řešeny v co nejkratším čase, takto to prostě není možné udělat. Správa by byla potom velmi kontraproduktivní. A s runas si člověk v dost případech nevystačí.
Klient zavolá - vncéčkem se připojím - dost často potřebuji admin práva a runas na vše nestačí, přepnout se do účtu s adminem nemůžu, aniž by se klient neodhlásil, protože netware.
Ono je to všechno pěkný, mít klienty stejný jak vejce, celou stanici obnovit na dva kliky myší(třeba pomocí Altiris), nedovolit uživateli ani pšouch, ale tam, kde začíná rozmanitost, končí i pohodlí.
Pak je potřeba najít nějaký kompromis a tím jsou vyšší práva uživatelů, blokace, antiviry a různé další řešení, které minimalizují riziko problémů. Odměnou je pak rychlá možnost modifikace klienta v krátkém čase s velmi malým rizikem.
Zdar Max

Měl jsem sen ... :(

Založit nové vlákno • Nahoru

Tiskni Sdílej: