LINUX.ORG.RU
решено ФорумAdmin

squid - блокировка анонимайзеров

 


0

1

Привет!
Заблокировал доступ к социальным сетям, но ушлые юзеры пользуются анонимайзерами и рассказывают другим. Одно дело, что они обходят блокировку, но также на анонимных прокси куча вирусов и рекламы. Есть ли всегда актуальный список анонимайзеров для блокировки? Или подскажите как заблочить их с помощью squid.
Знаю, что тема изрядно изъезжена, но 100% решения в гугле так и не нашел.


Исходя из принципу, что на каждую хитрую задницу найдется свой болт с левой резьбой, заблочишь анонимайзеры - хакир Вася поднимет на домашней тачке VPN и будет срать вконтактике через него.

Без административного ресурса - задача не решаема в принципе.

Ну и имхо эффективней смотреть на решение сотрудником своих обязанностей. А там - пусть хоть весь день вконтактике зависает - если его так прет.

kombrig ★★★
()
Последнее исправление: kombrig (всего исправлений: 1)

Абсолютно надежного решения в этом вопросе нет.

Для себя решений нашел несколько, кои и озвучу:

1. Доступность сайтов по «белому листу». 100% избавляешь от нежелательного контента. Стоит делать на «гостевых» местах.

2. Отслеживать все анонимайзеры и блочить их. Их очень много, но в статистики Squid они всегда всплывают на вверх, и их легко отследить. Обычные пользователи устанут искать новые лазейки и просто перестанут пользоваться. С упорытыми бороться только административными методами.

3. Административное воздействие. Все сайты доступны. Но руководство регулярно (например раз в месяц) просматривает TOP-100 популярных сайтов по посещениям; по объему. Обычно это самый действенный метод. Весь интернет доступен, что иногда важно, но все же никто не смотрит порно.

И помни, что Squid — это прежде всего кеширующий прокси, а не средство блокировки или административного воздействия на пользователей.

ivanlex ★★★★★
()
Ответ на: комментарий от kombrig

Если порты не пробрасывать, то никакие VPN Васе не помогут. А порты должны быть проброшены только для тех приложений, которые не умеют работать через интернет, и только у тех пользователей, у которых они установлены.

Тогда никакие VPN не страшны, никакие аськи, скайпы, торренты или i2p. Нужно следить за трафиком и не допускать утечек. Для этого мы и нужны.

ivanlex ★★★★★
()
Ответ на: комментарий от kombrig

Административные наказания пока что не рассматриваются, т.к. генеральному все равно кто где шарится. Это моя инициатива, канал забивают разными медиа + отупели совсем коллеги, целыми днями в контактиках.

riso
() автор топика
Ответ на: комментарий от ivanlex

Вроде как видел в инете acl для блокирование ответов приходящих с другого прокси. Но найти не могу.
Белые листы не рассматриваю, т.к. гостей нет и разброс сайтов оч большой. С портами все ок, порезано все, кроме необходимого.

riso
() автор топика
Ответ на: комментарий от ivanlex

И как отсутствие проброшеных портов повлияет на тот же OpenVPN клиент, лезущий на домашний сервер на 443 или 80-м порту?

kombrig ★★★
()
Ответ на: комментарий от riso

Тут тебе режик советуют ставить. Но мой совет — не ставь сторонних редиректоров типа режиков или самса. У Squid есть собственных редиректор, пусть он и не такой «прошареный» как сторонние, но зато он легкий, легко настраивается и мало жрет ресурсов.

Мой совет — сделай правило на .mp3/.avi/.mp4 и другие (а еще лучше по mime их фильтруй), а редиректором перенаправляй на файлы-заглушки, приготовленные заранее. Например, пользователь хочет клип посмотреть во «вконтактике», а у него просматривается видео корпоративного собрания; хочет музычку послушать, а у него играет гимн корпорации.

И сделай расписание, что бы за час до работы, час после работы и в обеденный перерыв у тебя фильтры выключались. Тогда тебя и пользователи с потрохами не сожрут, и руководство оценит. Потому что людям действительно нужно время расслабляться от рабочей обстановки, если кто то это делает таким образом, так что же — пусть. Это дополнительная причина для них не искать анонимайзеры.

ivanlex ★★★★★
()
Ответ на: комментарий от kombrig

И каким же образом пакет с тачки из корпоративной локалки уйдет во вне на любой порт, если шлюз данный траф не пропускает?!

ivanlex ★★★★★
()
Ответ на: комментарий от riso

А тебе не кажется, что ты чуть-чуть превышаешь полномочия?

Если не хватает канала - докладную директору с описанием проблемы и возможными путями решения - а там на его усмотрение.

kombrig ★★★
()
Ответ на: комментарий от ivanlex

блокировки снимаются в обед и после работы. Mime - сделаю.

Тут тебе режик советуют ставить

на сколько я понял, это список доменов для бана, не ?

riso
() автор топика
Ответ на: комментарий от kombrig

В моих полномочиях делать все, чтобы сеть работала стабильно. Если пользоваться интернетом только по проф нужде, все хорошо, канала хватает.

riso
() автор топика
Ответ на: комментарий от kombrig

Все порты должны быть закрыты. Squid должен раздавать инет и только. Зачем его удалять? Он кеширует контент, снижая нагрузку на канал, в довесок позволяет нарезать доступ.

А порты — только тем, кто в них нуждается. Например в бухгалтерии банк клиент конектится к ip «xxx.xxx.xxx.a1» на порт «nnn1». Следовательно разрешим исходящие пакеты с ПК бухгалтерии на этот ip xxx.xxx.xxx.a1:nnn1 и ответы с него. А уж чем разрешать, iptables/ipfw или аппаратный шлюз — это уже дело десятое. Но таких дыр, как ты указал, быть не должно. Это просто недопустимо с точки зрения информационной безопасности, и грозит утечками любой информации.

ivanlex ★★★★★
()
Ответ на: комментарий от nokogerra

Спасибо! Скажи, он обновляется ?

riso
() автор топика
Ответ на: комментарий от riso

вообще это редиректор, на ресурсе режика часто дополняются бан-листы, но использовать его не обязательно - можно использовать бан листы в качестве acl, имхо.

nokogerra
()
Ответ на: комментарий от riso

Да, там бан лист, но он от режика. Он конечно подойдет и к просто Squid, но вдруг ты захочешь сам режик испытать, хотя попробуй — вдруг понадобится.

Кроме того, можешь взять черные листы у юзергета (они свободно публикуются). Но я бы не стал ими пользоваться. Со временем сформируешь свой лист.

ivanlex ★★★★★
()
Ответ на: комментарий от ivanlex

Я дома поднял openvpn сервер на 80 порту tcp. И лезу на него из локалки. Вариант только L7 фильтрация.

Ну или доступ строго по белому списку.

kombrig ★★★
()
Ответ на: комментарий от kombrig

openvpn сервер на 80 порту

есть прокси, которые на 80м порту запрещают шифрованный трафик

lazyklimm ★★★★★
()
Последнее исправление: lazyklimm (всего исправлений: 1)
Ответ на: комментарий от ivanlex

полагать что свой лист будет более-менее полным по-моему как минимум аррогнатно - в тех же режиковских листах сотни доменных имен и каждый день они пополняются благодаря его комьюнити. как показывает практика пользователи всегда находят лазейки - лучший способ - постоянно обновлять бан листы с таких ресурсов как режик и др.

nokogerra
()
Ответ на: комментарий от kombrig

Не пролезет. Шлюз просто не передаст твой пакет на внешний eth. Да и с чего бы ему это делать?! Шлюз принимает только пакеты с компа бухгалтерии и только на ip «xxx.xxx.xxx.a1:nnn1». Так с чего ты решил, что подключишься к своему домашнему VPN?

ivanlex ★★★★★
()
Ответ на: комментарий от nokogerra

Очень часто в этих листах оказываются адреса, которые по критериям добавляющего, относятся к бану, а по критериям твоей организации — нет.

ivanlex ★★★★★
()
Ответ на: комментарий от ivanlex

ага, спасибо, это уже дает результаты.

riso
() автор топика
Ответ на: комментарий от ivanlex

который год пытаюсь. 443 порт _естественно_ открыт, даже если будет забанено доменное имя моего домашнего компа - всегда могу завести новое, на afraid.org их хоть носом жуй. По ip-шнику тоже не особо надежно, он у меня динамический. Так что либо только белые списки, либо целиком банить подсеть моего домашнего провайдера.

lazyklimm ★★★★★
()

Не надо блокировать. Просто взымайте плату за хождение по непонятным сайтам во время работы.

AGUtilities ★★★
()
Ответ на: комментарий от kombrig

А там - пусть хоть весь день вконтактике зависает - если его так прет.

плюсую

AGUtilities ★★★
()
Ответ на: комментарий от AGUtilities

список непонятных сайтов тоже где-то нужно брать :)

lazyklimm ★★★★★
()
Ответ на: комментарий от kombrig

Ну и имхо эффективней смотреть на решение сотрудником своих обязанностей. А там - пусть хоть весь день вконтактике зависает - если его так прет.

при всей нелюбви к соцсетям - согласен

lazyklimm ★★★★★
()
Ответ на: комментарий от kombrig

Конечно. С чего бы ему быть открытым, если инет ты получаешь с прокси, адрес которой не обязательно должен совпадать с адресом шлюза.

ivanlex ★★★★★
()
Ответ на: комментарий от ivanlex

главное чтобы 443 порт не был блокирован для моей домашней машины, а выше я уже описал, почему это сложно реализовать на практике

lazyklimm ★★★★★
()
Ответ на: комментарий от lazyklimm

Ну в целом верно. Если лазить по SSH через прокси на 443, то в принципе все верно. Но вот только у меня бы такие сомнительные ресурсы максимум пол-дня бы продержались. А через пару дней уже бы директор поинтересовался у такого сотрудника, что за сеансы связи он тут устраивает с непонятными (а самое главное — сомнительными) ресурсами.

P.S. Административное воздействие должно быть все же главным способом. А резалка трафика — второстепенной, ну что бы у пользователей не было соблазнов.

ivanlex ★★★★★
()
Последнее исправление: ivanlex (всего исправлений: 1)
Ответ на: комментарий от ivanlex

Давай вводную обозначим.
Есть HTTP-Proxy 1.2.3.4. на 80 порту. Открытые порты: 80, 8080, 443. Authentication mode: basic.
Согласись, типовой конфиг прокси.

Есть домашний комп с белым динамическим ip.

Задача поднять VPN с домашним ПК. Примерный конфиг openvpn server

port 443
proto tcp
dev tun
ca ca.crt
cert xxx.crt
key xxx.key 
dh dh1024.pem
server 192.168.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.lпролезть в инет без фильтрации.og
verb 3
конфиг клиента
client
dev tun
proto tcp
remote xxx.dyndns.info 443
resolv-retry infinite
nobind
persist-key
persist-tun
http-proxy 1.2.3.4 80 authfile.txt basic
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
verb 3

Настроить dyndns и завернуть трафик в туннель предоставим читателю в качестве упражнения.

kombrig ★★★
()
Последнее исправление: kombrig (всего исправлений: 1)
Ответ на: комментарий от ivanlex

А через пару дней уже бы директор поинтересовался у такого сотрудника, что за сеансы связи он тут устраивает с непонятными (а самое главное — сомнительными) ресурсами.

а я бы поинтересовался у директора, с какого перепугу я не могу нормально пользоваться джаббером, качать с svn/git репозиториев (более критично, я же всё-таки разработчик) итд итп.

А так - «папа денег не даёт, костик деньги сам возьмет»

Сопсна, уже третья контора (все достаточно серьёзные, over1000 сотрудников), в которой использую подобный способ подключения, нигде проблем не возникало.

lazyklimm ★★★★★
()
Последнее исправление: lazyklimm (всего исправлений: 1)
Ответ на: комментарий от ivanlex

Выше было ТС-ом сказано, что директору пофиг где шарятся пользователи. Все это закрытие - инициатива не в меру прыткого админа.

kombrig ★★★
()
Ответ на: комментарий от lazyklimm

Я работаю в организации несколько другого характера. Официально у нас даже за джабер за жабры подвесят. Есть внутрикорпоративная система обмена сообщениями, ей и пользуйся. А svn/git репозитарии все же можно отличить от непонятного узла в сети, с которым ты постоянно держишь связь. Вдруг ты конфиденциальные данные на лево сливаешь?!

Все это утрировано, конечно. Но на любого умника найдется другой уник. Это я к тому, что у кого-то специфика работы такова, что и на VPN глаза закроют, и на SSH. Вот только на компьютерах не только айтишники работают. И вся эта фильтрация не на них направлена.

И вообще, вам не кажется, что менеджер по работе с клиентами, который договора должен заключать, да обзванивать клиентов на предмет пролонгации, вдруг регулярно стал к сомнительным узлам подключаться с шифрованием?!

ivanlex ★★★★★
()
Ответ на: комментарий от ivanlex

А без локальных актов предприятия регламентирующие этот вопрос я как сотрудник пошлю админа в пешее путешествие с эротическим уклоном и рисую заяву о нарушении ст 138 ч.2 УК РФ(тайна переписки).

kombrig ★★★
()
Ответ на: комментарий от kombrig

Ну, в данном случае прыткий админ должен подойти у руководству и показать проблему, что дескать канал просаживается по причине, и разложить причину на составляющие. Ну и в качестве решения предложить видимые пути (здесь их как минимум три, плюс еще и их комбинации). Я видел, что ты предлагал такой вариант топикастеру. А уж дальше от него зависит.

ivanlex ★★★★★
()
Ответ на: комментарий от ivanlex

squid - блокировка анонимайзеров (комментарий)

squid - блокировка анонимайзеров (комментарий)

Дальше идет обсуждение технических и юридических вопросов данной ситуации.

kombrig ★★★
()
Последнее исправление: kombrig (всего исправлений: 2)
Ответ на: комментарий от kombrig

На данную статью ссылаться не можешь, так как работодатель не не является оператором связи и не несет ответственность за тайну переписке по корпоративному оборудованию. Интернет дается сотруднику для исключительно рабочих целей, и не допускается для личного использования.

ivanlex ★★★★★
()
Ответ на: комментарий от ivanlex

Без соответствующих документов это не совсем так.

kombrig ★★★
()
Ответ на: комментарий от ivanlex

Вдруг ты конфиденциальные данные на лево сливаешь?!

при желании я их могу сливать мелкими порциями без палева

на любого умника найдется другой уник.

обратное тоже верно :)

вам не кажется, что менеджер по работе с клиентами, который договора должен заключать, да обзванивать клиентов на предмет пролонгации, вдруг регулярно стал к сомнительным узлам подключаться с шифрованием?!

кажется, но я-то не менеджер

lazyklimm ★★★★★
()
Ответ на: комментарий от ivanlex

Есть эта статья, а также закон о персональных данных. Т.е. ты как админ не имеешь права читать и хранить переписку/историю посещений без согласия сотрудника (с приказом N... ознакомлен, число подпись, расшифровка).

kombrig ★★★
()
Последнее исправление: kombrig (всего исправлений: 1)
Ответ на: комментарий от kombrig

Это не совсем верно. Это ты, как работник, не имеешь право использовать оборудование работодателя для личной переписки. Кроме того, историю посещений (логи, кешированный контент) храню не я, а оборудование. И вся информация на оборудовании работодателя, созданная работниками в рабочее время, является собственностью работодателя.

Так что, если ты с рабочего ПК отправлял любовнице только что сочиненное любовное стихотворение по средствам связи работодателя, то эта информация принадлежит работодателю.

Если ты писал с собственного телефона/смартфона/ноутбука по средством собственной связи или посредством связи своего оператора связи — то это твоя информация, и у работодателя нет прав ее читать, и в этом случае работает вышеприведенная тобой статья.

P.S. Все это сотню раз обсасывалось, и обсуждалось, причем и компетентными юристами. Посмотри на сторонних интернет-ресурсах. Не стоит вести личную переписку посредством чужого оборудования. Да — это не этично. Но этика и закон — это немного разные вещи.

P.P.S. По поводу 152ФЗ. То тут не работодатель будет виноват за раскрытие персональных данных твоей любовницы из твоего письма. А ты! Работодатель не несет ответственности за преступления своих сотрудников, которые они осуществили посредством его оборудования.

ivanlex ★★★★★
()
Ответ на: комментарий от kombrig

И кроме того, «историю посещений» не относится ни к персональным данным, ни к личной переписке.

ivanlex ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.