Наверное перед многими из системных администраторов их буйным руководством хотя бы раз в жизни ставилась задача «чтоб никто по одноклассникам не лазил!».
Со своей стороны я полностью придерживаюсь идеи «запрет не может быть ТОЛЬКО техническим», т.к. на любой хитрый запрет рано или поздно находится хитрый обходной путь. 100% техническим решением будет, пожалуй, только полное закрытие доступа в Интернет.
Тем не менее повозиться было интересно, чем я и занялся на досуге. и по результатам написал этот пост.
Сразу оговорка: мое окружение — это рабочие станции Windows, серверные ОС Windows и соответствующее ПО. В *nix среде все вероятно можно сделать так-же\иначе, лучше\хуже, изящнее\топорно (нужное подчеркнуть).
Кроме этого, по умолчанию принимаем что у нас есть
Создаем банлисты на шлюзе, и вносим туда домены одноклассников, мой мир, вконтакте (не забывая про vk.com), мой круг и иже с ними, смотря чем ваши пользователи балуются. Для особо замороченных, в банлисты вносим также IP-адреса, или даже подсети, которые соответствуют этим сайтам. Применяем наши банлисты и радуемся жизни, но недолго. т.к. даже самой недалекой секретарше достаточно набрать в яндексе фразу анонимайзер вконтакте и получить на выходе десятки, а то и сотни открытых веб-прокси, которые еще и обновляются чуть ли не несколько раз в неделю. Понятно что борьба с ними с помощью бан-листов будет бессмысленной, т.к. время на это будет уходить много, а результат все равно достигнут не будет. На справедливое возражение про недалекую секретаршу, отвечу, что у нее может быть знающий друг, который и научит ее этой волшебной фразе.
Договорившись с руководством (это совсем несложно в данной ситуации), выпускаем приказ\закон\постановление, гласящий, что за посещение соцсетей сотрудникам грозит штраф\наказание\прилюдная порка. Это сразу отсекает морально слабых, неуверенных нарушителей, но закоренелые фанаты все равно останутся. Для них можно применить психическое воздействие: делаем нехитрый response modifier, т.е. фильтр, который будет анализировать что приходит к нам из интернета, и подменять в этом ответе, например слово «вконтакте» на фразу «Уверен, что про это никто не узнает?». В итоге, даже через новый, неизвестный анонимайзер, человек увидит вот такую картинку
Это должно остудить пыл еще какого-то количества пользователей. Ну и, варьируя заменяемые шаблоны, можно достигнуть самых разных эффектов.
Этот метод самый действенный, но и наиболее спорный по части применимости. Суть проста: делаем простую копию страницы-входа в соцсеть, и на шлюзе создаем правило, которое редиректит конкретный запрос пользователя (например запрос на свежий анонимайзер, или на специально незабаненный анонимайзер) на эту страницу. Дальше пользователь вводит своим логин-пароль и либо попадает в соцсеть, либо нет (смотря как вы делали фейк-страницу), это уже неважно. Важно, что у вас появляется логин-пароль конкретного пользователя.
Фактически — это фишинг в чистом виде, что конечно неправильно, незаконно, не по джентельменски и т.д. однако действенность такого метода — выше всяких ожиданий. Когда человек теряет свой драгоценный аккаунт (пусть не навсегда, пусть на время, пусть вы вернете его в обмен на обещание не ходить в соц сети на работе) — это оказывает ошеломительный эффект даже на прожженных фанатов «одноклассников», ведь пользуясь анонимайзерами неизвестного происхождения, они фактически рискуют своими аккаунтами, сами об этом, возможно, не задумываясь.
Требует работы с руководством, и умения убеждать.
Основное и самое важное тут, это понять ЗАЧЕМ вообще вам нужно ограничивать людей в доступе в интернет.
Навскидку есть два основных варианта:
второй вариант — очень просто решает вводом квот на трафик, и дальнейшим повышением их, при необходимости (что подтверждается распечаткой статистики посещений).
На этом методы мое бессмысленной борьбы исчерпались. По результатам я остался ярым сторонником метода «доступ не запрещать, трафик квотировать», в чем не без труда — но смог таки убедить свое руководство.
Если у вас есть что-то еще какие-то интересные способы, неописанные выше — с удовольствием прочту об этом в комментариях.
P.S. Речь безусловно не шла об информационной безопасности, т.к. в случае защиты каких либо конфиденциальных данных, вышеописанные методы смешны и нелепы.
P.P.S. Можно еще устроить себе интересные игрища с отловом и модификацией\удалением заголовков HTTP-трафика, и поиском сигнатур. Это позволит отсечь различные программы, создающие туннели через HTTP\HTTPS, но это уже тема для отдельного поста.
P.P.P.S Третий метод — весьма и весьма спорный, в том числе и с точки зрения законодательства. По просьбе в комментариях, лишний раз напомню: ради ради вас и ваших детей трижды подумайте, прежде чем делать так.
Со своей стороны я полностью придерживаюсь идеи «запрет не может быть ТОЛЬКО техническим», т.к. на любой хитрый запрет рано или поздно находится хитрый обходной путь. 100% техническим решением будет, пожалуй, только полное закрытие доступа в Интернет.
Тем не менее повозиться было интересно, чем я и занялся на досуге. и по результатам написал этот пост.
Сразу оговорка: мое окружение — это рабочие станции Windows, серверные ОС Windows и соответствующее ПО. В *nix среде все вероятно можно сделать так-же\иначе, лучше\хуже, изящнее\топорно (нужное подчеркнуть).
Кроме этого, по умолчанию принимаем что у нас есть
- — точка контроля трафика, т.е. шлюз-прокси, через который все внутренние клиенты будут ходят в интернет.
- — контроль администраторских прав на рабочих станциях, (все же понимают, что если у каждого второго пользователя права админа на рабочей станции, или он работает на личном ноутбуке — то бороться с чем либо становится бессмысленно?).
- — на шлюзе пользователям разрешен выход наружу исключительно по HTTP и HTTPS (не рассматриваем особые случаи, типа клиент-банков, спец-ПО и т.п), а не All outbound Traffic, как я неоднократно встречал у различных знакомых.
- — у нас есть инструмент анализа логов и статистики нашего шлюза. Он нужен, чтобы
- понимать результативность принятых мер;
- отслеживать статистику трафика в дальнейшем.
Метод Первый (топорный).
Создаем банлисты на шлюзе, и вносим туда домены одноклассников, мой мир, вконтакте (не забывая про vk.com), мой круг и иже с ними, смотря чем ваши пользователи балуются. Для особо замороченных, в банлисты вносим также IP-адреса, или даже подсети, которые соответствуют этим сайтам. Применяем наши банлисты и радуемся жизни, но недолго. т.к. даже самой недалекой секретарше достаточно набрать в яндексе фразу анонимайзер вконтакте и получить на выходе десятки, а то и сотни открытых веб-прокси, которые еще и обновляются чуть ли не несколько раз в неделю. Понятно что борьба с ними с помощью бан-листов будет бессмысленной, т.к. время на это будет уходить много, а результат все равно достигнут не будет. На справедливое возражение про недалекую секретаршу, отвечу, что у нее может быть знающий друг, который и научит ее этой волшебной фразе.
Метод Второй (административно-психический).
Договорившись с руководством (это совсем несложно в данной ситуации), выпускаем приказ\закон\постановление, гласящий, что за посещение соцсетей сотрудникам грозит штраф\наказание\прилюдная порка. Это сразу отсекает морально слабых, неуверенных нарушителей, но закоренелые фанаты все равно останутся. Для них можно применить психическое воздействие: делаем нехитрый response modifier, т.е. фильтр, который будет анализировать что приходит к нам из интернета, и подменять в этом ответе, например слово «вконтакте» на фразу «Уверен, что про это никто не узнает?». В итоге, даже через новый, неизвестный анонимайзер, человек увидит вот такую картинку
Это должно остудить пыл еще какого-то количества пользователей. Ну и, варьируя заменяемые шаблоны, можно достигнуть самых разных эффектов.
Метод третий (очень жесткий и нечестный)
Этот метод самый действенный, но и наиболее спорный по части применимости. Суть проста: делаем простую копию страницы-входа в соцсеть, и на шлюзе создаем правило, которое редиректит конкретный запрос пользователя (например запрос на свежий анонимайзер, или на специально незабаненный анонимайзер) на эту страницу. Дальше пользователь вводит своим логин-пароль и либо попадает в соцсеть, либо нет (смотря как вы делали фейк-страницу), это уже неважно. Важно, что у вас появляется логин-пароль конкретного пользователя.
Фактически — это фишинг в чистом виде, что конечно неправильно, незаконно, не по джентельменски и т.д. однако действенность такого метода — выше всяких ожиданий. Когда человек теряет свой драгоценный аккаунт (пусть не навсегда, пусть на время, пусть вы вернете его в обмен на обещание не ходить в соц сети на работе) — это оказывает ошеломительный эффект даже на прожженных фанатов «одноклассников», ведь пользуясь анонимайзерами неизвестного происхождения, они фактически рискуют своими аккаунтами, сами об этом, возможно, не задумываясь.
Метод четвертый (простой и действенный)
Требует работы с руководством, и умения убеждать.
Основное и самое важное тут, это понять ЗАЧЕМ вообще вам нужно ограничивать людей в доступе в интернет.
Навскидку есть два основных варианта:
- а) потому что так хочу, потому что должны работать а не развлекаться, потому что они мои работники, а я их царь и бог.
- б) потому что нужно сэкономить трафик.
второй вариант — очень просто решает вводом квот на трафик, и дальнейшим повышением их, при необходимости (что подтверждается распечаткой статистики посещений).
На этом методы мое бессмысленной борьбы исчерпались. По результатам я остался ярым сторонником метода «доступ не запрещать, трафик квотировать», в чем не без труда — но смог таки убедить свое руководство.
Если у вас есть что-то еще какие-то интересные способы, неописанные выше — с удовольствием прочту об этом в комментариях.
P.S. Речь безусловно не шла об информационной безопасности, т.к. в случае защиты каких либо конфиденциальных данных, вышеописанные методы смешны и нелепы.
P.P.S. Можно еще устроить себе интересные игрища с отловом и модификацией\удалением заголовков HTTP-трафика, и поиском сигнатур. Это позволит отсечь различные программы, создающие туннели через HTTP\HTTPS, но это уже тема для отдельного поста.
P.P.P.S Третий метод — весьма и весьма спорный, в том числе и с точки зрения законодательства. По просьбе в комментариях, лишний раз напомню: ради ради вас и ваших детей трижды подумайте, прежде чем делать так.