Comments 18
В большом энтерпрайзе проблема решена даже прозрачным прокси с подменой сертификата. Все рабочие машины введены в домен или аналогично и везде разлит свой внутренний корневой. Видел такую схему неоднократно. Работает.
На границе стоит какая-нибудь циска, Форти или CheckPoint, который и бдит за пользователя.
У Вас же походу какой-то маленький энтерпрайз, раз приходится из говна и палок собирать схему.
Ещё очень интересно влияние правил на производительность. Почему не ipset? Почему не bpf? Говорят, что они значительно снижают нагрузку на cpu и уменьшают латентность при обработке пакетов.
Насчёт сертификата безопасности пассаж не понял. Т.е. микротики и тп-линки вкупе с центос Вы можете использовать, причем сертификатов у них нет и не одни быть, а коробку российского производства или от серьезного вендора позволить не можете? Очень странный подход, прямо скажу.
Как решаете вопрос посещения запрещённых сайтов с личных мобильных устройств сотрудников непользующихся фирменным Wi-Fi?
Мы отвечаем только за свой фронт работ, на остальное — подписываются бумаги в кадрах :) и относится к информационной безопасности и ответственным за это человеком, могу только рассказать про общее негодование части коллектива, когда в некоторых случаях, включают спецсредства, как результат перестают работать беспроводные клавиатуры, wifi и т.п. но повторюсь, конкретно эти мероприятия вне нашего влияния — каждый занимается своей работой.
Я, конечно, не знаю в какой сфере трудится ваша компания, и вполне допускаю, что в некоторых случаях оправданы и глушилки, и запреты на любую стороннюю электронику на рабочем месте. Но так же сталкивался и с неоправданными перегибами со стороны руководства. Когда работа персонала зависит от количества клиентов, и если клиента нет, то у сотрудника практически нет работы, но руководство требовало и запретов доступа к некоторым сайтам, и установки на компьютеры клавиатурных логгеров… В результате, сотрудники сидели либо в телефонах прям на рабочем месте, либо, если руководство ещё и камеры мониторило, в туалете/раздевалке.
кому какое дело, чем пользуется человек на личном устройстве с индивидуальным интернет-каналом?
Сдавать личные устройства связи на входе на предприятие ) ибо нефиг. Угроза ИБ. Я уж не говорю о том, если объект режимный в строгом смысле этого слова.
Iptables и фильтрация трафика от бедных и ленивых инакомыслящих