Comments 65
В качестве ремарки пару моментов озвучу.
Есть такая замечательная вещь, как Tor.
Но обычно СБ работает над проблемой в комплексе и перво-наперво обычные сотрудники сидят под очень ограниченными пользовательскими правами.
Есть такая замечательная вещь, как Tor.
Но обычно СБ работает над проблемой в комплексе и перво-наперво обычные сотрудники сидят под очень ограниченными пользовательскими правами.
Запалят в логах как самый часто используемый IP и забанят твой VDS. Ещё метод HTTP-CONNECT обычно отключен. Если прав администратора нет, то USB-модем не установишь.
Приносить с собой ноут? :)
Приносить с собой ноут? :)
Даже в небольшой компании твой трафик растворится в логах и уж точно в топы не попадет. Просто не стоит с этим перебарщивать и раздавать свой туннель всем сотрудникам компании :]
Метод CONNECT нельзя отключить для SSL-портов, таких как 443 (https), иначе пользователь не сможет воспользоваться ни одним защищенным сайтом.
Насчет «Запалят» решается несложно: для FF есть замечательное расширение — FoxyProxy, в нем можно задать несколько прокси серверов, создавать шаблоны и регэкспы, на основании которых браузер будет ходить через тот или иной прокси. Например, по умолчанию ставите корпоративный проксик, если попадается закрытый ресурс — нажимаете alt+F2 и автоматом создается шаблон-исключение, и вы идете через свой прокси. Так в логах корпоративного прокси ваша активность не будет подозрительной.
Насчет «Запалят» решается несложно: для FF есть замечательное расширение — FoxyProxy, в нем можно задать несколько прокси серверов, создавать шаблоны и регэкспы, на основании которых браузер будет ходить через тот или иной прокси. Например, по умолчанию ставите корпоративный проксик, если попадается закрытый ресурс — нажимаете alt+F2 и автоматом создается шаблон-исключение, и вы идете через свой прокси. Так в логах корпоративного прокси ваша активность не будет подозрительной.
Кстати в большинстве случаев люди пользуются интернетом не в рабочих целях ;). Но почему-то твердо уверены, что блокировать их любимую ЖЖ-шечку это плохо и т.д.
Я ни в коем случае никого не защищаю, а только призываю подумать — а оно вам действительно надо или можно так как в статье не извращаться? =)
Я ни в коем случае никого не защищаю, а только призываю подумать — а оно вам действительно надо или можно так как в статье не извращаться? =)
Знаете, бывают разные ситуации. Я в свое время работал в университете админом в новом здании. Так вот там у нас была приличных размеров серверная и сеть. А прокся была в другом корпусе и занимался ее настройкой хрен знает кто… Так вот — интернет у университета безлимитный, в массе компьютерных классов студенты почти поголовно сидят в одноклассничках, а ты (то есть я), если тебе нужно софт скачать и единственная ссылка, которую ты нашел ведет на «неправильный» файлообменник рвешь на себе волосы и материшься. А сделать ничего не можешь — таковы правила.
Кстати фильмы, музыку и порнуху мы качали с «правильных» мест порой гигабайт на 50 в неделю. Зачем вообще что-то нам запрещали — не понятно. Только больше мозго**ства.
Кстати фильмы, музыку и порнуху мы качали с «правильных» мест порой гигабайт на 50 в неделю. Зачем вообще что-то нам запрещали — не понятно. Только больше мозго**ства.
Блин, я от сотни метров до гектара в неделю выкачиваю исключительно в рабочих целях. А вот сверх этого, я на работе иногда еще и ютуб смотрю…
А уж сколько трафика жрет у меня чистая установка очередного *buntu, но это все-таки редко бывает
А уж сколько трафика жрет у меня чистая установка очередного *buntu, но это все-таки редко бывает
Обход прокси — это, конечно, хорошо, а работать кто будет?
обходить прокси приходится часто именно потому, что необходимо работать и нет возможности открыть ресурсы с адресом в стиле supersexpansion.domain.com только потому, что там встретилось sex.
Административные ограничения техническими средствами решать не стоит. Это лучше провернуть служебной запиской. Мол, для работы требуется интернет без ограничений. Если из-за этих ограничений стоит бизнес, то это не Ваша проблема.
требования бывают разные, в некоторых компаниях придется писать служебку на каждый ресурс аргументируя. Я посчитал, что это лишняя потеря времени и автоматизировал процесс.
Это сбербанк, что ли? Вроде там для удобного рассчера кредитной картой в интернете нужно приехать в офис и перечислить на бумаге всех своих корреспондентов.
Служебка прикроет азд в нужный момент. Обход административных ограничений может привести к административным же мерам, вроде лишения премии и т.п. Устанете доказывать, что во имя компании страдали, вкладываясь в свой VDS и настраивая проксирование.
Служебка прикроет азд в нужный момент. Обход административных ограничений может привести к административным же мерам, вроде лишения премии и т.п. Устанете доказывать, что во имя компании страдали, вкладываясь в свой VDS и настраивая проксирование.
В небольших компаниях методы «социальной инженерии» (пива там админу купить ;) ), как правило, более эффективны
Вот это понравилось:
У вас осталось множество клиентов, которые связываются с вами только через icq?и
К нашему счастью, многие хостеры сейчас предоставляют vds небольших мощностей совсем за копейки.«Классная» работа, где «шеф дебил» (ну неужели он не может понять, что такие клиенты есть?) и где ещё и платить надо за возможность работы (даже копейки! — напоминает «работу в компании Oriflame» — знающие люди поймут)… Мне кажется, вы просто кривите душой и вам хочется просто побалоболить и вы не согласны с политикой компании или вам валить оттуда валить надо, раз там реально такие дела (без кавычек выше насчёт шефа) :)
в больших компаниях решение о вводе подобных запретов идет не от вашего прямого начальника, а от руководства компании и их подобные мелочи не волнуют. Лично я настраивал эту систему дабы обойти постоянные служебки на ресурс который мне нужен. vds у меня уже была и дополнительно покупать ничего не пришлось, а вот бюрократию из своей работы вытеснил.
UFO just landed and posted this here
иногда это все проще снять парой бутылок пива местным админам)
По рукам бы Вашему админу :)
вам повезло, и ваш бездарный админ не запретил метод CONNECT на 80 порту. Обычно этот метод доступен только на порту 443.
UFO just landed and posted this here
Например система белых списков несокрушима техническими методами. Останется только искать альтернативный канал доступа (модем, телефон, etc). Или получать индульгенцию у руководства/админа. Ну или менять работу )
UFO just landed and posted this here
отнюдь, в небольших конторах замечательно работает. И в отдельно взятых подразделениях больших контор. В одной подшефной мне конторе (халтурка, 20 человек) я 5 лет назад внедрил такой принцип. Сейчас список разрешенных ресурсов состоит из более 300 сайтов. И ничего, никто не умер, даже никто не уволился, хочу я вам сказать. Внедрение белого списка так подняло эффективность работников, что они стали получать вдвое больше (работа «сдельная», менеджеры инет-магазина), так что сами остались довольны. Но это пример больше на исключение смахивает, согласен.
Я немного не понял цели поста.
Если человеку не сложно выкупить VDS, снатроить его да еще и взгромоздить на него фрю с проксей, да еще и на работе такой обход учудить (котя у меня в рабочей сети такое не провернешь), то он либо одмин, либо ИТ-гуру, и трудится на соответственном поприще. А таким обычно инет не режут, так как они маси и занимаютсмя резанием интернетов для остальных сотрудников.
Полезность статьи для целевой аудитории явно минимальна ИМХО.
Если человеку не сложно выкупить VDS, снатроить его да еще и взгромоздить на него фрю с проксей, да еще и на работе такой обход учудить (котя у меня в рабочей сети такое не провернешь), то он либо одмин, либо ИТ-гуру, и трудится на соответственном поприще. А таким обычно инет не режут, так как они маси и занимаютсмя резанием интернетов для остальных сотрудников.
Полезность статьи для целевой аудитории явно минимальна ИМХО.
Вот она как раз именно для того, чтобы и с минимальными знаниями можно было настроить.
Я уже сижу и представляю секретаршу пилящую фрю на VDS…
это вы уже в крайности. Статья может пригодится и тем, кто только начинает разбираться с подобными системами, мне кажется они именно для этого и пишутся: быстрее разбираться.
Вы на секунду представте уровень знаний секретарши, ну или менеджера по закупу резиновых изделий, которой лет эдак 40. Я думаю ваше представление ее минимальных знаний в области администрирования серверов никак не сопоставимо с ее представлением о компьютерах в принципе.
Да и не надо ей оно… пойдет к ИТ да попросит чего надо за плюшку.
Ну а в целом, если у меня хотя-бы один умник найдется, который попытается воспользоваться данным методом, получет по шее от руководства — раз, и может попасть под статью — два. Надо не забывать где ты работаешь. Зачастую, гораничения не просто так появляются. В некоторых бизнесах утечка информации административно и уголовно наказуема для участников бизнеса. А особенно после принятия законов о персоональных данных, так и вовсе весело. И такие утечки необходимо ликвидировать еще до прецидентов.
Ну и на последок: сейчас уже мало кто режит интернет сотрудникам. Самое действенное ограничение — это ограничение рублем. Если человек не справляется с работой — он не пригоден, не выполняет план — не получает премию. А реальные причины пусть уже работник сам для себя выясняет — из за сидения в однокласниках/вконтактах или нет.
Да и не надо ей оно… пойдет к ИТ да попросит чего надо за плюшку.
Ну а в целом, если у меня хотя-бы один умник найдется, который попытается воспользоваться данным методом, получет по шее от руководства — раз, и может попасть под статью — два. Надо не забывать где ты работаешь. Зачастую, гораничения не просто так появляются. В некоторых бизнесах утечка информации административно и уголовно наказуема для участников бизнеса. А особенно после принятия законов о персоональных данных, так и вовсе весело. И такие утечки необходимо ликвидировать еще до прецидентов.
Ну и на последок: сейчас уже мало кто режит интернет сотрудникам. Самое действенное ограничение — это ограничение рублем. Если человек не справляется с работой — он не пригоден, не выполняет план — не получает премию. А реальные причины пусть уже работник сам для себя выясняет — из за сидения в однокласниках/вконтактах или нет.
под статью просто за открытие туннеля? как мнимум еще доказать надо, что он через него сливал информацию. А про ограничение рублем полностью с вами согласен, именно по этой причине и написал статью.
не просто за открытие туннеля.
Я работаю в банковском сервере. И существуют определенные стребования к ИТ-микроклимату и ответственность.
Исходя из этого все подозрительные/нежелательные действия пользователя логируются. Внедрены соответсвующие системы защиты. И если случится прецидент — начнется внутреннее расследование. Если выяснится, что причиной утечки конфиденциальных данных были действия пользователя, который еще и пошел в разрез правил пользовния инфраструктурой предприятия, нарушив безовасность «периметра», то соответсвующий отчет должен быть отправлен в адрес ФСТЭК, а она уже возмется за стотрудника через МВД или ФСБ, в зависимости от того, какие данные утекут. А там могут и терроризм пришить.
Так что публикуя подобные руководства, думайте и о том, что люди, не особо отличающиеся умом и сообразительностью, могут воспользоваться Вашими трудами, и по незнанию такого наворотить, что мало не покажется.
Был у нас в Новосибирске случай, паренек начитался «умных» книжек, типа «Хакер» по вопросу, «как не платить за интернет» и принялся искать дыры на серверах и оборудовании прова.
Ищущий да найдет: умудрился получить доступ к базе биллинга. Поправил себе счет, только вот в *SQL ни чернта не понимал. Кластер успешно почил.
Админам по шапке надавали, кого-то даже уволили. Кластер восстановили, а вот паренек этот, будучи совершенолетним, получил себе в дело ст. 272 УК РФ и 2 года турьмы. Вот тебе и практика.
Я работаю в банковском сервере. И существуют определенные стребования к ИТ-микроклимату и ответственность.
Исходя из этого все подозрительные/нежелательные действия пользователя логируются. Внедрены соответсвующие системы защиты. И если случится прецидент — начнется внутреннее расследование. Если выяснится, что причиной утечки конфиденциальных данных были действия пользователя, который еще и пошел в разрез правил пользовния инфраструктурой предприятия, нарушив безовасность «периметра», то соответсвующий отчет должен быть отправлен в адрес ФСТЭК, а она уже возмется за стотрудника через МВД или ФСБ, в зависимости от того, какие данные утекут. А там могут и терроризм пришить.
Так что публикуя подобные руководства, думайте и о том, что люди, не особо отличающиеся умом и сообразительностью, могут воспользоваться Вашими трудами, и по незнанию такого наворотить, что мало не покажется.
Был у нас в Новосибирске случай, паренек начитался «умных» книжек, типа «Хакер» по вопросу, «как не платить за интернет» и принялся искать дыры на серверах и оборудовании прова.
Ищущий да найдет: умудрился получить доступ к базе биллинга. Поправил себе счет, только вот в *SQL ни чернта не понимал. Кластер успешно почил.
Админам по шапке надавали, кого-то даже уволили. Кластер восстановили, а вот паренек этот, будучи совершенолетним, получил себе в дело ст. 272 УК РФ и 2 года турьмы. Вот тебе и практика.
>Так что публикуя подобные руководства, думайте и о том, что люди, не особо отличающиеся умом и сообразительностью, могут воспользоваться Вашими трудами, и по незнанию такого наворотить, что мало не покажется.
Это уже проблемы того кто прочитал и думать о них автор не обязан.
Это уже проблемы того кто прочитал и думать о них автор не обязан.
тут ключевое — это утечка данных. Если будет желание, он уж придумает как сделать. А про парня и хостера, ну так это наверное проблема парня, а не журнала Хакер? Под этим предлогом можно и машины запретить, меня вот не так давно сбил один, специально, не нравятся ему велосипедисты на дороге.
меня в прошлую субботу сбил один умник. Тоже на веле ехал. Но не нужно раздирать коммент на части.
я отвечал на вопрос автора
> под статью просто за открытие туннеля?
Я ответил как смог развернуто, с примером. просто подобного рода статьи, да еще и с такими названиями граничат с провокацией и это надо учитывать. Какова статья — таковы и комментарии. Было бы не про корпоративный фаер — не упоминал бы ни статью, ни провайдера, ни паренька с двухлетним сроком.
ЗЫ — Ну не могу я давать куцие ответы.
я отвечал на вопрос автора
> под статью просто за открытие туннеля?
Я ответил как смог развернуто, с примером. просто подобного рода статьи, да еще и с такими названиями граничат с провокацией и это надо учитывать. Какова статья — таковы и комментарии. Было бы не про корпоративный фаер — не упоминал бы ни статью, ни провайдера, ни паренька с двухлетним сроком.
ЗЫ — Ну не могу я давать куцие ответы.
не сочтите за грубость, но если бы я был начинающим подаваном в области сетевых технологий, то из того что Вы написали я бы не понял ничего кроме
Может имеет смысл тогда чуть более развернуто описать процесс и изменить название?
httptunnel(взять тут: nocrew.org/software/httptunnel/)
Может имеет смысл тогда чуть более развернуто описать процесс и изменить название?
столько мучений ради icq… вот замечательный ресурс..http://www.meebo.com/ пользуйтесь на здоровье и не нужно мучаться с VDS…
icq привел я в качестве примера, через этот метод можно пускать любой необходимый вам сервис.
icq еще легко цепляется к gmail/gtalk посредством xmpp-транспорта и становится доступна из вэб-интрефейса почты и на любом андроидофоне из родного gtalk клиента.
А что делать, если www.meebo.com попало в «чёрный список»?
покажу этот пост нашим сотрудникам, которым я урезал инет проксей… то что вы написали не каждый админ поймет.
а вообще, автор перепостил собственную(?) статью двухгодичной давности
все это круто и работает на основании того, что админ — м*ак.
Даже в небольшой компании твой трафик растворится в логах и уж точно в топы не попадет.
Конечно же, админ смотрит логи командой cat и никогда в жизни не догадается поставить lightsquid, который покажет с удовольствием покажет статистику по пользователю
И уж конечно, админа не заинтересует ресурс, который пользователь посещает регулярно, да еще в течении всего дня (в аське ж вы планируете постоянно сидеть?)
p.s. Имхо, обход ограничений корпоративного прокси возможен только при ленивом админе или в случае если экспириенс обходящего >= экспириенса админа
Даже в небольшой компании твой трафик растворится в логах и уж точно в топы не попадет.
Конечно же, админ смотрит логи командой cat и никогда в жизни не догадается поставить lightsquid, который покажет с удовольствием покажет статистику по пользователю
И уж конечно, админа не заинтересует ресурс, который пользователь посещает регулярно, да еще в течении всего дня (в аське ж вы планируете постоянно сидеть?)
p.s. Имхо, обход ограничений корпоративного прокси возможен только при ленивом админе или в случае если экспириенс обходящего >= экспириенса админа
Видимо есть некоторый недостаток информации про современные контентные фильтры, которые смотрят не по какому порту работает протокол, а что именно за трафик бегает по открытым портам, по этому использование открытых портов для других протоколов закрывается одним-двумя кликами.
По поводу SSL соединений, которые в большей своей массе односторонние на сертификате сервера, так же просматриваются, просто в данном случае несколько сложнее получается решение.
Для примера посмотрите решения eSafe и Websense (с другими я не работал, по этому сказать ничего не могу).
По поводу SSL соединений, которые в большей своей массе односторонние на сертификате сервера, так же просматриваются, просто в данном случае несколько сложнее получается решение.
Для примера посмотрите решения eSafe и Websense (с другими я не работал, по этому сказать ничего не могу).
UFO just landed and posted this here
Sign up to leave a comment.
Обход корпоративного прокси