Как стать автором
Обновить

Комментарии 65

В качестве ремарки пару моментов озвучу.
Есть такая замечательная вещь, как Tor.
Но обычно СБ работает над проблемой в комплексе и перво-наперво обычные сотрудники сидят под очень ограниченными пользовательскими правами.
Запалят в логах как самый часто используемый IP и забанят твой VDS. Ещё метод HTTP-CONNECT обычно отключен. Если прав администратора нет, то USB-модем не установишь.
Приносить с собой ноут? :)
Даже в небольшой компании твой трафик растворится в логах и уж точно в топы не попадет. Просто не стоит с этим перебарщивать и раздавать свой туннель всем сотрудникам компании :]
даже в небольшой компании трафик считается для каждого сотрудника раздельно. И подозрительный IP будет висеть в топе, и его возьмут и закроют.
Метод CONNECT нельзя отключить для SSL-портов, таких как 443 (https), иначе пользователь не сможет воспользоваться ни одним защищенным сайтом.
Насчет «Запалят» решается несложно: для FF есть замечательное расширение — FoxyProxy, в нем можно задать несколько прокси серверов, создавать шаблоны и регэкспы, на основании которых браузер будет ходить через тот или иной прокси. Например, по умолчанию ставите корпоративный проксик, если попадается закрытый ресурс — нажимаете alt+F2 и автоматом создается шаблон-исключение, и вы идете через свой прокси. Так в логах корпоративного прокси ваша активность не будет подозрительной.
Отключенный метод CONNECT — cуровая реальность сетей почти всех государственных учреждений.
Кстати в большинстве случаев люди пользуются интернетом не в рабочих целях ;). Но почему-то твердо уверены, что блокировать их любимую ЖЖ-шечку это плохо и т.д.
Я ни в коем случае никого не защищаю, а только призываю подумать — а оно вам действительно надо или можно так как в статье не извращаться? =)
Знаете, бывают разные ситуации. Я в свое время работал в университете админом в новом здании. Так вот там у нас была приличных размеров серверная и сеть. А прокся была в другом корпусе и занимался ее настройкой хрен знает кто… Так вот — интернет у университета безлимитный, в массе компьютерных классов студенты почти поголовно сидят в одноклассничках, а ты (то есть я), если тебе нужно софт скачать и единственная ссылка, которую ты нашел ведет на «неправильный» файлообменник рвешь на себе волосы и материшься. А сделать ничего не можешь — таковы правила.
Кстати фильмы, музыку и порнуху мы качали с «правильных» мест порой гигабайт на 50 в неделю. Зачем вообще что-то нам запрещали — не понятно. Только больше мозго**ства.
Э… т.е. вы качали нелицензионные программы?

Ни разу не видел, чтобы репозитрии линукса закрывали.
у нас например tar.gz закрыт. Всякое бывает.
Ну, нелицензионный софт я предпочитаю не трогать. Но иногда бывает необходимость: скачать, поставить, сделать дело и удалить. Особенно, когда молодой был и про опенсорс ничего не знал.)
Блин, я от сотни метров до гектара в неделю выкачиваю исключительно в рабочих целях. А вот сверх этого, я на работе иногда еще и ютуб смотрю…
А уж сколько трафика жрет у меня чистая установка очередного *buntu, но это все-таки редко бывает
Обход прокси — это, конечно, хорошо, а работать кто будет?
обходить прокси приходится часто именно потому, что необходимо работать и нет возможности открыть ресурсы с адресом в стиле supersexpansion.domain.com только потому, что там встретилось sex.
Административные ограничения техническими средствами решать не стоит. Это лучше провернуть служебной запиской. Мол, для работы требуется интернет без ограничений. Если из-за этих ограничений стоит бизнес, то это не Ваша проблема.
требования бывают разные, в некоторых компаниях придется писать служебку на каждый ресурс аргументируя. Я посчитал, что это лишняя потеря времени и автоматизировал процесс.
Это сбербанк, что ли? Вроде там для удобного рассчера кредитной картой в интернете нужно приехать в офис и перечислить на бумаге всех своих корреспондентов.

Служебка прикроет азд в нужный момент. Обход административных ограничений может привести к административным же мерам, вроде лишения премии и т.п. Устанете доказывать, что во имя компании страдали, вкладываясь в свой VDS и настраивая проксирование.
да согласен. Но я предложил один из вариантов решения проблемы, использовать или нет каждый решает для себя.
В небольших компаниях методы «социальной инженерии» (пива там админу купить ;) ), как правило, более эффективны
А в больших — пишется служебная записка по типу «В целях эффективного выполнения моих служебных обязанностей, а именно: ..., прошу предоставить мне доступ к следующим узлам сети Интернет:… „
так и есть, просто в один момент это надоело и я автоматизировал процесс.
Вот это понравилось:
У вас осталось множество клиентов, которые связываются с вами только через icq?
и
К нашему счастью, многие хостеры сейчас предоставляют vds небольших мощностей совсем за копейки.
«Классная» работа, где «шеф дебил» (ну неужели он не может понять, что такие клиенты есть?) и где ещё и платить надо за возможность работы (даже копейки! — напоминает «работу в компании Oriflame» — знающие люди поймут)… Мне кажется, вы просто кривите душой и вам хочется просто побалоболить и вы не согласны с политикой компании или вам валить оттуда валить надо, раз там реально такие дела (без кавычек выше насчёт шефа) :)
в больших компаниях решение о вводе подобных запретов идет не от вашего прямого начальника, а от руководства компании и их подобные мелочи не волнуют. Лично я настраивал эту систему дабы обойти постоянные служебки на ресурс который мне нужен. vds у меня уже была и дополнительно покупать ничего не пришлось, а вот бюрократию из своей работы вытеснил.
НЛО прилетело и опубликовало эту надпись здесь
иногда это все проще снять парой бутылок пива местным админам)
НЛО прилетело и опубликовало эту надпись здесь
По рукам бы Вашему админу :)
НЛО прилетело и опубликовало эту надпись здесь
А зачем? Если на работе нечем заняться, можно и дома ерундой страдать.

Хотя, если ваша работа — это поиск путей обхода технических ограничений, то вопросов нет :)
НЛО прилетело и опубликовало эту надпись здесь
вам повезло, и ваш бездарный админ не запретил метод CONNECT на 80 порту. Обычно этот метод доступен только на порту 443.
НЛО прилетело и опубликовало эту надпись здесь
Например система белых списков несокрушима техническими методами. Останется только искать альтернативный канал доступа (модем, телефон, etc). Или получать индульгенцию у руководства/админа. Ну или менять работу )
НЛО прилетело и опубликовало эту надпись здесь
отнюдь, в небольших конторах замечательно работает. И в отдельно взятых подразделениях больших контор. В одной подшефной мне конторе (халтурка, 20 человек) я 5 лет назад внедрил такой принцип. Сейчас список разрешенных ресурсов состоит из более 300 сайтов. И ничего, никто не умер, даже никто не уволился, хочу я вам сказать. Внедрение белого списка так подняло эффективность работников, что они стали получать вдвое больше (работа «сдельная», менеджеры инет-магазина), так что сами остались довольны. Но это пример больше на исключение смахивает, согласен.
НЛО прилетело и опубликовало эту надпись здесь
Ладно хоть не foxconn )) с 800 тысячами.
запросто. В моей текущей конторе 15000+ человек. Из них примерно половина работает в интернете только по белому списку. Действует простой принцип минимальных привилегий.
Я немного не понял цели поста.
Если человеку не сложно выкупить VDS, снатроить его да еще и взгромоздить на него фрю с проксей, да еще и на работе такой обход учудить (котя у меня в рабочей сети такое не провернешь), то он либо одмин, либо ИТ-гуру, и трудится на соответственном поприще. А таким обычно инет не режут, так как они маси и занимаютсмя резанием интернетов для остальных сотрудников.
Полезность статьи для целевой аудитории явно минимальна ИМХО.
Вот она как раз именно для того, чтобы и с минимальными знаниями можно было настроить.
Я уже сижу и представляю секретаршу пилящую фрю на VDS…
это вы уже в крайности. Статья может пригодится и тем, кто только начинает разбираться с подобными системами, мне кажется они именно для этого и пишутся: быстрее разбираться.
Вы на секунду представте уровень знаний секретарши, ну или менеджера по закупу резиновых изделий, которой лет эдак 40. Я думаю ваше представление ее минимальных знаний в области администрирования серверов никак не сопоставимо с ее представлением о компьютерах в принципе.
Да и не надо ей оно… пойдет к ИТ да попросит чего надо за плюшку.

Ну а в целом, если у меня хотя-бы один умник найдется, который попытается воспользоваться данным методом, получет по шее от руководства — раз, и может попасть под статью — два. Надо не забывать где ты работаешь. Зачастую, гораничения не просто так появляются. В некоторых бизнесах утечка информации административно и уголовно наказуема для участников бизнеса. А особенно после принятия законов о персоональных данных, так и вовсе весело. И такие утечки необходимо ликвидировать еще до прецидентов.

Ну и на последок: сейчас уже мало кто режит интернет сотрудникам. Самое действенное ограничение — это ограничение рублем. Если человек не справляется с работой — он не пригоден, не выполняет план — не получает премию. А реальные причины пусть уже работник сам для себя выясняет — из за сидения в однокласниках/вконтактах или нет.
под статью просто за открытие туннеля? как мнимум еще доказать надо, что он через него сливал информацию. А про ограничение рублем полностью с вами согласен, именно по этой причине и написал статью.
не просто за открытие туннеля.
Я работаю в банковском сервере. И существуют определенные стребования к ИТ-микроклимату и ответственность.
Исходя из этого все подозрительные/нежелательные действия пользователя логируются. Внедрены соответсвующие системы защиты. И если случится прецидент — начнется внутреннее расследование. Если выяснится, что причиной утечки конфиденциальных данных были действия пользователя, который еще и пошел в разрез правил пользовния инфраструктурой предприятия, нарушив безовасность «периметра», то соответсвующий отчет должен быть отправлен в адрес ФСТЭК, а она уже возмется за стотрудника через МВД или ФСБ, в зависимости от того, какие данные утекут. А там могут и терроризм пришить.
Так что публикуя подобные руководства, думайте и о том, что люди, не особо отличающиеся умом и сообразительностью, могут воспользоваться Вашими трудами, и по незнанию такого наворотить, что мало не покажется.

Был у нас в Новосибирске случай, паренек начитался «умных» книжек, типа «Хакер» по вопросу, «как не платить за интернет» и принялся искать дыры на серверах и оборудовании прова.
Ищущий да найдет: умудрился получить доступ к базе биллинга. Поправил себе счет, только вот в *SQL ни чернта не понимал. Кластер успешно почил.
Админам по шапке надавали, кого-то даже уволили. Кластер восстановили, а вот паренек этот, будучи совершенолетним, получил себе в дело ст. 272 УК РФ и 2 года турьмы. Вот тебе и практика.
>Так что публикуя подобные руководства, думайте и о том, что люди, не особо отличающиеся умом и сообразительностью, могут воспользоваться Вашими трудами, и по незнанию такого наворотить, что мало не покажется.
Это уже проблемы того кто прочитал и думать о них автор не обязан.
гсоласен. просто к слову о вопросе
>под статью просто за открытие туннеля? как мнимум еще доказать надо, что он через него сливал информацию…
тут ключевое — это утечка данных. Если будет желание, он уж придумает как сделать. А про парня и хостера, ну так это наверное проблема парня, а не журнала Хакер? Под этим предлогом можно и машины запретить, меня вот не так давно сбил один, специально, не нравятся ему велосипедисты на дороге.
меня в прошлую субботу сбил один умник. Тоже на веле ехал. Но не нужно раздирать коммент на части.
я отвечал на вопрос автора

> под статью просто за открытие туннеля?

Я ответил как смог развернуто, с примером. просто подобного рода статьи, да еще и с такими названиями граничат с провокацией и это надо учитывать. Какова статья — таковы и комментарии. Было бы не про корпоративный фаер — не упоминал бы ни статью, ни провайдера, ни паренька с двухлетним сроком.

ЗЫ — Ну не могу я давать куцие ответы.
я понял, в любом случае спасибо, я учту в будущем эти факты.
всегда пжалуйста
не сочтите за грубость, но если бы я был начинающим подаваном в области сетевых технологий, то из того что Вы написали я бы не понял ничего кроме
httptunnel(взять тут: nocrew.org/software/httptunnel/)

Может имеет смысл тогда чуть более развернуто описать процесс и изменить название?
спасибо за аргументированную критику, в следующих постах постараюсь писать более развернуто.
столько мучений ради icq… вот замечательный ресурс..http://www.meebo.com/ пользуйтесь на здоровье и не нужно мучаться с VDS…
icq привел я в качестве примера, через этот метод можно пускать любой необходимый вам сервис.
Статья классная, но мне всетки кажется что легче на работе пользоваться тем же tor… такими ресурсами как meebo… ведь в конце концов на работе работать нужно)
icq еще легко цепляется к gmail/gtalk посредством xmpp-транспорта и становится доступна из вэб-интрефейса почты и на любом андроидофоне из родного gtalk клиента.
А что делать, если www.meebo.com попало в «чёрный список»?
покажу этот пост нашим сотрудникам, которым я урезал инет проксей… то что вы написали не каждый админ поймет.
все это круто и работает на основании того, что админ — м*ак.
Даже в небольшой компании твой трафик растворится в логах и уж точно в топы не попадет.
Конечно же, админ смотрит логи командой cat и никогда в жизни не догадается поставить lightsquid, который покажет с удовольствием покажет статистику по пользователю

И уж конечно, админа не заинтересует ресурс, который пользователь посещает регулярно, да еще в течении всего дня (в аське ж вы планируете постоянно сидеть?)

p.s. Имхо, обход ограничений корпоративного прокси возможен только при ленивом админе или в случае если экспириенс обходящего >= экспириенса админа
чорт цитирование съелось
Видимо есть некоторый недостаток информации про современные контентные фильтры, которые смотрят не по какому порту работает протокол, а что именно за трафик бегает по открытым портам, по этому использование открытых портов для других протоколов закрывается одним-двумя кликами.

По поводу SSL соединений, которые в большей своей массе односторонние на сертификате сервера, так же просматриваются, просто в данном случае несколько сложнее получается решение.

Для примера посмотрите решения eSafe и Websense (с другими я не работал, по этому сказать ничего не могу).
Не подскажете, какие фильтры режут DNS и ICMP туннели, и режут ли вообще?
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории