The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Определить, что клиент подключается через прокси"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (ACL, блокировки)
Изначальное сообщение [ Отслеживать ]

"Определить, что клиент подключается через прокси"  +/
Сообщение от romaninfo01 (ok) on 21-Дек-15, 20:21 
Добрый день!
Прошу помощи вот в чем:
имеется рабочий squid3.4. Прокся работает в обычном, не прозрачном режиме. Необходимо отследить пользователей, которые подключаются через прокси (тот же squid, но версия неизвестна, 2.7, 3.0, 3.1 и.т.д) и, соответственно, запретить им доступ.

Кто-нибудь подскажет как это сделать и возможно ли это?
Спасибо...

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Определить, что клиент подключается через прокси"  +/
Сообщение от name (??) on 22-Дек-15, 09:21 
Подключаются куда?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Определить, что клиент подключается через прокси"  +/
Сообщение от romaninfo01 email(ok) on 22-Дек-15, 09:30 
Из локальной сети, конечно.

Подключился сотрудник к прокси-серверу, мне нужно отследить, что он идет не через другой прокси, который установлен в этой же сети.

для чего это?
есть сотрудники, которым предоставляется полный доступ. данные сотрудники способны поставить у себя прокси-сервер и начать раздавать интернет. Вот это мне и нужно отследить и заблокировать.

Я, конечно, благодарю за внимание к теме, но прошу не предлагать:
1. организационные меры
2. сторонний софт
и.т.д

мне нужно решить данный вопрос именно на стороне squid


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Определить, что клиент подключается через прокси"  +/
Сообщение от Etch on 22-Дек-15, 14:13 
> есть сотрудники, которым предоставляется полный доступ. данные сотрудники способны поставить
> у себя прокси-сервер и начать раздавать интернет. Вот это мне и
> нужно отследить и заблокировать.

В общем случае задача решения не имеет. Всегда найдётся способ замаскироваться и обойти все проверки. Единственный вариант - отделить пользователей, которым нельзя в интернет, в отдельную сеть и запретить из неё подключения к компьютерам из доверенной сети.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Определить, что клиент подключается через прокси"  +/
Сообщение от romaninfo01 email(ok) on 23-Дек-15, 05:58 
спасибо за совет, но в моем случае это не выполнимо
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Определить, что клиент подключается через прокси"  +/
Сообщение от Square1 on 23-Дек-15, 15:28 
> спасибо за совет, но в моем случае это не выполнимо

вланы?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

3. "Определить, что клиент подключается через прокси"  +/
Сообщение от mcduck (??) on 22-Дек-15, 12:05 
> Кто-нибудь подскажет как это сделать и возможно ли это?
> Спасибо...

icp_access deny localnet

не помогает ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Определить, что клиент подключается через прокси"  +/
Сообщение от romaninfo01 email(ok) on 22-Дек-15, 13:40 
не пробовал, проверю

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Определить, что клиент подключается через прокси"  +/
Сообщение от romaninfo01 email(ok) on 22-Дек-15, 13:43 
у squid по умолчанию данная опция стоит как icp_access deny all

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Определить, что клиент подключается через прокси"  +/
Сообщение от дима email(??) on 22-Дек-15, 17:01 
если в сети есть сотрудник который у себя поднимает сквид, а теюя это вызыват проблемы, , то тебя надо выгнать, а тому сотруднику добавить зарплату.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Определить, что клиент подключается через прокси"  +/
Сообщение от romaninfo01 email(ok) on 23-Дек-15, 05:57 
> если в сети есть сотрудник который у себя поднимает сквид, а теюя
> это вызыват проблемы, , то тебя надо выгнать, а тому сотруднику
> добавить зарплату.

Благодарю вас за душевные слова, правда не понял смысла данной тирады, да и думаю смысла в ней нет.

Вы серьезно считаете, что поднять сквид и начать раздавать интернет это так сложно?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Определить, что клиент подключается через прокси"  +/
Сообщение от name (??) on 23-Дек-15, 09:16 
> Вы серьезно считаете, что поднять сквид и начать раздавать интернет это так
> сложно?

Зачем ему это вообще делать?
Это что общага или колхоз.

Вообще тупо будет в логах видно, что один юзер разными браузерами одновременно открывает разные сайты.
Настройте расширенный лог,
Делайте парсер лог файлов.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Определить, что клиент подключается через прокси"  +/
Сообщение от Square1 on 23-Дек-15, 15:29 
>> Вы серьезно считаете, что поднять сквид и начать раздавать интернет это так
>> сложно?
> Зачем ему это вообще делать?
> Это что общага или колхоз.
> Вообще тупо будет в логах видно, что один юзер разными браузерами одновременно
> открывает разные сайты.
> Настройте расширенный лог,
> Делайте парсер лог файлов.

Корпоративный браузер? У всех один?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Определить, что клиент подключается через прокси"  +/
Сообщение от Square1 on 23-Дек-15, 15:47 
>> если в сети есть сотрудник который у себя поднимает сквид, а теюя
>> это вызыват проблемы, , то тебя надо выгнать, а тому сотруднику
>> добавить зарплату.
> Благодарю вас за душевные слова, правда не понял смысла данной тирады, да
> и думаю смысла в ней нет.
> Вы серьезно считаете, что поднять сквид и начать раздавать интернет это так
> сложно?

У нормального админа - да.

Корпоративная политика безопасности. Отсутствие админских полномочий у пользователя.
Настройка ОС по правилам групповых политик.
Авторизация на прокси с контролем приложения которое пытается осуществить выход в интернет (сквид не умеет такого. Добро пожаловать в энтэрпрайз решения :) ).

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "Определить, что клиент подключается через прокси"  +1 +/
Сообщение от Square1 on 23-Дек-15, 16:04 
>> если в сети есть сотрудник который у себя поднимает сквид, а теюя
>> это вызыват проблемы, , то тебя надо выгнать, а тому сотруднику
>> добавить зарплату.
> Благодарю вас за душевные слова, правда не понял смысла данной тирады, да
> и думаю смысла в ней нет.

Вот как раз потому что вы не смогли увидеть смысла в этой тираде - вас надо выгнать а тому сотруднику добавить зарплаты :)

Вы, как человек ответственный за сетевые технологии в вашей компании- подошли к своей работе безответственнно. Вы не контролируете сеть. Не контролируете компьютеры пользователей. Любой человек в вашей сети может делать все что угодно. Вы не способны аргументировать перед начальством необходимость установки и настройки управляемого оборудования. Вы не понимаете как работают современные сетевые технологии. Вы не разбираетесь в системах защиты сети.

В общем вы как сисадмин - профнепрегодны.

Так что все правильно в той тираде :)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Определить, что клиент подключается через прокси"  +/
Сообщение от PavelR (??) on 23-Дек-15, 12:46 
> Прошу помощи вот в чем:

...
>запретить им доступ.

...
> Кто-нибудь подскажет как это сделать и возможно ли это?

Для этого существуют управляемые коммутаторы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Определить, что клиент подключается через прокси"  +/
Сообщение от Square1 on 23-Дек-15, 15:42 
> имеется рабочий squid3.4. Прокся работает в обычном, не прозрачном режиме. Необходимо отследить
> пользователей, которые подключаются через прокси (тот же squid, но версия неизвестна,

Вы крайний оптимист. "Проксей" которые могут поставить себе пользователи - как собак нерезанных. OpenVPN, Polipo, 3proxy, различные сокс-прокси и т.д.

И вот вы со своим сквидом собираетесь бороться.. с чем?

Правильный вариант - поставить управляемое оборудование, разбить сеть на вланы, вынести пользователей которым разрешен выход в инет от тех которым не разрешен в отдельные вланы.

Что касается невозможности сделать то что вам советуют - это знаете ли..детский лепет. Чтобы ездить на машине надо иметь машину. Если вы не можете иметь машину, а имеете только самокат - вы не сможете ездить на машине хоть усрись на своем самокате.

В общем случае у вас нет технической возможности с помощью сквида отделить пользователей "честных" от "через прокси".

Есть разные варианты мелкой пакости для владельцев прокси:
ограничить число коннектов с одного адреса
ограничить объем трафика с одного адреса
контролировать запущенные на компьютере пользователя приложения
контролировать настройки файрвола на компьютере пользователя, раздавая их через корпоративную политику
и так далее...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Определить, что клиент подключается через прокси"  +/
Сообщение от Square1 on 23-Дек-15, 15:55 
> Добрый день!
> Прошу помощи вот в чем:

А вот теперь внимание:

Первый вопрос который вы, как человек отвечающий вероятно за информационную безопасность компании должны себе задать, должен быть не про сквид и глупые идеи с прокси, а про то, что именно помешает пользователю поставить себе на комп 3Gмодем с анлимитом и натащить к вам в сеть всего чего только можно ВООБЩЕ В ОБХОД ВАШЕГО СКВИДА?
Глубину проблемы понимаете? :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Определить, что клиент подключается через прокси"  –2 +/
Сообщение от romaninfo01 email(ok) on 24-Дек-15, 07:00 
Ну что-же, можно подвести итог:
1. У "Square1" какая-то навязчивая идея насчет увольнения и добавления зарплаты работнику - явная психологическая травма... лечитесь... особенно порадовала фраза "В общем вы как сисадмин - профнепрегодны." к незнакомому человеку... так же утверждение, что я отвечаю за сетевые технологии, что не является верным - не отвечаю я за сетевые технологии.
2. советы по поводу Vlan и управляемых маршрутизаторов: уважаемые коллеги, в организации дорогостоящая сети со своими особенностями, используются VPN и.т.д - никто не даст просто так что-то менять
3. Так же "Square1" открыл мне Америку про 3G модемы: ну что же спасибо, просветили...

В общем наслушался...
Господа-товарищи, давайте быть добрее.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Определить, что клиент подключается через прокси"  +/
Сообщение от PavelR (??) on 24-Дек-15, 10:04 
>не отвечаю я за сетевые технологии.

Я правильно понял, что вы поставили свой сквид, но таких умных нашлось чуть больше чем один, и ваш сквид стал "не последним в цепочке", что вас сильно обидело?

> дорогостоящая сети ... никто не даст просто так что-то менять

Не боитесь, что по шапке прилетит за самодеятельность?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Определить, что клиент подключается через прокси"  +/
Сообщение от asavah (ok) on 24-Дек-15, 15:05 
Всё правильно Square1 вам сказал.
У вас проблема не в том что у кого-то стоит сквид, а в том у пользователей вообще есть _возможность_ поставить себе что им в голову взбредёт.
Из чего можно сделать вывод что вы не контролируете ни сеть в общем, ни компы пользователей в частности.

> Господа-товарищи, давайте быть добрее.

А с какого нам быть добрее с непрофессионалами которые не могут даже элементарный анализ ситуации на вверенном им объекте сделать?
Посему или начинайте решать вопросы сначала на административном, а потом на техническом уровне. Ну или идите в грузчики.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Определить, что клиент подключается через прокси"  +/
Сообщение от Филимон Новогодний on 25-Дек-15, 21:54 
Может в запросе с другого прокси уже есть заголовокъ X_FORWARDED_FOR

Ещё можно на новогоднем корпоративе насобирать компромата и потом шантажировать народ, чтобы не раздавали чё кому не надо


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру