The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Внутренняя безопасность: запрещение туннеля через Squid."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Скрипты, настройки и файлы конфигурации. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Внутренняя безопасность: запрещение туннеля через Squid."  
Сообщение от Сидякин Виталий email on 18-Ноя-02, 10:23 
"Умные" юзера скачали и установили туннелизирующий socks сервер на свои машины. И теперь, несмотря на все запреты ipchains и squid, лазят где попало :(((
Работает он по HTTP порту, squid добросовестно фиксирует это в логах. Конечно, я могу запрещать адреса, по которым он коннектится, но не сидеть же мне целыми днями за просмотром логов, выискивая все новые и новые адреса. И где гарантия того, что в следующий раз они не полезут через pop3 или smtp, логи которых не ведутся?
Кто-нибудь боролся с подобным?
Заранее спасибо.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "RE: Внутренняя безопасность: запрещение туннеля через Squid."  
Сообщение от admin on 18-Ноя-02, 12:31 
>"Умные" юзера скачали и установили туннелизирующий socks сервер на свои машины. И
>теперь, несмотря на все запреты ipchains и squid, лазят где попало
>:(((
>Работает он по HTTP порту, squid добросовестно фиксирует это в логах. Конечно,
>я могу запрещать адреса, по которым он коннектится, но не сидеть
>же мне целыми днями за просмотром логов, выискивая все новые и
>новые адреса. И где гарантия того, что в следующий раз они
>не полезут через pop3 или smtp, логи которых не ведутся?
>Кто-нибудь боролся с подобным?
>Заранее спасибо.

Самый верный и быстрый способ.

1. Отрезаешь провода на которых сидят "Умные" юзера
2. Закрываешь серверную и идешь пить пиво/водка.
3. Возвращаешься через 2 часа (но не раньше)
4. Общаешься с "Умные" юзера, попутно вымогая пиво/водка.
5. Получая желаемое, закрываешь серверную и идешь домой.
6. В ответ на вопли "Умные" юзера, рассказываешь про вспышку на солнце.
7. Восстанавливаешь провода, но не раньше, чем через 2 суток.

Неверный способ.

Используешь redirector

squid пропускает через него stdin, а затем читает его обратно.

В redirector пишешь что нибудь типа:

while (<>) {

($url, $who, $ident, $method) = /^(\S+) (\S+/) (\S+)$);

Смотришь все это дело и если видишь, что запрос сделан через socks,

то $url="место, где лежит какая нибудь фигня";

print $url;
}

Подробнее смотри http://squid.opennet.ru/redirect.html


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "RE: Внутренняя безопасность: запрещение туннеля через Squid."  
Сообщение от uzna on 20-Фев-03, 14:32 
пробовол использовать аутентификацию через ncsa и подобные модули?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Внутренняя безопасность: запрещение туннеля через Squid."  
Сообщение от poige on 04-Апр-03, 15:31 
>"Умные" юзера скачали и установили туннелизирующий socks сервер на свои машины. И
>теперь, несмотря на все запреты ipchains и squid, лазят где попало
>:(((
>Работает он по HTTP порту, squid добросовестно фиксирует это в логах. Конечно,
>я могу запрещать адреса, по которым он коннектится, но не сидеть
>же мне целыми днями за просмотром логов, выискивая все новые и
>новые адреса. И где гарантия того, что в следующий раз они
>не полезут через pop3 или smtp, логи которых не ведутся?
>Кто-нибудь боролся с подобным?
>Заранее спасибо.

С чем бороться? С тем, что пользователи обошли запреты?
Если да, то наиболее эффективное решение это меры административные, разумеется. Но если главное не это, а уверенность, что запреты не обойдут
даже если специально будут пытаться, то нужно использовать принцип "default deny". И разрешать только те хосты, которые нужны, администраторы которых тебе пообещают (подпишут соглашение), что у них только "порядочные" WEB-сервера (без тунелей) и ничего более. Не забудь пункты про ответственность, порядок оценки и возмещения ущерба, обрати внимание на форсмажорные обс-ва. ;-)

Кстати, как именно работает этот тунель? Он случайно не метод CONNECT использует? :-) Как называется их софтина?

/poige
--
http://www.morning.ru/poige/

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Внутренняя безопасность: запрещение туннеля через Squid."  
Сообщение от butcher email on 09-Апр-03, 15:07 
ИМНО httpport работает следующим образом:
т.к. прога не бесплатная, то в инете стоит сервер, который обслуживает этих клиентов (httpport), те коннектятся к нему, говорят что и куда им нужно, тот, соответственно, пропускает через себя все запросы и ответы преобразует в HTTP траффик.
Выводы, определяем куда в инете лезет эта прога и DENY на его IP..
точно не уверен, но ИМНО должно помочь..
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Внутренняя безопасность: запрещение туннеля через Squid."  
Сообщение от Сидякин Виталий email on 09-Апр-03, 18:02 
>Выводы, определяем куда в инете лезет эта прога и DENY на его
>IP..
>точно не уверен, но ИМНО должно помочь..

Эх... Заблочил один ip, так она на другой полезла.
Пришлось действовать методом убеждения, что ставить такие проги неправильно, и что во второй раз про эту неправильность будет кое-кто "повыше" меня объяснять. Подействовало... Но не обезопасило на все 100...
Не могу же я ежедневно тонны логов просматривать.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Внутренняя безопасность: запрещение туннеля через Squid."  
Сообщение от Alex email on 04-Сен-03, 21:59 
>>Выводы, определяем куда в инете лезет эта прога и DENY на его
>>IP..
>>точно не уверен, но ИМНО должно помочь..
>
>Эх... Заблочил один ip, так она на другой полезла.
>Пришлось действовать методом убеждения, что ставить такие проги неправильно, и что во
>второй раз про эту неправильность будет кое-кто "повыше" меня объяснять. Подействовало...
>Но не обезопасило на все 100...
>Не могу же я ежедневно тонны логов просматривать.

Интересная тема :) В принципе, здесь все уже сказали из того что я мог добавить : единственный способ борьбы - административный. Могу только сказать, что серверная часть программы для обхода firewall-а не обязательно может работать только как fake httpd на 80 порту. Некоторое время назад я написал похожую программу, в которой сервером является CGI скрипт, позволяющий делать туннели для чего угодно, бегающего в TCP или UDP. http://gray-world.net - firepass.

Alex

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Внутренняя безопасность: запрещение туннеля через Squid."  
Сообщение от Serg on 10-Дек-03, 21:30 
у меня в универе подобная проблема :)
Сам являюсь таким юзером:)
Ка я понимаю, почему бы просто не запретить метод Connect? или разрешить его только для SSL?
кстати, на днях скачал, метров 200. Немного пожадничал. результат: заблочили https-proxy И кстати HTTport теперь не создаёт туннели с другими подобными проксями..не онимаю, как админы могли это зашить?? это же нереально? ну если запретить метод Коннект - это ведь не выход...остаётся GET, а его ведь не закрыть :))
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Внутренняя безопасность: запрещение туннеля через Squid."  
Сообщение от Nikolaev_D email on 19-Янв-04, 22:46 
>у меня в универе подобная проблема :)
>кстати, на днях скачал, метров 200.

А могут и поймать, и припать статью по УК. Взрослее надо быть.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "Внутренняя безопасность: запрещение туннеля через Squid."  
Сообщение от baka on 23-Янв-04, 17:36 
Скажите пожалуйста, как для сквида выглядит работа НТТР-туннеля? Как отражается в логах?


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "Внутренняя безопасность: запрещение туннеля через Squid."  
Сообщение от Nikolaev_D email on 10-Фев-04, 22:24 
>Скажите пожалуйста, как для сквида выглядит работа НТТР-туннеля? Как отражается в логах?
>


а некий запрос по некому урлу. и все.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "Внутренняя безопасность: запрещение туннеля через Squid."  
Сообщение от ase (ok) on 22-Янв-06, 04:00 
Можно поступить и несколько иначе. Технически-административно.
Сделать на проксе группу - разрешены только определенные сайты, на остальные служебка со списком сайтов. Админ просматривает, и если ничего критичного нет, то группе разрешает. На остальные сайты - deny.

Итак. Провинившегося юзера заносим в такую группу. После помещения трех четырех юзеров в эту группу, как правило "умных любителей" становится на порядок меньше.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "Внутренняя безопасность: запрещение туннеля через Squid."  
Сообщение от Сергей (??) on 27-Фев-06, 00:18 
>>Скажите пожалуйста, как для сквида выглядит работа НТТР-туннеля? Как отражается в логах?
>>
>а некий запрос по некому урлу. и все.

не совсем.
единичный запрос именно так и выглядит - запрос по некому урлу и всё.
но при _импользовании_ (реальном) такого туннеля таких запросов десятки и сотни.

соответственно, отлавливается элементарной статистикой посещений.

Мы ведь люди взрослые, правда? и за логами нашего прокси-сервера всё-таки следим ...

А вообще вопрос организационный - если есть распоряжение "нельзя", то нельзя. и админ может либо блокировать такие ..., либо просто сообщать "по инстанции"
а если распоряжений нет - можно от пользователей и по фейсу канделябром схлопотать. Ибо называется это уже иначе - "самоуправство админа" и "беспредел".

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру