Jump to content
Калькуляторы

блокирование сайтов на корпоративном уровне

Доброго дня,

 

Есть задача закрыть в нескольких компаниях определенные сайты. Как правило это соц.сети, всякие facebook/vkontakte/odnoklassniki и youtube. Раньше это делал через acl'ы squid'а, подключенного к циско шлюзу по wccp или прямо на циске через match protocol http host "*facebook*" в связке с nbar'ом.

 

Однако в последние годы все изменилось - везде https... Через match protocol secure-http можно заблокировать только ВЕСЬ https, что не подходит. Squid работает с https через метод CONNECT и не видит HTTP/1.1 команды Host:facebook.com. Думал может ASA может как-то помочь, но вот нашел:

HTTPS filtering is not supported on ASA. ASA cannot do deep packet inspection or inspection based on regular expression for HTTPS traffic, because in HTTPS, content of packet is encrypted (SSL)

и расстроился.

 

У меня на SCE в отчетах facebook отображается в отдельном графике, по видимому SCE его как-то отличает от остального HTTP. Но не поставить же SCE каждому корпоративному клиенту :) Есть более бюджетное решение?

Share this post


Link to post
Share on other sites

Но не поставить же SCE каждому корпоративному клиенту :) Есть более бюджетное решение?

загнать всех корпоративных клиентов за свою sce, как вариант

Share this post


Link to post
Share on other sites

загнать всех корпоративных клиентов за свою sce, как вариант

 

Это все - битва с ветряными мельницами. Бесполезное занятие изначально.

Если конторка маленькая, то помогут только административные меры, если крупная, то пусть покупают софт либо железные решения.

Несколько раз наблюдал, как секретари успешно "пользуют" tor для обхода блокировок на уровне proxy, а когда не могут попать куда-либо используют опсосов как резервный канал.

 

Зачем вообще блокировать что-либо? Запретный плод сладок. Режте просто по скорости. Собирайте статистику.

 

А так, смотрите в сторону младших srx. По стоимости сотовый телефон, по функционалу вполне себе.

Из софта SurfControl.

Edited by NikBSDOpen

Share this post


Link to post
Share on other sites

Режте просто по скорости.

для этого надо сначала проmatchить. А вот это уже проблема - нужно отделить одни https сайты от других.

то пусть покупают софт либо железные решения

вот этого и добиваюсь :) посоветуйте что-нибудь.

а когда не могут попать куда-либо используют опсосов как резервный канал

да нет проблем, потому что:

Зачем вообще блокировать что-либо?

цель - сэкономить основной канал (за который платит контора) для более важных целей. А что делает юзер за свой счет через опсоса, это его проблемы. Тут уже выходим за рамки технической темы и переходим к административно-организационным вопросам: чем можно и чем нельзя заниматься работнику на рабочем месте в рабочее время (чесаться, жрат/пить/курить, шариться по смартфону), это к данной теме не относится :)

 

А так, смотрите в сторону младших srx. По стоимости сотовый телефон, по функционалу вполне себе.

Из софта SurfControl.

Понял, погуглю :)

Edited by survivor

Share this post


Link to post
Share on other sites

цель - сэкономить основной канал (за который платит контора) для более важных целей

Прошу прощение, понимаю обстоятельства, клиенты голову морочят, но как же QoS в плане более важных целей.

А что, есть еще конторы, которые покупают трафик?

 

По поводу софта, указал выше. По поводу "железных" (в какой то степени) решений, srx100h2 пережует канал, который "необходимо экономить".

Share this post


Link to post
Share on other sites

Про SRX (вы juniper имели ввиду?) читаю:

Enhanced Web Filtering supports HTTPS requests; however, the destination IP is used for Web filtering instead of actual plain text URLs. You cannot decrypt HTTPS requests to obtain the URL; however, you can extract the source IP from the IP header.

то есть... он тоже не умеет смотреть содержимое запроса? А matchить по destination ip - так это и древняя 2600 циска сможет... Или я что-то не так понимаю?

 

А что, есть еще конторы, которые покупают трафик?

нет, к счастью, это уже кануло в вечность :)

речь как раз про qos - нужно чтобы facebook и youtube не убивали 10мегабитный канал офиса. Для этого нужно как-то проmatchить отдельные https ресурсы. Просто qos более требовательная к CPU задача, а в большинстве случаев клиенту drop развлекательного траффика вполне достаточен. Если можно сделать priority или bandwidth - это плюс :)

Edited by survivor

Share this post


Link to post
Share on other sites

В SRX, AppFW по сигнатурам на политику, вполне рабочий вариант, правда со своим блекджеком и ***ми, но все же. Мы же рассматриваем именно корпоративный вариант, правильно? Не ISP? Тогда смело закрывайте https, для политики, которая исключает vip пользователей.

Share this post


Link to post
Share on other sites

Тогда смело закрывайте https, для политики, которая исключает vip пользователей.

да, пока это единственный вариант, который есть.

А что с srx100h2? По деньгам очень не плохо выходит. Или нужно будет еще докупать лицензию?

Вот тут: http://forums.anandtech.com/showthread.php?t=2345470

пишут:

I'm a fan of the Cisco RV042/RV082 series but even the latest revs with latest firmware still seem to have a limitation where they do not block https:// sites.

и там же:

Juniper's Enhanced Web Filtering on their SRX platform works with HTTPS.

Share this post


Link to post
Share on other sites

да, пока это единственный вариант, который есть.

А что с srx100h2? По деньгам очень не плохо выходит. Или нужно будет еще докупать лицензию?

 

У меня srx100 дома стоит. :)

Старшего ребенка (насколько это вообще возможно) "контролирует". Собственно ситуация с лицензиями там обчная. Тестовая 30 дней, но как раз AppFW после ее окончания продолжает работать, правда обновить сигнатуры не получится.

 

А так то да, лицензии покупаются. По цене к радованам, но не думаю, что лицензии очень дороги.

Edited by NikBSDOpen

Share this post


Link to post
Share on other sites

то есть на нем выборочно можно фильтровать https сайты?

 

Некоторые можно. В SRX по подписке есть integrated SurfControl, без нее можно завернуть на внешний, со всеми вытекающими ...

У меня сын, как настоящий corp пользователь. Если что то упустил, то будет все найдено и использовано, в плане безопасности лучший тестер.

Специально для него сделал несколько зон безопасности. Хочешь все и сейчас, гуляй в гостевой vlan со скоростью близкой к... в суде собственно это приравняли бы к доведению до самоубийства.

Все остальное под контролем, в той или иной степени.

Сигнатуры добавляются просто в политику, вот пример для книгилица и контакта.

Собственно понятно, как, кого и каким способом, можно довести до истерики. Стим и т.д. тоже присутствуют.

 

 

[edit security]
  application-firewall {
      rule-sets bl {
          rule vk {
              match {
                  dynamic-application [ junos:VK-POST junos:VK-UPLOAD junos:VKONTAKTE ];
              }
              then {
                  deny;
              }
          }
          rule face {
              match {
                  dynamic-application [ junos:FACEBOOK-ACCESS junos:FACEBOOK-ACCESS-SSL junos:FACEBOOK-APP junos:FACEBOOK-APPLICATIONBUILDER junos:FACEBOOK-BIGPHOTO junos:FACEBOOK-BUMPERSTICKER
                  junos:FACEBOOK-CARICATURE junos:FACEBOOK-CAUSES junos:FACEBOOK-CDN-SSL junos:FACEBOOK-CHAT junos:FACEBOOK-CIRCLEOFMOMS junos:FACEBOOK-COLLECTHEARTS junos:FACEBOOK-CONTESTS   junos:FACEBOOK-DAILYHOROSCOPE
                  junos:FACEBOOK-DECORATIVEWRITING junos:FACEBOOK-DOGBOOK junos:FACEBOOK-EXTENDEDINFO junos:FACEBOOK-FAMILYLINK junos:FACEBOOK-FAMILYTREE
                  junos:FACEBOOK-FANAPPZ junos:FACEBOOK-FARMVILLE junos:FACEBOOK-FLIXSTER junos:FACEBOOK-FRASESDIARIAS junos:FACEBOOK-FUNNYPHOTO junos:FACEBOOK-GALLETASDELAFORTUNA junos:FACEBOOK-GODWANTSYOUTOKNOW
                   junos:FACEBOOK-HALLMARKSOCIALCALENDAR junos:FACEBOOK-HONESTYBOX junos:FACEBOOK-HUGGED junos:FACEBOOK-ICAST junos:FACEBOOK-IKARMA junos:FACEBOOK-ILIKE-MUSIC junos:FACEBOOK-ILIKETHISARTIST 
                    junos:FACEBOOK-MAIL junos:FACEBOOK-MARKETPLACE junos:FACEBOOK-MIXPODMUSIC junos:FACEBOOK-MOBILE-CHAT junos:FACEBOOK-MUSIKGW junos:FACEBOOK-MYARABICNAME
junos:FACEBOOK-MYBAND
                     junos:FACEBOOK-MYBESTFRIENDS junos:FACEBOOK-MYPERSONALITY junos:FACEBOOK-MYTOPFANS junos:FACEBOOK-NETWORKEDBLOGS junos:FACEBOOK-PHOTOOFTHEDAY junos:FACEBOOK-PICNIK junos:FACEBOOK-PROFILEBOX junos:FACEBOOK-PROFILEHTML junos:FACEBOOK-QUIZMONSTER junos:FACEBOOK-ROCKYOULIVE junos:FACEBOOK-SKETCHME junos:FACEBOOK-SLIDEFUNSPACE junos:FACEBOOK-SOCIALRSS junos:FACEBOOK-SUPERPOKE              junos:FACEBOOK-SWEEPSTAKES junos:FACEBOOK-TOPFRIENDS junos:FACEBOOK-UPLOAD junos:FACEBOOK-VIDEO-STREAM junos:FACEBOOK-VISUALBOOKSHELF 
                     junos:FACEBOOK-WELCOMETAB junos:FACEBOOK-WINDOWSLIVEMESSENGER junos:FACEBOOK-YEARBOOK junos:FACEBOOK-YOURJAPANESENAME junos:FACEBOOK-YOUTUBEBOX junos:FACEBOOK-YOUTUBEVIDEOBOX junos:FACEBOOK-ZOOSK ];
              }
              then {
                  deny;
              }
          }
          default-rule {
              permit;
          }
      }
  }

Share this post


Link to post
Share on other sites

NikBSDOpen, а отдельным каналом заворачиваете netflow и вечером перед сном ищете, чтобы еще закрыть?))

Напомнило сцену из фильма Муви43)

Share this post


Link to post
Share on other sites

а отдельным каналом заворачиваете netflow и вечером перед сном ищете, чтобы еще закрыть?))

Зачем закрывать? Возвращаемся к началу топика.

У меня есть административный ресурс т.е. ремень и карманные деньги.

 

Да, srx не умеет netflow, но можно сливать инцинденты в сислог.

Edited by NikBSDOpen

Share this post


Link to post
Share on other sites

Подсети по ип заблочить и всё.

Либо с днс "поиграть".

 

Есть альтернативные DNS, в конце концов, как я уже писал tor. Не вариант обсолютно.

Share this post


Link to post
Share on other sites

Пускать в интернет только через proxy, SQUID/ISA. Заклеить USB. Запретить привелегированный доступ. Отбирать мобильники на входе в офис.

Share this post


Link to post
Share on other sites

Запретить привелегированный доступ

Что то я не разу не встречал начальника, который добровольно себе закроет что-либо.

Обычно, на удивление быстро, просыпается синдром вахтера. Тому можно, а этому нельзя, если рассматривать именно "корп" уровень. Причем просыпается в крайне извращенном понимании, иногда "хотелки" бывают круче, чем тараканы в голове Мезулиной.

Share this post


Link to post
Share on other sites

Есть альтернативные DNS, в конце концов, как я уже писал tor. Не вариант обсолютно.

Это уже человеческие взаимоотношения а не техническая проблема а решается административно.

Share this post


Link to post
Share on other sites

Это уже человеческие взаимоотношения а не техническая проблема а решается административно.

 

Технически, я описал самый безболезненный вариант. Брать либо "мелкий" srx, либо surfcontrol (можно кстати последний, "прилепить" к первому вполне возможно).

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.