survivor Опубликовано 9 апреля, 2014 · Жалоба Доброго дня, Есть задача закрыть в нескольких компаниях определенные сайты. Как правило это соц.сети, всякие facebook/vkontakte/odnoklassniki и youtube. Раньше это делал через acl'ы squid'а, подключенного к циско шлюзу по wccp или прямо на циске через match protocol http host "*facebook*" в связке с nbar'ом. Однако в последние годы все изменилось - везде https... Через match protocol secure-http можно заблокировать только ВЕСЬ https, что не подходит. Squid работает с https через метод CONNECT и не видит HTTP/1.1 команды Host:facebook.com. Думал может ASA может как-то помочь, но вот нашел: HTTPS filtering is not supported on ASA. ASA cannot do deep packet inspection or inspection based on regular expression for HTTPS traffic, because in HTTPS, content of packet is encrypted (SSL) и расстроился. У меня на SCE в отчетах facebook отображается в отдельном графике, по видимому SCE его как-то отличает от остального HTTP. Но не поставить же SCE каждому корпоративному клиенту :) Есть более бюджетное решение? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 9 апреля, 2014 · Жалоба Есть более бюджетное решение? Блекхолить "вредные" AS на бордере. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 9 апреля, 2014 · Жалоба Но не поставить же SCE каждому корпоративному клиенту :) Есть более бюджетное решение? загнать всех корпоративных клиентов за свою sce, как вариант Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 9 апреля, 2014 · Жалоба Блекхолить "вредные" AS на бордере. :) не все клиенты берут мой интернет. И нужно именно корпоративное решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 9 апреля, 2014 (изменено) · Жалоба загнать всех корпоративных клиентов за свою sce, как вариант Это все - битва с ветряными мельницами. Бесполезное занятие изначально. Если конторка маленькая, то помогут только административные меры, если крупная, то пусть покупают софт либо железные решения. Несколько раз наблюдал, как секретари успешно "пользуют" tor для обхода блокировок на уровне proxy, а когда не могут попать куда-либо используют опсосов как резервный канал. Зачем вообще блокировать что-либо? Запретный плод сладок. Режте просто по скорости. Собирайте статистику. А так, смотрите в сторону младших srx. По стоимости сотовый телефон, по функционалу вполне себе. Из софта SurfControl. Изменено 9 апреля, 2014 пользователем NikBSDOpen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 9 апреля, 2014 (изменено) · Жалоба Режте просто по скорости. для этого надо сначала проmatchить. А вот это уже проблема - нужно отделить одни https сайты от других. то пусть покупают софт либо железные решения вот этого и добиваюсь :) посоветуйте что-нибудь. а когда не могут попать куда-либо используют опсосов как резервный канал да нет проблем, потому что: Зачем вообще блокировать что-либо? цель - сэкономить основной канал (за который платит контора) для более важных целей. А что делает юзер за свой счет через опсоса, это его проблемы. Тут уже выходим за рамки технической темы и переходим к административно-организационным вопросам: чем можно и чем нельзя заниматься работнику на рабочем месте в рабочее время (чесаться, жрат/пить/курить, шариться по смартфону), это к данной теме не относится :) А так, смотрите в сторону младших srx. По стоимости сотовый телефон, по функционалу вполне себе. Из софта SurfControl. Понял, погуглю :) Изменено 9 апреля, 2014 пользователем survivor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 9 апреля, 2014 · Жалоба цель - сэкономить основной канал (за который платит контора) для более важных целей Прошу прощение, понимаю обстоятельства, клиенты голову морочят, но как же QoS в плане более важных целей. А что, есть еще конторы, которые покупают трафик? По поводу софта, указал выше. По поводу "железных" (в какой то степени) решений, srx100h2 пережует канал, который "необходимо экономить". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 9 апреля, 2014 (изменено) · Жалоба Про SRX (вы juniper имели ввиду?) читаю: Enhanced Web Filtering supports HTTPS requests; however, the destination IP is used for Web filtering instead of actual plain text URLs. You cannot decrypt HTTPS requests to obtain the URL; however, you can extract the source IP from the IP header. то есть... он тоже не умеет смотреть содержимое запроса? А matchить по destination ip - так это и древняя 2600 циска сможет... Или я что-то не так понимаю? А что, есть еще конторы, которые покупают трафик? нет, к счастью, это уже кануло в вечность :) речь как раз про qos - нужно чтобы facebook и youtube не убивали 10мегабитный канал офиса. Для этого нужно как-то проmatchить отдельные https ресурсы. Просто qos более требовательная к CPU задача, а в большинстве случаев клиенту drop развлекательного траффика вполне достаточен. Если можно сделать priority или bandwidth - это плюс :) Изменено 9 апреля, 2014 пользователем survivor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 9 апреля, 2014 · Жалоба В SRX, AppFW по сигнатурам на политику, вполне рабочий вариант, правда со своим блекджеком и ***ми, но все же. Мы же рассматриваем именно корпоративный вариант, правильно? Не ISP? Тогда смело закрывайте https, для политики, которая исключает vip пользователей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 9 апреля, 2014 · Жалоба Тогда смело закрывайте https, для политики, которая исключает vip пользователей. да, пока это единственный вариант, который есть. А что с srx100h2? По деньгам очень не плохо выходит. Или нужно будет еще докупать лицензию? Вот тут: http://forums.anandtech.com/showthread.php?t=2345470 пишут: I'm a fan of the Cisco RV042/RV082 series but even the latest revs with latest firmware still seem to have a limitation where they do not block https:// sites. и там же: Juniper's Enhanced Web Filtering on their SRX platform works with HTTPS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 9 апреля, 2014 (изменено) · Жалоба да, пока это единственный вариант, который есть. А что с srx100h2? По деньгам очень не плохо выходит. Или нужно будет еще докупать лицензию? У меня srx100 дома стоит. :) Старшего ребенка (насколько это вообще возможно) "контролирует". Собственно ситуация с лицензиями там обчная. Тестовая 30 дней, но как раз AppFW после ее окончания продолжает работать, правда обновить сигнатуры не получится. А так то да, лицензии покупаются. По цене к радованам, но не думаю, что лицензии очень дороги. Изменено 9 апреля, 2014 пользователем NikBSDOpen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 9 апреля, 2014 · Жалоба NikBSDOpen то есть на нем выборочно можно фильтровать https сайты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 9 апреля, 2014 · Жалоба то есть на нем выборочно можно фильтровать https сайты? Некоторые можно. В SRX по подписке есть integrated SurfControl, без нее можно завернуть на внешний, со всеми вытекающими ... У меня сын, как настоящий corp пользователь. Если что то упустил, то будет все найдено и использовано, в плане безопасности лучший тестер. Специально для него сделал несколько зон безопасности. Хочешь все и сейчас, гуляй в гостевой vlan со скоростью близкой к... в суде собственно это приравняли бы к доведению до самоубийства. Все остальное под контролем, в той или иной степени. Сигнатуры добавляются просто в политику, вот пример для книгилица и контакта. Собственно понятно, как, кого и каким способом, можно довести до истерики. Стим и т.д. тоже присутствуют. [edit security] application-firewall { rule-sets bl { rule vk { match { dynamic-application [ junos:VK-POST junos:VK-UPLOAD junos:VKONTAKTE ]; } then { deny; } } rule face { match { dynamic-application [ junos:FACEBOOK-ACCESS junos:FACEBOOK-ACCESS-SSL junos:FACEBOOK-APP junos:FACEBOOK-APPLICATIONBUILDER junos:FACEBOOK-BIGPHOTO junos:FACEBOOK-BUMPERSTICKER junos:FACEBOOK-CARICATURE junos:FACEBOOK-CAUSES junos:FACEBOOK-CDN-SSL junos:FACEBOOK-CHAT junos:FACEBOOK-CIRCLEOFMOMS junos:FACEBOOK-COLLECTHEARTS junos:FACEBOOK-CONTESTS junos:FACEBOOK-DAILYHOROSCOPE junos:FACEBOOK-DECORATIVEWRITING junos:FACEBOOK-DOGBOOK junos:FACEBOOK-EXTENDEDINFO junos:FACEBOOK-FAMILYLINK junos:FACEBOOK-FAMILYTREE junos:FACEBOOK-FANAPPZ junos:FACEBOOK-FARMVILLE junos:FACEBOOK-FLIXSTER junos:FACEBOOK-FRASESDIARIAS junos:FACEBOOK-FUNNYPHOTO junos:FACEBOOK-GALLETASDELAFORTUNA junos:FACEBOOK-GODWANTSYOUTOKNOW junos:FACEBOOK-HALLMARKSOCIALCALENDAR junos:FACEBOOK-HONESTYBOX junos:FACEBOOK-HUGGED junos:FACEBOOK-ICAST junos:FACEBOOK-IKARMA junos:FACEBOOK-ILIKE-MUSIC junos:FACEBOOK-ILIKETHISARTIST junos:FACEBOOK-MAIL junos:FACEBOOK-MARKETPLACE junos:FACEBOOK-MIXPODMUSIC junos:FACEBOOK-MOBILE-CHAT junos:FACEBOOK-MUSIKGW junos:FACEBOOK-MYARABICNAME junos:FACEBOOK-MYBAND junos:FACEBOOK-MYBESTFRIENDS junos:FACEBOOK-MYPERSONALITY junos:FACEBOOK-MYTOPFANS junos:FACEBOOK-NETWORKEDBLOGS junos:FACEBOOK-PHOTOOFTHEDAY junos:FACEBOOK-PICNIK junos:FACEBOOK-PROFILEBOX junos:FACEBOOK-PROFILEHTML junos:FACEBOOK-QUIZMONSTER junos:FACEBOOK-ROCKYOULIVE junos:FACEBOOK-SKETCHME junos:FACEBOOK-SLIDEFUNSPACE junos:FACEBOOK-SOCIALRSS junos:FACEBOOK-SUPERPOKE junos:FACEBOOK-SWEEPSTAKES junos:FACEBOOK-TOPFRIENDS junos:FACEBOOK-UPLOAD junos:FACEBOOK-VIDEO-STREAM junos:FACEBOOK-VISUALBOOKSHELF junos:FACEBOOK-WELCOMETAB junos:FACEBOOK-WINDOWSLIVEMESSENGER junos:FACEBOOK-YEARBOOK junos:FACEBOOK-YOURJAPANESENAME junos:FACEBOOK-YOUTUBEBOX junos:FACEBOOK-YOUTUBEVIDEOBOX junos:FACEBOOK-ZOOSK ]; } then { deny; } } default-rule { permit; } } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MonaxGT Опубликовано 9 апреля, 2014 · Жалоба NikBSDOpen, а отдельным каналом заворачиваете netflow и вечером перед сном ищете, чтобы еще закрыть?)) Напомнило сцену из фильма Муви43) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 9 апреля, 2014 (изменено) · Жалоба а отдельным каналом заворачиваете netflow и вечером перед сном ищете, чтобы еще закрыть?)) Зачем закрывать? Возвращаемся к началу топика. У меня есть административный ресурс т.е. ремень и карманные деньги. Да, srx не умеет netflow, но можно сливать инцинденты в сислог. Изменено 9 апреля, 2014 пользователем NikBSDOpen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 9 апреля, 2014 · Жалоба Подсети по ип заблочить и всё. Либо с днс "поиграть". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 10 апреля, 2014 · Жалоба Подсети по ип заблочить и всё. Либо с днс "поиграть". Есть альтернативные DNS, в конце концов, как я уже писал tor. Не вариант обсолютно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 10 апреля, 2014 · Жалоба Пускать в интернет только через proxy, SQUID/ISA. Заклеить USB. Запретить привелегированный доступ. Отбирать мобильники на входе в офис. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 10 апреля, 2014 · Жалоба Отбирать мобильники на входе в офис. Можно просто глушилку поставить :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 10 апреля, 2014 · Жалоба Ага и камеры наблюдения над каждым столом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 10 апреля, 2014 · Жалоба Запретить привелегированный доступ Что то я не разу не встречал начальника, который добровольно себе закроет что-либо. Обычно, на удивление быстро, просыпается синдром вахтера. Тому можно, а этому нельзя, если рассматривать именно "корп" уровень. Причем просыпается в крайне извращенном понимании, иногда "хотелки" бывают круче, чем тараканы в голове Мезулиной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Casuistic Опубликовано 10 апреля, 2014 · Жалоба Скажите, пожалуйста, можно ли на циске ограничить определенные https хосты ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 10 апреля, 2014 · Жалоба Есть альтернативные DNS, в конце концов, как я уже писал tor. Не вариант обсолютно. Это уже человеческие взаимоотношения а не техническая проблема а решается административно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 11 апреля, 2014 · Жалоба Это уже человеческие взаимоотношения а не техническая проблема а решается административно. Технически, я описал самый безболезненный вариант. Брать либо "мелкий" srx, либо surfcontrol (можно кстати последний, "прилепить" к первому вполне возможно). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...