|
Как запретить отправку файлов в(через) интернет Нужно чтобы пользователи сети не могли прикреплять файлы через web. Текст пусть оправляют, а вот файлы чтобы прокси отрезал или чтобы что то блокировало прикрепление. Сейчас установлен UserGate, но у него такой функции нет. Подскажите как сделать плиз? Может прога какая есть, чтобы ограничивала отправку файлов? |
если совсем короткий ответ - это не возможно сделать за 5 минут. например: в https ты не заглянешь просто так. если вопрос принципиальный - наймите хорошего админа для реализации проекта. |
у сквида есть request_body_max_size что есть у вашей поделки читайте |
Интересно для чего такие ограничения ;) ну запретишь отправлять через вашу сеть принесут телефон или какой нибудь еще свисток подключатся к нету через него и отправят. Сожмут нужные файлы 7z с максимальной степенью сжатия, перекодируют в base64 или что то подобное и пошлют по кускам как текст или в картинку или еще что то подобное запхнут без заметного искажения оного и выложат на какую нибудь файлопомойку. Короче вариантов много. Если нужно чтобы ничего не уплыло то сети там не должно быть ни какой даже розеток высоковольтные модемы никто не отменял. Ну и еще полный досмотр при входе выходе на предмет наличия флешек, телефонов и прочего. Да и это не спасет ;) |
DLP - это терминальная стадия решения вашей проблемы =) |
imho DLP не спасет отца русской демократии, а лишь незначительно затруднит жизнь тем кто хочет стянуть данные ;) Сейчас шибко много технологий съема данных, а если еще проявить немного изобретательности, то никакая защита не спасет. А DLP imho неплохой способ развода на деньги. |
тута какбы определиться надо - КПП ставить или вышки со снайперами =) |
или распятие на входе |
имхо бессмысленно пытаться все запретить, не спасет разве что изымать все и просвечивать всех на входе и выходе ну там можно обратиться к опыту алмазных производств :) отбирать всю личную электронику :) эффективнее логгировать кто куда и чего отправил, причем чем проще это сделать через корп сеть, тем больше инфы, ну это всё имхо, вам скорее надо политику безопасности разработать нежели админства :) |
Хорошие советы, но ни один не подходит. По существу можете что-то предложить, по-советовать... |
9-Гражданин > здесь только могут пернуть в лужу и паржать. |
падаван в № 8 дельный совет вообще то дал :) все (к сожалению :D )не запретишь |
Все что предложил 8-701054 и 3-TVV1 уже реализовано. Осталось одно: сделать чтобы пользователи сети не могли прикреплять файлы через web. |
(12): Оптимальный вариант - на фаерволее шлюза запретить доступ к ВНУТРЕННЕМУ интерфейсу по всему протоколу IP. Тогда ни через NAT, ни через прокси - выйти в интернет не удастся даже самому продвинутому юзеро-хакеру. |
поделитесь, на чем реализовывали описанное в 8? в юзергейте вообще сомневаюсь что это возможно, сквидом в принципе можно порезать http, но https сквид не скушает... Скорее всего треба будет использовать специализированные системы типа джетовского "дозора", "згейт" секурита, вебсенс или подобных. Отечественные (по опыту) к нашим реалиям адаптированны лучше. Но, цуко, дороха. |
ахаха :) ну запретите всем метод post(перестанут работать формы) или как в 2 ограничить размер(при желании можно имея серв снаружи выслать кусочками), не забудьте только про поделки для ssl на подобие тех что делал Moxie Marlinspike, или купить какую-нить железяку которая умеет подменять серты и расковыривать трафф типа чекпоинтов, только я на 99.999999(9)% уверен, что найдется гораздо более простой способ вынести инфу :) еще варик отрубить всем инет если это прям режимный объект и поставить интернет киоски в вандалозащищеном корпусе, без подключения к локалке. |
что-то вы разволновались, граждане, автор еще не огласил преследуемую цель |
Гражданин - по существу ваша задача решения не имеет, т.к. она бессмысленная. Если есть доступ в Интернет - запретить вложения или закачки на файлопомойки невозможно, т.к. ресурсам таким несть числа. ... Для чего резать аттачи? - непонятно... Они нужны и вреда в них никакого нет. Без вложений в почту - в реальном мире не обойтись. А в тексте можно передать все секреты (если шпионофобия) и даже само вложение в виде кода. Если задача экономить трафик и бороться c привычками юзеров слать письмами громадные вложения - то поднимайте свой почтовый сервер squid или hmail и режьте на нем большие вложения, как вам уже посоветовали. ... А софтовые "следилки" и прочие DLP - да, миллиона полтора рублей. Плюс новый безопасник, который тоже обойдется в полляма в год. |
Автор цель огласил: как реализовать запрет отправки файлов через web-интерфейес. Вопрос стоит не ЗАЧЕМ это делать, а КАК сделать. Для чего это нужно сделать - это другой вопрос. В отношении мобильных телефонов, "свистков" и прочего оборудования подключаемого в персональному компу и способного передать файлы через интернет. Это можно сделать. Не просто, но реализуемо. Но только однажды. Потому как человек увольняется сразу после 1-й попытки. Правомочность увольнения здесь обсуждать не будем. НО, у пользователей должен быть интернет. Никто не собирается отрезать сотрудников от внешнего мира. Просматривать сайты, новости, почту - пожалуйста. Одно ограничение - нельзя отправлять файлы. Если этого нельзя реализовать - то все сотрудники будут сидеть без интернета. Это однозначно. И весьма печально. По-моему доходчиво объяснил. |
Можно не отбирать Интернет, но можно отобрать сами файлы, которые нельзя пересылать ~:-)) |
Файлы отобрать нельзя, тогда сотрудники могут на работу не приходить - незачем)) |
[em]Автор цель огласил: как реализовать запрет отправки файлов через web-интерфейес.[/em] не путайте теплое с мягким, это не цель, а поиск средства цель, это к примеру - ограничить утечку, о чем тут тов. безопасники дружно и протелепатили |
(18) Вполне доходчиво: "Вопросы здесь задаю я!". Чего тут непонятного? "Я государство вижу статуей: мужчина в бронзе, полный властности; под фиговым листочком спрятан огромный орган безопасности." Забыли только, что наличие ICQ, Skype, TeamViewer и т.п. (в том числе portable version) одномоментно помножит все ваши усилия на ноль. |
Так например в Squid режутся upload'ы [code]acl fileupload req_mime_type -i ^multipart/form-data$ http_access deny fileupload[/code] Возможно, в Usergate есть функция фильтрации по MIME-типам, тогда прокатит. Проблема усугубляется тем, что есть ещё flash-аплодеры, они работают вообще по своим "понятиям" |
Я так понимаю электронной почтой данная контора принципиально не пользуется? Ибо если пользуется, то с таким подходом скоро перестанет. |
Squid + запрет Post размером более 2Kb |
HTTPS сделать белый список избранным. Не нужен он для работы. |
18-Гражданин > объясните неразумному, каким образом проконтролируете отправку мной [filolog]пох[/filolog] чего через мобильный телефон? Лично я не знаю таких способов. А в целом - херней занимаетесь. |
27-Gochy > Не нужно давать оценки если чего-то не понимаете. Мобильный телефон невозможно подключить к компу. Все usb порты заблокированы. Привода на компах отсутствуют. При попытке установки любой программы или подключения носителя отсылается уведомление по локалке на определённые адреса. Почта и мессенджеры не используются. Вопрос остается в силе:Есть мысли как заблокировать отправку файлов через WEB? 23-droidman > В UserGate такой функции нет. По сему и интересуюсь программами других разработчиков. 25-DUPPEL > Спасибо, посмотрю. 26-DUPPEL > Не самый лучший вариант, но если ничего не найду - придется использовать его. |
на автора можно забить, [em]ибо он тут задает вопросы[/em], как правильно подметил Ткачик 28-Гражданин > вариантов 2 1. либо вы озвучите свою цель, читай - вменяемая постановка вопроса с чужими подсказками, и получите рекомендации 2. вы будете настаивать на своей постановке вопроса, и получите уйму выковареных козявок из носа фантазейной части контингента, впридачу здоровый юмор от здравомыслящей части, и уйдете отсюда с вердиктом - этот форум говно, что неверно |
28-Гражданин > я ща такую тайну открою... накой подключать мобильный к компу, если в самом поганом мобильном есть фото? Это так, простейший вариант :) PS: и не тебе меня учить, паря |
ну и по теме - без спец систем, это будет хреново работающий костыль. Как то так |
вот тут мы начинаем сталкиваться с противоречивыми утверждениями например, утверждение номер раз 1.0 8-701054 > [em]отбирать всю личную электронику :)[/em] 1.1 12-Гражданин >[em]Все что предложил 8-701054 и 3-TVV1 уже реализовано.[/em] т.е. вся личная электроника отобрана, это факт далее 1.2 28-Гражданин > [em]Мобильный телефон невозможно подключить к компу. Все usb порты заблокированы. Привода на компах отсутствуют.[/em] т.е. они есть (что противоречит утверждению №12) [em]но подключить невозможо[/em] Гражданин, канифольте моск кому другому, у кого громадный опыт с юзергейтом гоша, я тебе тоже открою тайну, как безопаснику, для свистков и мобилей есть аппаратные глушилки, хоть не в реалтайме картинки уносить, но ты опять же увлекся надуманной идеей об их уносе, обращаю твое внимание) |
[em]Все что предложил 8-701054 и 3-TVV1 уже реализовано. [/em] - не верится. Разве что ФСБ/погранцы или иже с ними. Но это не они. ... Как верно замечено, портативные версии коммуникационного ПО (их сотни) по 80 порту работают почти все и позволяют слать что и куда угодно. |
(28) "[em]Все usb порты заблокированы. Привода на компах отсутствуют. При попытке установки любой программы или подключения носителя отсылается уведомление по локалке на определённые адреса.[/em]" - иллюзия безопасности хуже, чем сама опасность. |
Если полностью исключить угрозу выноса/передачи файлов невозможно, то необходимо максимально затруднить это. Вот основная цель выполняемых действий. Тут рассуждают про мобильники/свистки/фотоаппараты, а вопрос такой - какой контингент сотрудников способен выполнить это действие? Тетки и блондинки, составляющие > 70% сотрудников офиса? СБ как раз и создает условия для фильтрации контингента, способного преодолеть защитные действия. При наступлении "события" работа происходит с оставшимися 30% сотрудников. Далее, закрытие легких и широких каналов утечки способно значительно минимизировать предполагаемые риски. Упоминаемые выше фотографирование (при решении вопросов с флэшками/свистками) к большому ущербу не приведет, так как десяток сфотографированных страниц большого ущерба не принесет, а суперсекретные данные кому-попало не показывают. А попалиться с фотографированием риск очень большой (начиная с записи видеокамер, заканчивая просмотром содержимого мобильников сотрудника) со всеми вытекающими. |
А ишшо есть шкайп. А там есть функция расшаривания экрана. И мобилы не надо, просто сливаем свой экран по скайпу, а на принимающей стороне пишем видео.:) |
обломать скайп не просто, а очень просто) |
уху, особенно когда есть утвержденный наверху список сотрудников, которым скайп не просто разрешен, а является обязательным. |
так с них и спрос особый наверное) |
| Текущее время: 03:58. Часовой пояс GMT +3. |