| 0
- 25.05.2012 - 20:18
|
Нужно чтобы пользователи сети не могли прикреплять файлы через web. Текст пусть оправляют, а вот файлы чтобы прокси отрезал или чтобы что то блокировало прикрепление. Сейчас установлен UserGate, но у него такой функции нет. Подскажите как сделать плиз? Может прога какая есть, чтобы ограничивала отправку файлов?     | |
| 1
- 25.05.2012 - 20:50
|
если совсем короткий ответ - это не возможно сделать за 5 минут. например: в https ты не заглянешь просто так. если вопрос принципиальный - наймите хорошего админа для реализации проекта. | |
| 2
- 25.05.2012 - 21:00
|
у сквида есть request_body_max_size что есть у вашей поделки читайте | |
| 3
- 26.05.2012 - 00:58
| Интересно для чего такие ограничения ;) ну запретишь отправлять через вашу сеть принесут телефон или какой нибудь еще свисток подключатся к нету через него и отправят. Сожмут нужные файлы 7z с максимальной степенью сжатия, перекодируют в base64 или что то подобное и пошлют по кускам как текст или в картинку или еще что то подобное запхнут без заметного искажения оного и выложат на какую нибудь файлопомойку. Короче вариантов много. Если нужно чтобы ничего не уплыло то сети там не должно быть ни какой даже розеток высоковольтные модемы никто не отменял. Ну и еще полный досмотр при входе выходе на предмет наличия флешек, телефонов и прочего. Да и это не спасет ;) | |
| 4
- 26.05.2012 - 01:18
| DLP - это терминальная стадия решения вашей проблемы =) | |
| 5
- 26.05.2012 - 01:37
| imho DLP не спасет отца русской демократии, а лишь незначительно затруднит жизнь тем кто хочет стянуть данные ;) Сейчас шибко много технологий съема данных, а если еще проявить немного изобретательности, то никакая защита не спасет. А DLP imho неплохой способ развода на деньги. | |
| 6
- 26.05.2012 - 13:23
| тута какбы определиться надо - КПП ставить или вышки со снайперами =) | |
| 7
- 26.05.2012 - 13:37
| или распятие на входе | |
| 8
- 26.05.2012 - 14:22
| имхо бессмысленно пытаться все запретить, не спасет разве что изымать все и просвечивать всех на входе и выходе ну там можно обратиться к опыту алмазных производств :) отбирать всю личную электронику :) эффективнее логгировать кто куда и чего отправил, причем чем проще это сделать через корп сеть, тем больше инфы, ну это всё имхо, вам скорее надо политику безопасности разработать нежели админства :) | |
| 9
- 26.05.2012 - 17:06
|
Хорошие советы, но ни один не подходит. По существу можете что-то предложить, по-советовать... | |
| 10
- 26.05.2012 - 17:51
| 9-Гражданин > здесь только могут пернуть в лужу и паржать. | |
| 11
- 27.05.2012 - 10:03
|
падаван в № 8 дельный совет вообще то дал :) все (к сожалению :D )не запретишь | |
| 12
- 27.05.2012 - 21:17
|
Все что предложил 8-701054 и 3-TVV1 уже реализовано. Осталось одно: сделать чтобы пользователи сети не могли прикреплять файлы через web. | |
| 13
- 27.05.2012 - 22:34
| (12): Оптимальный вариант - на фаерволее шлюза запретить доступ к ВНУТРЕННЕМУ интерфейсу по всему протоколу IP. Тогда ни через NAT, ни через прокси - выйти в интернет не удастся даже самому продвинутому юзеро-хакеру. | |
| 14
- 27.05.2012 - 22:39
|
поделитесь, на чем реализовывали описанное в 8? в юзергейте вообще сомневаюсь что это возможно, сквидом в принципе можно порезать http, но https сквид не скушает... Скорее всего треба будет использовать специализированные системы типа джетовского "дозора", "згейт" секурита, вебсенс или подобных. Отечественные (по опыту) к нашим реалиям адаптированны лучше. Но, цуко, дороха. | |
| 15
- 27.05.2012 - 22:53
|
ахаха :) ну запретите всем метод post(перестанут работать формы) или как в 2 ограничить размер(при желании можно имея серв снаружи выслать кусочками), не забудьте только про поделки для ssl на подобие тех что делал Moxie Marlinspike, или купить какую-нить железяку которая умеет подменять серты и расковыривать трафф типа чекпоинтов, только я на 99.999999(9)% уверен, что найдется гораздо более простой способ вынести инфу :) еще варик отрубить всем инет если это прям режимный объект и поставить интернет киоски в вандалозащищеном корпусе, без подключения к локалке. | |
| 16
- 28.05.2012 - 06:46
| что-то вы разволновались, граждане, автор еще не огласил преследуемую цель | |
| 17
- 28.05.2012 - 08:51
|
Гражданин - по существу ваша задача решения не имеет, т.к. она бессмысленная. Если есть доступ в Интернет - запретить вложения или закачки на файлопомойки невозможно, т.к. ресурсам таким несть числа. ... Для чего резать аттачи? - непонятно... Они нужны и вреда в них никакого нет. Без вложений в почту - в реальном мире не обойтись. А в тексте можно передать все секреты (если шпионофобия) и даже само вложение в виде кода. Если задача экономить трафик и бороться c привычками юзеров слать письмами громадные вложения - то поднимайте свой почтовый сервер squid или hmail и режьте на нем большие вложения, как вам уже посоветовали. ... А софтовые "следилки" и прочие DLP - да, миллиона полтора рублей. Плюс новый безопасник, который тоже обойдется в полляма в год. | |
| 18
- 28.05.2012 - 13:16
|
Автор цель огласил: как реализовать запрет отправки файлов через web-интерфейес. Вопрос стоит не ЗАЧЕМ это делать, а КАК сделать. Для чего это нужно сделать - это другой вопрос. В отношении мобильных телефонов, "свистков" и прочего оборудования подключаемого в персональному компу и способного передать файлы через интернет. Это можно сделать. Не просто, но реализуемо. Но только однажды. Потому как человек увольняется сразу после 1-й попытки. Правомочность увольнения здесь обсуждать не будем. НО, у пользователей должен быть интернет. Никто не собирается отрезать сотрудников от внешнего мира. Просматривать сайты, новости, почту - пожалуйста. Одно ограничение - нельзя отправлять файлы. Если этого нельзя реализовать - то все сотрудники будут сидеть без интернета. Это однозначно. И весьма печально. По-моему доходчиво объяснил. | |
| 19
- 28.05.2012 - 13:41
| Можно не отбирать Интернет, но можно отобрать сами файлы, которые нельзя пересылать ~:-)) | |
| 20
- 28.05.2012 - 13:43
| Файлы отобрать нельзя, тогда сотрудники могут на работу не приходить - незачем)) | |
| 21
- 28.05.2012 - 13:45
| Автор цель огласил: как реализовать запрет отправки файлов через web-интерфейес. не путайте теплое с мягким, это не цель, а поиск средства цель, это к примеру - ограничить утечку, о чем тут тов. безопасники дружно и протелепатили | |
| 22
- 28.05.2012 - 13:46
|
(18) Вполне доходчиво: "Вопросы здесь задаю я!". Чего тут непонятного? "Я государство вижу статуей: мужчина в бронзе, полный властности; под фиговым листочком спрятан огромный орган безопасности." Забыли только, что наличие ICQ, Skype, TeamViewer и т.п. (в том числе portable version) одномоментно помножит все ваши усилия на ноль. | |
| 23
- 28.05.2012 - 13:52
|
Так например в Squid режутся upload'ы Код: acl fileupload req_mime_type -i ^multipart/form-data$ http_access deny fileupload Проблема усугубляется тем, что есть ещё flash-аплодеры, они работают вообще по своим "понятиям" | |
| 24
- 28.05.2012 - 13:56
| Я так понимаю электронной почтой данная контора принципиально не пользуется? Ибо если пользуется, то с таким подходом скоро перестанет. | |
| 25
- 28.05.2012 - 16:25
| Squid + запрет Post размером более 2Kb | |
| 26
- 28.05.2012 - 16:27
| HTTPS сделать белый список избранным. Не нужен он для работы. | |
| 27
- 28.05.2012 - 16:31
|
18-Гражданин > объясните неразумному, каким образом проконтролируете отправку мной [*****] чего через мобильный телефон? Лично я не знаю таких способов. А в целом - херней занимаетесь. | |
| 28
- 28.05.2012 - 19:54
|
27-Gochy > Не нужно давать оценки если чего-то не понимаете. Мобильный телефон невозможно подключить к компу. Все usb порты заблокированы. Привода на компах отсутствуют. При попытке установки любой программы или подключения носителя отсылается уведомление по локалке на определённые адреса. Почта и мессенджеры не используются. Вопрос остается в силе:Есть мысли как заблокировать отправку файлов через WEB? 23-droidman > В UserGate такой функции нет. По сему и интересуюсь программами других разработчиков. 25-DUPPEL > Спасибо, посмотрю. 26-DUPPEL > Не самый лучший вариант, но если ничего не найду - придется использовать его. | |
| 29
- 28.05.2012 - 20:29
|
на автора можно забить, ибо он тут задает вопросы, как правильно подметил Ткачик 28-Гражданин > вариантов 2 1. либо вы озвучите свою цель, читай - вменяемая постановка вопроса с чужими подсказками, и получите рекомендации 2. вы будете настаивать на своей постановке вопроса, и получите уйму выковареных козявок из носа фантазейной части контингента, впридачу здоровый юмор от здравомыслящей части, и уйдете отсюда с вердиктом - этот форум говно, что неверно | |
| 30
- 28.05.2012 - 20:50
|
28-Гражданин > я ща такую тайну открою... накой подключать мобильный к компу, если в самом поганом мобильном есть фото? Это так, простейший вариант :) PS: и не тебе меня учить, паря | |
| 31
- 28.05.2012 - 20:52
| ну и по теме - без спец систем, это будет хреново работающий костыль. Как то так | |
| 32
- 28.05.2012 - 21:08
|
вот тут мы начинаем сталкиваться с противоречивыми утверждениями например, утверждение номер раз 1.0 8-701054 > отбирать всю личную электронику :) 1.1 12-Гражданин >Все что предложил 8-701054 и 3-TVV1 уже реализовано. т.е. вся личная электроника отобрана, это факт далее 1.2 28-Гражданин > Мобильный телефон невозможно подключить к компу. Все usb порты заблокированы. Привода на компах отсутствуют. т.е. они есть (что противоречит утверждению №12) но подключить невозможо Гражданин, канифольте моск кому другому, у кого громадный опыт с юзергейтом гоша, я тебе тоже открою тайну, как безопаснику, для свистков и мобилей есть аппаратные глушилки, хоть не в реалтайме картинки уносить, но ты опять же увлекся надуманной идеей об их уносе, обращаю твое внимание) | |
| 33
- 28.05.2012 - 21:36
| Все что предложил 8-701054 и 3-TVV1 уже реализовано. - не верится. Разве что ФСБ/погранцы или иже с ними. Но это не они. ... Как верно замечено, портативные версии коммуникационного ПО (их сотни) по 80 порту работают почти все и позволяют слать что и куда угодно. | |
| 34
- 28.05.2012 - 21:46
| (28) "Все usb порты заблокированы. Привода на компах отсутствуют. При попытке установки любой программы или подключения носителя отсылается уведомление по локалке на определённые адреса." - иллюзия безопасности хуже, чем сама опасность. | |
| 35
- 29.05.2012 - 11:24
|
Если полностью исключить угрозу выноса/передачи файлов невозможно, то необходимо максимально затруднить это. Вот основная цель выполняемых действий. Тут рассуждают про мобильники/свистки/фотоаппараты, а вопрос такой - какой контингент сотрудников способен выполнить это действие? Тетки и блондинки, составляющие > 70% сотрудников офиса? СБ как раз и создает условия для фильтрации контингента, способного преодолеть защитные действия. При наступлении "события" работа происходит с оставшимися 30% сотрудников. Далее, закрытие легких и широких каналов утечки способно значительно минимизировать предполагаемые риски. Упоминаемые выше фотографирование (при решении вопросов с флэшками/свистками) к большому ущербу не приведет, так как десяток сфотографированных страниц большого ущерба не принесет, а суперсекретные данные кому-попало не показывают. А попалиться с фотографированием риск очень большой (начиная с записи видеокамер, заканчивая просмотром содержимого мобильников сотрудника) со всеми вытекающими. | |
| 36
- 29.05.2012 - 12:39
| А ишшо есть шкайп. А там есть функция расшаривания экрана. И мобилы не надо, просто сливаем свой экран по скайпу, а на принимающей стороне пишем видео.:) | |
| 37
- 29.05.2012 - 12:48
| обломать скайп не просто, а очень просто) | |
| 38
- 29.05.2012 - 12:57
| уху, особенно когда есть утвержденный наверху список сотрудников, которым скайп не просто разрешен, а является обязательным. | |
| 39
- 29.05.2012 - 13:00
|
так с них и спрос особый наверное) | |
Интернет-форум Краснодарского края и Краснодара |
