Архив форумов ЦИТФорума

[Nicola]

Это для меня уже дело чести!

Господа, вопрос теоретический.
Сегодня посрался со своим начальником и он сказал
чтоб я не позорился.
Суть разговора в следующем:
Есть постоянный доступ в интернет по оптическому каналу
Его предоставляет определенная фирма
Так вот он говорит что если в нашу часть сети закинуть торояна
то можно как-то лазить в Интернет за наш счет. Где-то он прочитал что
20 процентов людей так и лазают

А я ему и говорю:
Ну и что что они наши парали узнают и логины тоже
мы же на опте сидим и нас мониторят по трафику проходящиму по ней, так?
А как они к этой опте подключатся?
Технически игра не стоит свеч, да и заметят все, ну это так, размышления.
А чтоб что-то сделать им надо взломать провайдера и их базой данных на
пользователей и все там поправить, да и все равно это все выяснится и не очень
то они на шару полазают ведь если опту перерубить мы то это заметим

Я так все это понимаю.
Рассудите нас, только если я не прав не очень очкайте, ОК?
Просто дайте свое всемогущее общественное мнение великих админов.

Как это говорится, то ли лыжи не едут толи я "вырезано цензурой", т.е. мной.
Но вопрос для меня уже касается моей гордости и простого логического мышления.
Пожалуйста рассудите нас.

Заранее благодарю.

[and3008]

Отчасти он прав.

Механизм такой:
Присылается юзверю письмецо типа бла-бла-бла. Отчет от дяди Васи. Бла-бла-бла. В общем троян там, замаскированный по всем правилам социальной инженерии.

Троянец этот открывает соединение с проксёй в Инете, а настройки доступа берет прям из Explorer-a. Через соответствующие API-функции.

Ну а дальше осталось завернуть запросы из Инета на этот комп, а обратно слать офигенно большие ответы.

Если сеть подключена по оптике, типа как у нас, то в потоке трафика этот паразитный трафик можно просто не заметить, особенно если трафик большой и никто его не анализирует.

Как защититься от этого? Единого рецепта нет, проблема комплексная.
Надо ставить проксю или VPN-систему, обязательную авторизацию, вести статистику трафика по ПОЛЬЗОВАТЕЛЯМ, а не по компам, как это навяливают многие, в т.ч. некоторые провайдеры.
Надо регулярно поглядывать кто куда лазит и если видно что-то подозрительное, то принимать меры по удалению троянцев.

[ALEX_SE]

Не очень согласен.
Написано все конечно правильно, но для того чтобы от имени и под учетной записью пользователя данной сети работать в инете, необходимо минимум быть подключенным к этой же сети, или, значительно реже - к этому же провайдеру. Использовать сетку чела как левый прокси, или почтовый пересулщик при помощи троянов - запросто. Но вот чтобы именно ходить и интернет - сомневаюсь.

[and3008]

При использовании "как левый прокси" имеет одну важную состовляющую. Это экономическая составляющая.

Использование "как левый прокси" выгодно тем, у кого трафик какого-то типа дороже, чем "чере левый прокси".

Пример:
Пару лет назад ко мне обратились с просьбой разобраться в ситуации.
Правайдер выставил счет на весьма круглую сумму. В качестве прокси стоял squid. Анализ показал, что его настройки позволяли подключиться любому желающему.
Быстренько проанализировали лог-файлы и нашли группу IP-адресов, утянувших львиную долю трафика. Это оказались юзвери соседнего провайдера. У него забугорный трафик в 2 раза дороже, чем российский. Вот ребяты и по-пользовались.
Ну а дальше скучно. Позвонили в соответствующее подразделение. То ли милиции, то ли ФСБ (это уже без меня), они подняли на уши провайдера, по времени подключения быстренько вычислили кто в это время сидел на модемном пуле. В общем через пару часов у "умника" дома раздался телефонный звонок.
Вопрос решили мирным путем. "Умник" оплатил трафик из собственного кармана.

Мне с этого выгорела офигенно большая бутылка настоящего Мартини.

[ALEX_SE]

Это согласен, реальная ситуация, и конечно экономический фактор имеет значение

На на "можно как-то лазить в Интернет за наш счет" не совсем тянет, именно в формулировке

Хотя на счет процентов начальник может и прав - но это относится в основном к диалапным юзерам, и пользователям домашних сетей. Имхо.

[Nicola]

Интересно, а не один хрен что они будут сидеть у своего провайдера что они буду подключаясь к нему же работать с моей "левой проксей"
Я что-то не пойму. Как бы человек не сидел в инете он должен оплачивать либо трафик либо время.
Ведь канал то наш. Ну придет к нему инфа та что через нас прошла, ну а дальше что? Он то ее получить должен по своему каналу!!!??? И здесь ему все равно надо оплатить. Я правда в экономических тонкостях не очень разбираюсь. Да и сеть только прокладывают. Какой антивирус посоветуете на сервак?

[SergeyK+]

А если без прокси????
Если в офис приходит оптика, дальше роутер (CISCO) и фаирфолл (того же производителя то бишь PIX) ???
Причем роутер в инет пущает тока с внешнего ип фаирвола ????

[ALEX_SE]

1. А смысл работы без прокси?
2. Видимо так и сделано.

[Nicola]

Слава всем нашим богам, оптику только тянут и я разбираюсь с деталями.
По этому я и задавал вопрос о мониторинге терминальных юзеров.
Пока есть время хочу быть готовым к труду и обороне. Проксю в обязаловке ставить буду! Но все же нужно было выяснить вопрос который я не знаю

[Nicola]

И фаер и антивирус, только не знаю какие, может посоветуете. На винды ставить

[SergeyK+]

Тока не смейся.....
У меня в компании дури много (я тебе уже по аське много раз приводил примеры).
Очередная хохма: при помощи прокси я могу мониторить кто,куда и сколько хочет - а это типо запрещено т.к. тайна личной жизни и т.д и т.п. Руководство уже 3 месяца со своими юристами консультируется

[Nicola]

По мне так мрак! Работа есть работа. А личная жизнь дома в постеле с женой. Ты же не шаман и при помощи своего мониторинга не видишь что они там вытворяют? Или видишь? Может и нам покажешь? . Фирма платит и должна знать чем занимаются сотрудники так что все правильно. А личная жизнь это миф.

[ALEX_SE]

Какая нафиг тайна личной жизни на работе?
У меня например в заявках на доступ в сеть, и в приложениях к контракту четко объяснено что вся эта радость принадлежит фирме, и для чего её можно использовать. И что это можно контролировать. И что юзер ознакомлен и не возражает.

А иначе получается что даже делая нужную в общем-то операцию - архив всей почты, ты нарушаешь тайну переписки, отнесенную постановлением правительства к конфиденциальной информации.

[and3008]

Согласен с Алексом.

Не надо на работе разводить излишнюю демократию. Все желающие иметь анонимность - пусть за трафик платят сами.

На работе Инет дается сотрудникам не для личных целей, а для целей конторы. И контора вправе конролировать как и на что тратятся ее бабки, ведь за трафик платит именно контора.

[SergeyK+]

Лично я всеми руками согласен с Вашим мнением, но принцип я начальник ты дурак у меня еще не отменен(((
В связи с этим мне приходится:
1. При установке системы видеонаблюдения получить ПИСЬМЕННОЕ согласие сотрудников.

2. При детализации счета с АТС скрывать звездочками последнии 4 цифры номера вызываемого абанента.

3. Снести проксю и пытатся то же самое делать на цисковском оборудовании (которое хоть и хорошее но проксю все же заменить не в состоянии).

4. ну и масса аналогичного бреда.

так и живем((

[ALEX_SE]

На счет видеонаблюдения - впервые сталкиваюсь с таким требованием. Ты наблюдаешь не сотрудников а собственную территорию. Другое дело если камеры в душевых женских ставишь - то да

На счет АТС - а как же тогда вы боретесь со звонками в Америку за счет конторы?

Что до прокси - глупость имхо. Есть куча других способов получить эту инфу.

[SergeyK+]

Со звонками в Штаты никак не боремься .
Так как мы представительство иностр. компании то процентов 70% звонков это звонки международные.
Я борюсь со зовнками в Турцию/Египет (нужное подставить из тур путевки купленной женой сотрудника).
Как раз поэтому скрываю именно 4 цифры (можно остследить хотябы коды города/страны).

Насчет видеонаблюдения. Я то же впервые услышал. Но так как систему повесили на меня (она все пишет в цифре на свой сервак) то меня застваили бегать с бумажками.


Ну а какая разница как я получу информацию? с прокси или другим способом??? речь идет не о методе сбора информации а о правомочности самого сбора информации.

[ALEX_SE]

Да то что эту информацию часто нужно собирать в служебных целях... Хотя бы для анализа загрузки каналов и чем их грузят.

[and3008]

Ну в общем-то понятно.
Между порядком (читай безопасностью) и свободой (она же демократия) всегда приходится балансировать на тонкой грани.

Политику безопасности должно формировать руководство. Если оно от этого самоустранилось, то и требовать чудес от подчиненных просто глупо.

Для прикола дай начальнику загадку:
Как определить террориста в аэропорту при условии, что его нельзя обыскивать, осматривать, наблюдать видеокамерой без его согласия, а так же замарывать дату вылета и место посадки самолета.

Очень показательный пример.

Диалог с таким начальством нужно строить так:
При имеющемся порядке мы не можем контролировать то, то, и то. Вот вам решение проблеммы (прокся, фильтры, системы аудита). Если вы их внедрять не желаете по каким-то соображением, то я умываю руки, т.к. других путей решения проблемм не вижу.

И не надо на начальство обижаться. Лучше с ним дружить, хотя бы делать видимость. Тогда проблемм меньше будет.

[Dmitry.Karpov]

Есть несколько способов попользоваться чужим подключением:

- Использовать чужой Proxy (криво сконфигурированный законный или закинутый как троянский конь) для того, чтобы самомУ платить по низкой местной ставке, а не по высокой международной (если провайдер хакера делает разницу). Собственно, об этом уже писАлось.

- Использовать чужой Proxy для анонимизации доступа к ресурсам, отслеживающим клиентов.

- Установить в чужой сетИ накрутчик счётчиков, баннеропоказов и/или баннерокликов на сайте хакера.

- Установить в чужой сетИ рассылатель спама, который будет сам скачивать списки адресов и слать им рекламу.

Метод борьбы: Выдать всем клиентам IP-номера типа 192.168.*.*, запретить исходящие соединения наружу по всем портам, кроме PO3 и IMAP4 (ну и отдельно по просьбе трудящихся, заверенным приказом начальника). Отсылку почты, доступ в Web и остальное - через SMTP-Relay, HTTP-Proxy и т.п.; регулярно контролировать работу юзеров так же, как мат.отвтственное лицо контролирует использование выданных сотрудникам мат.ценностей. Никакой личной переписки и просмотра порнухи через оплаченный фирмой канал (список двух тысяч порносайтов, запрещённых у нас - http://prof.pi2.ru/ -> "Squid").

Если начальство боится нецелевого использования канала посторонними, то это обосновывает контроль за использованием канала всеми, дабы можно было выявить посторонних.
_________________
Благословен Бог, сотворивший меня сисадмином!

[SergeyK+]

Дим можешь мне на мыло закинуть?
admin#liebherr.co.ru