Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Сб Янв 10 2004 16:20 Заголовок сообщения: Рассудите меня и моего начальника, плиз! Хелп! |
|
|
Это для меня уже дело чести!
Господа, вопрос теоретический.
Сегодня посрался со своим начальником и он сказал
чтоб я не позорился.
Суть разговора в следующем:
Есть постоянный доступ в интернет по оптическому каналу
Его предоставляет определенная фирма
Так вот он говорит что если в нашу часть сети закинуть торояна
то можно как-то лазить в Интернет за наш счет. Где-то он прочитал что
20 процентов людей так и лазают
А я ему и говорю:
Ну и что что они наши парали узнают и логины тоже
мы же на опте сидим и нас мониторят по трафику проходящиму по ней, так?
А как они к этой опте подключатся?
Технически игра не стоит свеч, да и заметят все, ну это так, размышления.
А чтоб что-то сделать им надо взломать провайдера и их базой данных на
пользователей и все там поправить, да и все равно это все выяснится и не очень
то они на шару полазают ведь если опту перерубить мы то это заметим
Я так все это понимаю.
Рассудите нас, только если я не прав не очень очкайте, ОК?
Просто дайте свое всемогущее общественное мнение великих админов.
Как это говорится, то ли лыжи не едут толи я "вырезано цензурой", т.е. мной.
Но вопрос для меня уже касается моей гордости и простого логического мышления.
Пожалуйста рассудите нас.
Заранее благодарю. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Сб Янв 10 2004 20:53 Заголовок сообщения: |
|
|
Отчасти он прав.
Механизм такой:
Присылается юзверю письмецо типа бла-бла-бла. Отчет от дяди Васи. Бла-бла-бла. В общем троян там, замаскированный по всем правилам социальной инженерии.
Троянец этот открывает соединение с проксёй в Инете, а настройки доступа берет прям из Explorer-a. Через соответствующие API-функции.
Ну а дальше осталось завернуть запросы из Инета на этот комп, а обратно слать офигенно большие ответы.
Если сеть подключена по оптике, типа как у нас, то в потоке трафика этот паразитный трафик можно просто не заметить, особенно если трафик большой и никто его не анализирует.
Как защититься от этого? Единого рецепта нет, проблема комплексная.
Надо ставить проксю или VPN-систему, обязательную авторизацию, вести статистику трафика по ПОЛЬЗОВАТЕЛЯМ, а не по компам, как это навяливают многие, в т.ч. некоторые провайдеры.
Надо регулярно поглядывать кто куда лазит и если видно что-то подозрительное, то принимать меры по удалению троянцев. |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Вс Янв 11 2004 13:10 Заголовок сообщения: |
|
|
Не очень согласен.
Написано все конечно правильно, но для того чтобы от имени и под учетной записью пользователя данной сети работать в инете, необходимо минимум быть подключенным к этой же сети, или, значительно реже - к этому же провайдеру. Использовать сетку чела как левый прокси, или почтовый пересулщик при помощи троянов - запросто. Но вот чтобы именно ходить и интернет - сомневаюсь. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Янв 11 2004 16:15 Заголовок сообщения: |
|
|
При использовании "как левый прокси" имеет одну важную состовляющую. Это экономическая составляющая.
Использование "как левый прокси" выгодно тем, у кого трафик какого-то типа дороже, чем "чере левый прокси".
Пример:
Пару лет назад ко мне обратились с просьбой разобраться в ситуации.
Правайдер выставил счет на весьма круглую сумму. В качестве прокси стоял squid. Анализ показал, что его настройки позволяли подключиться любому желающему.
Быстренько проанализировали лог-файлы и нашли группу IP-адресов, утянувших львиную долю трафика. Это оказались юзвери соседнего провайдера. У него забугорный трафик в 2 раза дороже, чем российский. Вот ребяты и по-пользовались.
Ну а дальше скучно. Позвонили в соответствующее подразделение. То ли милиции, то ли ФСБ (это уже без меня), они подняли на уши провайдера, по времени подключения быстренько вычислили кто в это время сидел на модемном пуле. В общем через пару часов у "умника" дома раздался телефонный звонок.
Вопрос решили мирным путем. "Умник" оплатил трафик из собственного кармана.
Мне с этого выгорела офигенно большая бутылка настоящего Мартини. |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Вс Янв 11 2004 19:23 Заголовок сообщения: |
|
|
Это согласен, реальная ситуация, и конечно экономический фактор имеет значение
На на "можно как-то лазить в Интернет за наш счет" не совсем тянет, именно в формулировке
Хотя на счет процентов начальник может и прав - но это относится в основном к диалапным юзерам, и пользователям домашних сетей. Имхо. |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пн Янв 12 2004 08:12 Заголовок сообщения: |
|
|
Интересно, а не один хрен что они будут сидеть у своего провайдера что они буду подключаясь к нему же работать с моей "левой проксей"
Я что-то не пойму. Как бы человек не сидел в инете он должен оплачивать либо трафик либо время.
Ведь канал то наш. Ну придет к нему инфа та что через нас прошла, ну а дальше что? Он то ее получить должен по своему каналу!!!??? И здесь ему все равно надо оплатить. Я правда в экономических тонкостях не очень разбираюсь. Да и сеть только прокладывают. Какой антивирус посоветуете на сервак? |
|
Вернуться к началу |
|
|
SergeyK+
Зарегистрирован: 19.10.2002 Сообщения: 224 Откуда: Москва
|
Добавлено: Пн Янв 12 2004 08:14 Заголовок сообщения: Хм... |
|
|
А если без прокси????
Если в офис приходит оптика, дальше роутер (CISCO) и фаирфолл (того же производителя то бишь PIX) ???
Причем роутер в инет пущает тока с внешнего ип фаирвола ???? |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Пн Янв 12 2004 08:19 Заголовок сообщения: |
|
|
1. А смысл работы без прокси?
2. Видимо так и сделано. |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пн Янв 12 2004 08:28 Заголовок сообщения: |
|
|
Слава всем нашим богам, оптику только тянут и я разбираюсь с деталями.
По этому я и задавал вопрос о мониторинге терминальных юзеров.
Пока есть время хочу быть готовым к труду и обороне. Проксю в обязаловке ставить буду! Но все же нужно было выяснить вопрос который я не знаю |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пн Янв 12 2004 08:31 Заголовок сообщения: |
|
|
И фаер и антивирус, только не знаю какие, может посоветуете. На винды ставить |
|
Вернуться к началу |
|
|
SergeyK+
Зарегистрирован: 19.10.2002 Сообщения: 224 Откуда: Москва
|
Добавлено: Пн Янв 12 2004 08:36 Заголовок сообщения: to ALEX_SE |
|
|
Тока не смейся.....
У меня в компании дури много (я тебе уже по аське много раз приводил примеры).
Очередная хохма: при помощи прокси я могу мониторить кто,куда и сколько хочет - а это типо запрещено т.к. тайна личной жизни и т.д и т.п. Руководство уже 3 месяца со своими юристами консультируется |
|
Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003 Сообщения: 606
|
Добавлено: Пн Янв 12 2004 08:44 Заголовок сообщения: |
|
|
По мне так мрак! Работа есть работа. А личная жизнь дома в постеле с женой. Ты же не шаман и при помощи своего мониторинга не видишь что они там вытворяют? Или видишь? Может и нам покажешь? . Фирма платит и должна знать чем занимаются сотрудники так что все правильно. А личная жизнь это миф. |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Пн Янв 12 2004 09:08 Заголовок сообщения: |
|
|
Какая нафиг тайна личной жизни на работе?
У меня например в заявках на доступ в сеть, и в приложениях к контракту четко объяснено что вся эта радость принадлежит фирме, и для чего её можно использовать. И что это можно контролировать. И что юзер ознакомлен и не возражает.
А иначе получается что даже делая нужную в общем-то операцию - архив всей почты, ты нарушаешь тайну переписки, отнесенную постановлением правительства к конфиденциальной информации. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Янв 12 2004 10:11 Заголовок сообщения: |
|
|
Согласен с Алексом.
Не надо на работе разводить излишнюю демократию. Все желающие иметь анонимность - пусть за трафик платят сами.
На работе Инет дается сотрудникам не для личных целей, а для целей конторы. И контора вправе конролировать как и на что тратятся ее бабки, ведь за трафик платит именно контора. |
|
Вернуться к началу |
|
|
SergeyK+
Зарегистрирован: 19.10.2002 Сообщения: 224 Откуда: Москва
|
Добавлено: Пн Янв 12 2004 12:21 Заголовок сообщения: Угу |
|
|
Лично я всеми руками согласен с Вашим мнением, но принцип я начальник ты дурак у меня еще не отменен(((
В связи с этим мне приходится:
1. При установке системы видеонаблюдения получить ПИСЬМЕННОЕ согласие сотрудников.
2. При детализации счета с АТС скрывать звездочками последнии 4 цифры номера вызываемого абанента.
3. Снести проксю и пытатся то же самое делать на цисковском оборудовании (которое хоть и хорошее но проксю все же заменить не в состоянии).
4. ну и масса аналогичного бреда.
так и живем(( |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Пн Янв 12 2004 12:39 Заголовок сообщения: |
|
|
На счет видеонаблюдения - впервые сталкиваюсь с таким требованием. Ты наблюдаешь не сотрудников а собственную территорию. Другое дело если камеры в душевых женских ставишь - то да
На счет АТС - а как же тогда вы боретесь со звонками в Америку за счет конторы?
Что до прокси - глупость имхо. Есть куча других способов получить эту инфу. |
|
Вернуться к началу |
|
|
SergeyK+
Зарегистрирован: 19.10.2002 Сообщения: 224 Откуда: Москва
|
Добавлено: Пн Янв 12 2004 12:47 Заголовок сообщения: |
|
|
Со звонками в Штаты никак не боремься .
Так как мы представительство иностр. компании то процентов 70% звонков это звонки международные.
Я борюсь со зовнками в Турцию/Египет (нужное подставить из тур путевки купленной женой сотрудника).
Как раз поэтому скрываю именно 4 цифры (можно остследить хотябы коды города/страны).
Насчет видеонаблюдения. Я то же впервые услышал. Но так как систему повесили на меня (она все пишет в цифре на свой сервак) то меня застваили бегать с бумажками.
Ну а какая разница как я получу информацию? с прокси или другим способом??? речь идет не о методе сбора информации а о правомочности самого сбора информации. |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Пн Янв 12 2004 12:53 Заголовок сообщения: |
|
|
Да то что эту информацию часто нужно собирать в служебных целях... Хотя бы для анализа загрузки каналов и чем их грузят. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Янв 12 2004 14:02 Заголовок сообщения: |
|
|
Ну в общем-то понятно.
Между порядком (читай безопасностью) и свободой (она же демократия) всегда приходится балансировать на тонкой грани.
Политику безопасности должно формировать руководство. Если оно от этого самоустранилось, то и требовать чудес от подчиненных просто глупо.
Для прикола дай начальнику загадку:
Как определить террориста в аэропорту при условии, что его нельзя обыскивать, осматривать, наблюдать видеокамерой без его согласия, а так же замарывать дату вылета и место посадки самолета.
Очень показательный пример.
Диалог с таким начальством нужно строить так:
При имеющемся порядке мы не можем контролировать то, то, и то. Вот вам решение проблеммы (прокся, фильтры, системы аудита). Если вы их внедрять не желаете по каким-то соображением, то я умываю руки, т.к. других путей решения проблемм не вижу.
И не надо на начальство обижаться. Лучше с ним дружить, хотя бы делать видимость. Тогда проблемм меньше будет. |
|
Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003 Сообщения: 415 Откуда: Moscow
|
Добавлено: Вт Янв 13 2004 14:29 Заголовок сообщения: Re: Рассудите меня и моего начальника, плиз! Хелп! |
|
|
Есть несколько способов попользоваться чужим подключением:
- Использовать чужой Proxy (криво сконфигурированный законный или закинутый как троянский конь) для того, чтобы самомУ платить по низкой местной ставке, а не по высокой международной (если провайдер хакера делает разницу). Собственно, об этом уже писАлось.
- Использовать чужой Proxy для анонимизации доступа к ресурсам, отслеживающим клиентов.
- Установить в чужой сетИ накрутчик счётчиков, баннеропоказов и/или баннерокликов на сайте хакера.
- Установить в чужой сетИ рассылатель спама, который будет сам скачивать списки адресов и слать им рекламу.
Метод борьбы: Выдать всем клиентам IP-номера типа 192.168.*.*, запретить исходящие соединения наружу по всем портам, кроме PO3 и IMAP4 (ну и отдельно по просьбе трудящихся, заверенным приказом начальника). Отсылку почты, доступ в Web и остальное - через SMTP-Relay, HTTP-Proxy и т.п.; регулярно контролировать работу юзеров так же, как мат.отвтственное лицо контролирует использование выданных сотрудникам мат.ценностей. Никакой личной переписки и просмотра порнухи через оплаченный фирмой канал (список двух тысяч порносайтов, запрещённых у нас - http://prof.pi2.ru/ -> "Squid").
Если начальство боится нецелевого использования канала посторонними, то это обосновывает контроль за использованием канала всеми, дабы можно было выявить посторонних. _________________ Благословен Бог, сотворивший меня сисадмином!
Последний раз редактировалось: Dmitry.Karpov (Ср Янв 14 2004 14:15), всего редактировалось 1 раз |
|
Вернуться к началу |
|
|
SergeyK+
Зарегистрирован: 19.10.2002 Сообщения: 224 Откуда: Москва
|
Добавлено: Ср Янв 14 2004 11:03 Заголовок сообщения: насчет списка |
|
|
Дим можешь мне на мыло закинуть?
admin#liebherr.co.ru |
|
Вернуться к началу |
|
|
|