natd, ipfw, squid, dansguardian
Dan Lukes
dan at obluda.cz
Sat Jan 27 11:24:08 CET 2007
michal_sjx wrote:
> Vytipoval bych si seznam anonymnich proxy s 443 (sorbs.net databaze a
> podobne). Na FW bych blokoval odchozi packey na takove adresy:443.
> Vysledkem bude, ze https na seznam, banky, vodafone .. pujde hladce a v
> pripade, ze se nekdo bude chtit pripojit na zablokovanou proxi, nedocka se.
> Myslim, ze se bude jednat o jednotky uzivatelu co se pripojuji na
> anonymni https proxy a tak neni problem je nejakou dobu sledovat(traffik).
V jedne financni instituci resim v priuncipu stejny problem (uzivatele
maji zakazano pouzivat MSIE, krome nekolika vyjmenovanych destinaci) a
tak mam dojem, ze by to mohlo jit podobne - i bez proxy, kdyz na to prijde.
To se proste odchozi provoz zakaze vyjma povolenych cilovych adres -
takze zamestnanec, ktery prijde na to, ze se nekam spojit nemuze si
rekne, a do seznamu se prida dalsi destinace. Ono toho nebude tolik.
Navic, dokonce i v pripade, ze s tim nebudete spojovat vubec zadne
komplikace (jako treba zkoumani na co ten zamestnanec spojeni na prave
tuto cilovou adresu potrebuje) dojde k ucricemu omezeni provozu (o
nektere cilove adresy si proste nikdo nerekne ani za techto liberalnich
podminek).
Takze uz mate dve reseni - netransparentni proxy (s pripadnou
automatickou konfiguraci), coz bych ja preferoval, a primy provoz s
globalne udrzovanym seznamem cilovych destinaci ...
Dan
More information about the Users-l
mailing list