» »

Bloiranje spletnih strani

Bloiranje spletnih strani

Fuzzy ::

Pozdravljeni!

V organizaciji, kjer sem aktiven, sem dobil nalogo prepreciti dostop uporabnikom do dolocenih spletnih strani. Gre za informacijsko ne-vesce uporabnike, blokirali pa bi strani, ki zmanjsujejo produktivnost na delovnem mestu (Facebook, Youtube, ...)
Omrezje v pisarni je preprosto, za gateway imamo Cisco-v Router serije 2900. Blokiral bi rad spletne strani po domeni, pa tudi storitve, ki uporabljajo stram (Spotify, ...). Filter mora biti mogoce nastaviti na "per-MAC basis", nekateri PCji bodo izvzeti iz filtra.

Zanimajo me razlicne moznosti blokiranja strani, ter njihove prednosti in slabosti. Po nekaj brskanja so opcije, o katerih razmisljam:
OpenDNS:
+ preprosta implementacija
+ dodatna varnost na internetu
- imajo pregled nad vsem nasim DNS prometom, v nekaterih primerih gre promet skozi njihove proxije, kjer delajo deep packet inspection - varnostni risk

Blokiranje na nivoju Routerja
+ lokalno, varno
- zapleteno
- filtriranje na nivoju IP, ne na nivoju host-name

Obstajajo se kake druge moznosti? Kako bi se tega problema lotili vi? Katere so se dodatni plusi in minusi za tako filtriranje?
Ai!

Invictus ::

Cisco ACL

Ni tezko, malo si preberi ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Fuzzy ::

Ti torej zagovarjas lokalno blokado. Zakaj?

Velike spletne strani uporabljajo vec domen, je dovolj, ce blokiram le glavno domeno (npr facebook.com). Kako bi se tako blokado dalo zaobiti?

Po eni strani se mi zdi neumno odkrivati toplo vodo. Po drugi strani pa mi je zasebnost vseeno pomembna.
Ai!

SeMiNeSanja ::

Pri takem blokiranju velja pravilo 'malo denarja malo muzike', čeprav bo kdo oporekal...

Najbolj 'kmečki' princip je, da postaviš lasten DNS server in blokiraš dostop do vseh ostalih DNS strežnikov na internetu (izhod iz omrežja dovoliš samo lastnemu strežniku).
Potem pa lepo na lastnemu DNS-u dodajaš naslove, ki jih želiš blokirati oz. jih preusmeriš na localhost.

Slediti temu, kaj je treba dodajati je lahko mučno, dodaten problem pa je, da imaš lahko kup težav, če pa npr. moraš učiteljem dovoliti dostop do facebook&Co.

Še bolj mukotrpno je dodajanje IP naslovov v Cisco ACL, ker bo to tekma brez konca in kraja, saj se IP naslovi neke storitve lahko preko noči spremenijo.

Nekateri uporabljajo proxije z filtrom, ki pa spet 'lovijo' samo http promet in ne tudi vse ostalo. Spet pa imaš lahko problem, ker imaš opravka z učitelji in učenci, torej dvema kategorijama uporabnikov, ki jim moraš zagotoviti različne privilegije.

Resni filtri, kot npr. Websense pa lahko spet stanejo celo premoženje, kot sem razumel, pa naj bi ti to rešil brez neke posebne investicije? Teška bo, vsaj če naj bi bila stvar kakovostno izpeljana.

Če ti pa dajo na razpolago kakšnih 2500€, bi se pa našlo nekaj variant, s katerimi se da zadevo solidno poštimati (in hkrati morda rešiti še nekaj drugih težav).

BlackMaX ::

Zakaj bi blokiral? Ceneje je, če imaš sistem za vpogled delavcev kaj počnejo in tako, če koga dobijo ga opozorite.


A ni to ceneje in lažje?

SeMiNeSanja ::

Ups... kje sem pa jaz pobral, da se nej bi šlo za šolo?
Ampak v bistvu je ista zgodba, tudi če se ne gre za šolo.

Blokiranje ali 'spremljanje' - blokiranje je 'neosebno', dočim se pri 'spremljanju' vtikaš v zasebnost posameznika, kar za seboj vleče tudi določene pravne fore.

Se pa da veliko tega efektivno skombinirat, če imaš ustrezna orodja, ki pa seveda stanejo.

ToniT ::

BlackMaX je izjavil:

Zakaj bi blokiral? Ceneje je, če imaš sistem za vpogled delavcev kaj počnejo in tako, če koga dobijo ga opozorite.


A ni to ceneje in lažje?


To je prepovedano! Poseg v zasebnost delavcev. Lahko blokiraš, ne smeš pa gledati!

AnotherMe ::

Evo imam še jaz eno vprašanje - upam da bo bolj enostavno :)

Na eni mašini (Linux Mint) bi rad blokiral eno domeno (in poddomene)...

Igral sem se z DomainBlockerjem - ampak mi ga ne uspe usposobit:(

Bi bilo to lažje blokirati na routerju (mikrotik)?


lp

SeMiNeSanja ::

ToniT je izjavil:

BlackMaX je izjavil:

Zakaj bi blokiral? Ceneje je, če imaš sistem za vpogled delavcev kaj počnejo in tako, če koga dobijo ga opozorite.


A ni to ceneje in lažje?


To je prepovedano! Poseg v zasebnost delavcev. Lahko blokiraš, ne smeš pa gledati!

Daj ne širi dezinformacij. Tudi sorazmerni posegi v zasebnost delavcev so dovoljeni, če so delavci s seznanjeni s tem kdo in pod kakšnimi pogojiima vpogled v te podatke.

AnotherMe ::

AnotherMe je izjavil:


Bi bilo to lažje blokirati na routerju (mikrotik)?


Da!

Bilo je zelo enostavno :)

Se opravičujem, ker sem hijackal temo, pa še odgovoril sem si kar sam...

lp

SeMiNeSanja ::

AnotherMe je izjavil:

Evo imam še jaz eno vprašanje - upam da bo bolj enostavno :)

Na eni mašini (Linux Mint) bi rad blokiral eno domeno (in poddomene)...

Igral sem se z DomainBlockerjem - ampak mi ga ne uspe usposobit:(

Bi bilo to lažje blokirati na routerju (mikrotik)?


lp

Če rečeš 'domeno', mi to zveni po Domain Name Sistemu - DNS-u in ne po omrežjih in podomrežjih?

ROUTER-ji običajn ne zmorejo blokirati prometa glede na IME domene. To je bolj naloga malo naprednejših požarnih pregrad.

Če sem te razumel pravilno in dejansko želiš blokirati domeno na osnovi njenega imena, boš to najlažje dosegel, če boš dodal te domene in poddomene v datoteko /etc/hosts in jih preusmeril na 127.0.0.1 ali neko drugo xy IP adreso.

Vrstica v datoteki /etc/hosts potem izgleda tako:

127.0.0.1 blokiran.host.si www.host.si host.si
127.0.0.1 blokiran1.host.si
127.0.0.1 nadlezen.host.si
127.0.0.1 reklama.gleda.me www.gleda.me gleda.me

Žal na ta način ne moreš blokirati 'celotne domene' v smislu *.host.si, ampak po svoje še vedno bolje, kot nič..?

AnotherMe je izjavil:

AnotherMe je izjavil:


Bi bilo to lažje blokirati na routerju (mikrotik)?

Da!
Bilo je zelo enostavno :)

Kam si pa to vpisal na mikrotiku? V IPtables najbrž ne?

Zgodovina sprememb…

AnotherMe ::

Šel sem na IP / firewall / layer7 protocols in dodal string:

^.+(blokiran.si).*$

Pod filter rules sem nato dodal novo pravilo:

protocol 6

izbral sem layer 7, ki sem ga prej naredil

pod action sem izbral: drop



Kolikor sem utegnil testirati mi deluje - ampak za vse računalnike... Nisem še natuhtal, kako omejiti na posamezno mašino.


lp

Invictus ::

BlackMaX je izjavil:

Zakaj bi blokiral? Ceneje je, če imaš sistem za vpogled delavcev kaj počnejo in tako, če koga dobijo ga opozorite.


A ni to ceneje in lažje?

Predvsem je prepovedano in je to osnova za civilno tožbo delavca proti podjetju zaradi kršenja zasebnosti.

Je marsikatera podjetje to poskušalo, pa je bila pravna služba vedno proti.

Preprosto blokiraš ...

*facebook.com, pa pokriješ vse ...

Veliko podjetij preprosto blokira večino teh "zabavnih" strani. Pa ni problemov.

SeMiNeSanja je izjavil:

[
Daj ne širi dezinformacij. Tudi sorazmerni posegi v zasebnost delavcev so dovoljeni, če so delavci s seznanjeni s tem kdo in pod kakšnimi pogojiima vpogled v te podatke.

Niso to dezinformacije. Gleda se lahko, ne sme se pa teh informacij uporabiti kot osnovo za kakršen koli postopek proti delavcu.

Velja pa to po celi Evropi.

ZDA so pa druga pesem.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

SeMiNeSanja ::

Invictus je izjavil:

BlackMaX je izjavil:

Zakaj bi blokiral? Ceneje je, če imaš sistem za vpogled delavcev kaj počnejo in tako, če koga dobijo ga opozorite.


A ni to ceneje in lažje?

Predvsem je prepovedano in je to osnova za civilno tožbo delavca proti podjetju zaradi kršenja zasebnosti.

Je marsikatera podjetje to poskušalo, pa je bila pravna služba vedno proti.

Preprosto blokiraš ...

*facebook.com, pa pokriješ vse ...

Veliko podjetij preprosto blokira večino teh "zabavnih" strani. Pa ni problemov.

Link?

Mogoče je komu všeč ideja, da nihče nebi smel videti, katere spletne strani obiskuješ, vendar to še zdaleč ni prepovedano logirati!

Težave imajo podjetja predvsem zaradi tega, ker nimajo urejeno pravno podlago - ustreznih pravilnikov, ki bi jasno definirali, kdo ima vpogled v te podatke in pod katerimi pogoji.

Če imaš pomisleke, ti lahko priporočim odvetniško pisarno, ki ti bo uredila vse potrebno, da bo zadeva 'vodotesna'.

Žal pa dejansko 90+% podjetij zgolj vklopi logiranje, ne porihta pa pravne podlage. Od tod tudi potem težave.

Drugače pa obstaja še ena alternativna pot, ki jo omogočajo določene rešitve - admin označi kategorije neželjenih strani in uporabnikom omogoči 'override' - če uporabnik pride do 'blokirane strani' si lahko s pomočjo override gesla to stran 'odklene' - ob tem pa ve, da se zavestno podaja na področje, ki v podjetju ni zaželjeno. Skratka nekakšna 'asistirana samocenzura'.

Invictus ::

SeMiNeSanja je izjavil:


Link?

Drugače pa obstaja še ena alternativna pot, ki jo omogočajo določene rešitve - admin označi kategorije neželjenih strani in uporabnikom omogoči 'override' - če uporabnik pride do 'blokirane strani' si lahko s pomočjo override gesla to stran 'odklene' - ob tem pa ve, da se zavestno podaja na področje, ki v podjetju ni zaželjeno. Skratka nekakšna 'asistirana samocenzura'.

Alternativna pot ne deluje. Vsaj ne ko bi hotel te podatke uporabiti za postopek proti delavcu.

Lahko logiraš, ne moreš podatkov uporabiti proti posamezniku. Lahko pa uporabiš seveda podatke ko so anonimizirani ali ko rabiš vedeti seznam bodočih blokiranih strani.

Kar se linka tiče, je bilo to mnenje pravne službe v firmi kjer sem delal. Precej veliki firmi. Se pravna služba ni hotela s tem zafrkavati.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

Rad verjamem, da se neka 'splošna' pravna služba s tem ne želi ukvarjati, ker je to področje še dokaj 'sivo' in je možnost spodrsljaja dokaj visoka. Ravno zato se pojavljajo odvetniške pisarne, ki so specializirane (tudi) na 'internetno pravo', ki si skušajo služiti kruh (tudi) na tem področju.

Anonimizacija podatkov, da bi jih lahko uporabljal v širšem kontekstu, brez nekih posebnih privolitev uporabnikov, je lahko dokaj težavna in se šele sčasoma prebija v rešitve kot nekakšna standardna opcija.
Varnostne rešitve so namreč v osnovi narejene za to, da lahko s prstom pokažeš na IP/uporabnika, ki ustvarja probleme in te potem tudi odpraviš (okužba s črvi in podobno).
Ker pa je EU zakonodaja na tem področju vse bolj striktna, se počasi odzivajo tudi proizvajalci rešitev, ki sčasoma preko 'role based management-a' omogočajo, da npr. direktor vidi, da ljudje obiskujejo določene kategorije strani, kot tudi v kakšnem obsegu - ne vidi pa, kdo konkretno je te strani obiskoval.

S strani administratorja, pa morajo biti tudi ti podatki dostopni. Če se npr. pokaže, da nek IP naslov blokiramo, zraven pa nam javlja, da se je blokiralo zaradi tega, ker je stran znana kot botnet centrala, si ne bomo mogli prav nič pomagati z anonimiziranimi podatki - potrebujemo konkretni IP naslov, da lahko očistimo problematični računalnik nesnage, ki se je na njemu znašla.

Da bi pa lahko logirane podatke uporabili proti delavcu, bi morali imeti zadevo pravno hudo dobro podkrepljeno. Na koncu še vedno obvelja pravilo sorazmernosti - če si npr. trgovina s čevlji, boš teško dokazal na sodišču, da so bili tvoji ukrepi sorazmerni. Nasprotno pa banka ali druga varnostno bolj občutljiva organizacija lahko (in mora) bolj strogo nadzirati pretok podatkov.

Ampak kot rečeno - ni toliko problematično samo zbiranje podatkov - predvsem problematična je njihova uporaba, ki je zelo omejena.

Mesar ::

Invictus je izjavil:

BlackMaX je izjavil:

Zakaj bi blokiral? Ceneje je, če imaš sistem za vpogled delavcev kaj počnejo in tako, če koga dobijo ga opozorite.


A ni to ceneje in lažje?

Predvsem je prepovedano in je to osnova za civilno tožbo delavca proti podjetju zaradi kršenja zasebnosti.

Je marsikatera podjetje to poskušalo, pa je bila pravna služba vedno proti.

Preprosto blokiraš ...

*facebook.com, pa pokriješ vse ...

Veliko podjetij preprosto blokira večino teh "zabavnih" strani. Pa ni problemov.

SeMiNeSanja je izjavil:

[
Daj ne širi dezinformacij. Tudi sorazmerni posegi v zasebnost delavcev so dovoljeni, če so delavci s seznanjeni s tem kdo in pod kakšnimi pogojiima vpogled v te podatke.

Niso to dezinformacije. Gleda se lahko, ne sme se pa teh informacij uporabiti kot osnovo za kakršen koli postopek proti delavcu.

Velja pa to po celi Evropi.

ZDA so pa druga pesem.


In potem furajo VPN na portu 80? ;(( Če imaš pravilno konfiguriranega ti ga bojda (nisem sam testiral) niti DPI ne pobere...

SeMiNeSanja je izjavil:

Ampak kot rečeno - ni toliko problematično samo zbiranje podatkov - predvsem problematična je njihova uporaba, ki je zelo omejena.


IN neobveščenost/nesoglasja uporabnikov, ampak o tem dan danes še ne razmišljajo ko sklepajo delovna razmerja... ko bojo pa je za pričakovat, da se bodo spet začela spreminjati zakonodaja (v smislu, da zaščitijo uporabnika).
Your turn to burn!

Zgodovina sprememb…

  • spremenil: Mesar ()

SeMiNeSanja ::

Vse bi bilo veliko lažje, če bi uporabniki uporabljali službena omrežja izključno za službene zadeve, privat stvari pa počeli doma in preko zasebnih account-ov.

Žal se tega uporabnikom ne da dopovedati, zato pa imamo potem vse te probleme z 'zasebnostjo na delovnem mestu'. Samo čakam dan, ko bo uporabnik sprožil tožbo proti delodajalcu, ki mu je z blokado facebooka povzročil nepopravljive psihične travme....

Trancedeejay ::

Pri nas imamo tako, da je v podjetju vzpostavljen Bitdefender Gravity Zone. V samem Control Centru lahko administrator samo izbere tematske sklope strani, ki se blokirajo ali pa dejanski url. Seveda se lahko za vse ali posamezen računalnik dodaja izjeme. Enako velja za službene mobilne aparate. Zadeva velja tudi za aplikacije, ne samo za spletne strani. Možno je nastaviti tudi tako, da lahko zaposleni med časom malice dostopajo do npr. socialnega omrežja, potem se avtomatsko zopet blokira.
Have a nice Day

Matt
Music is the key

SeMiNeSanja ::

Če prav razumem, kako naj bi zadeva delovala, se na PC, telefone in tablice inštalira nek klient, ki uboga ukaze iz centrale.

Potem torej rabiš samo še pogruntat kako 'ubiti' klienta na napravi in imaš prosto pot....?

Kdor pa nima službenega mobija, pa nima dostopa do interneta? Ne more na njemu brat službenih mailov, če noče kuriti prenosa podatkov? Si prineseš tisti mini range extender s priključkom za kabel, ga daš v accesspoint način, priključiš na prvo utp vtičnico in že veselo srfaš z lastnim fonom, tablico,...?

Kaj pa naprave, za katere BitDefender ne nudi klienta?

Sem pogledal na Google play, pa je število download-ov v rangu med 1000-5000. Za enterprise rešitev ne ravno veliko.

Saj ne rečem...po eni strani (možnosti) so čisto ok. Samo da je odvisen od nekega klienta na napravi mi pa ni niti malo všeč.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Službeni mail, ko odideš (strani: 1 2 )

Oddelek: Omrežja in internet
6920243 (5203) johnnyyy
»

ESČP: britanski obveščevalci kršili človekove pravice

Oddelek: Novice / Zasebnost
295956 (4639) poweroff
»

Spletne strani samo za branje

Oddelek: Omrežja in internet
293902 (2812) flbroker
»

Omejitve dostopa do interneta na delovnem mestu (strani: 1 2 )

Oddelek: Loža
5813589 (11305) NeMeTko
»

Vrhovno sodišče ZDA sprejelo pomembno odločitev o zasebnosti na delovnem mestu

Oddelek: Novice / Zasebnost
205663 (4581) Pyr0Beast

Več podobnih tem