Ako koristis uglavnom MS tehnologije i nemas nijedan proxy u firmi onda :
- instaliraj i konfigurisi MS ISA server (za web filtering)
- force all users to use the proxy. Na firewall-u zabranis direktan pristup internet-u iz lokalne mreze sem preko proxy-ja

ISA moze lepo da posluzi i za sve vrste application layer filtering-a.

A može i ljakse metoda.

Na DNS serveru otvoriš zonu facebook.com i youtube.com i onda lepo sve recorde upućuješ na ip 127.0.0.1 ili nešto bzvz.

Je l' useri koriste isključivo IE, ili i FF/Operu?

jedno pitanje, a sta cemo ako dodje do zagusenja u mrezi jer se svi zahtevi upucuju dns serveru? da li postoji neko bolje resenje? meni vise pije vodu instalacija ms isa serevera

Vidi, ako admin nezna ni ono osnovno, bezveze je reci mu da instalira ISA server. Nece on sam da radi.

Prijatelju, dizi ruke ili uci. Neprijatelj je naoruzan mnogobrojnim i efikasnim naoruzanjem.


_{[Ovu poruku je menjao whitie2004 dana 19.06.2009. u 09:16 GMT+1]}

Reda radi da pitam. Imas li neki Microsoft sertifikat?

Bez obzira koji DNS klijent pita i bez obzira na odgovor - on ce pitati, tako da ti nece zagusiti mrezu.

OpenDNS je sjajna stvar, mozes blokirati odredjene sajtove ili odredjene kategorije sajtova (social, dating... ). Postoji i pregled tj. statistika za prethodni dan prema odredjenim kriterijumima - blokirani sajtovi, najvise poseceni itd...
Dovoljno je promeniti DNS servere na ruteru ili racunaru koji ima funkciju rutera.

Ovo ne moze da zameni ISA server ali uzmi u obzir da je potpuno besplatno (za sada) i lako za konfigurisanje.

http://www.opendns.com

>> Bez obzira koji DNS klijent pita i bez obzira na odgovor - on ce pitati ....

A sto bi pitao? Kada admin cacka sa DNS-om 69.63.184.142 je sasvim ok zamena za face... Ubacis u favorite da ne kucas stalno.

Ser_Boyler,

Ovi nemaju Cisca. OK moze sa ip name-server ..... Moze i sa samog servera, ali meni se cini da je u pitanju da se DNS od ISP zameni sa onim od OpenDNS-a?
Da li sam to dobro razumeo?

Igor,

Nemoj se igrati sa DNS resenjem u velikoj mrezi (na osnovu prethodnih tvojih postova bi rekao da ti nije mala mreza i da imas i neke branch office-e)
Application layer filtering sam spomenuo jer verujem da ces kroz koju nedelju pitati kako da zabranis razne instant mesendzere. ;-)

Ako imas "neki GNU" firewall, vidi da li sa njim mozes nesto da odradis. Ko ti odrzava taj proxy? Obrati se proxy adminu.
Pogledaj malo specifikaciju ISA servera i onda proceni da li ce moci da ti posluzi, ako ne mozes da odradis sa postojecim proxy serverom.

Imam nameru da kupim ASA firewall. Ali do tada a firma u kojoj radim je u pomanjkanju novca. Sada ima dodatni modul na njemu za Content Filtering, i sad aje pitanje da li da ga kupim ili ne, Mislim da li bi mozda mogao da koristim nesto drugo kao squid?

Mozda neki drugi firewall?

ajde da se i ja malo ukljucim u disksiju...

Sto se tice polisa i zabrane na win2k3, od toga nema nista jer filizofija rada windowsa i njegovih servisa nije uopste zamisljenja da se na nivou AD blokiraju takve stvari. Win 2008 je nesto drugo.

Sto se tice samog DNS i kreiranja zona, ovo je mozda i najblize resenju, ali je daleko od najboljeg. U svakom slucaju radice.

Korisnik nije rekao sta mu rutira izlaz na net? mozda se moze to puno jednostavnije rijesiti na nekom ruteru...

Dizanje proxyja, ne mora da bude isa, ce da radi sasvim korektno, mada takvo resenje zahtjeva jos administracije.

Na korisniku je da procijeni sta je najmanje zlo....

Moje znanje rada na racunaru je osnovno plus pride jos nesto dodatno. A zasto ne instalirate neki program, na primer k9 web protection, i ukucate sta zelite da zabranite.
Program ima razne filtere - a facebook, myspace i slicni spadaju u kategoriju Social Networking. Ili zabranite konkretnu stranicu. I kad radnik ode na tu stranicu izadje mu poruka da je zabranjena i da ukuca sifru. I eto cele mudrosti. Ako je neka veca firma, valjda je bolji i open dns.

K9 ima ralzicite vrste filtera, i raznih podesavanja. Ne znam zasto toliko komplikovati

Ako je vas nacin bolji, postujem to

Ruter je Cisco 2801. Znam da postoji instrukcija inspect ali ne bih operecivao ruter sa time. Sa druge strane, K9 web protection zahteva da na svakom racunaru instaliramo to. Opet, imamo i drugih problema a to je da on nije besplatan za komercijalnu upotrebu.

Cinimi se squid moze da bude resenje toga sto trazim, jer nemam licencu za ISA. Upravo ga proucavam.

Ehej, ne napadajte me za DNS, lepo sam napisao da je to ljakse metoda. :)

Za Squid može, ali moraš onda naterati usere da koriste isključivo proxy server i da nikako drugačije ne mogu na net.

Da, promeni DNS servere provajdera u DNS servere OpenDNS-a.
Jos jednom napominjem da je za ozbiljniji filtering prema bilo cemu ili bilo kom kriterijumu ipak potrebno drugo resenje. Nista ne kosta da probas pa odluci.

Moze squid bez problema na winblozama - vozio sam ga do skoro...


acl blockdomains dstdomain "/etc/squid/blockdomains.acl"
acl blockword url_regex -i "/etc/squid/blockword.acl"
acl blockfiles urlpath_regex -i "/etc/squid/blockedfiles.acl"


blockdomains.acl

maps.google.com
.facebook.com
.youtube.com
.rapidshare.com
.wow-europe.com

blockword.acl

arcade
game
pornhub
[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+

ovo zadnje skaki IP adresu :))

blockedfiles.acl
\.[Tt][Aa][Rr]$
\.[Rr][Aa][Rr]$
\.[Ww][Mm][Vv]$
\.[Ff][Ll][Vv]$

I ja dajem glas za OpenDNS, koristio sam to i lepo radi.
Mislim da ti je to najjednostavnije resenje.

Kao sto rekoh, sve je to uzaludna borba. Pricamo o sajtovima koji su medju prvih 5 u svetu, svi u delimicnom vlasnistvu mikrosofta, duboko ukorenjeni u novim IE ...

Posebno je problem sto cesto ( pa i ovde ) muvu gadjamo teskim haubicama. Tu muva moze biti samo kolateralna steta - slucajan pogodak, ali je zato sve okolo unisteno. Pobrisati rut hinteve na jednom AD orijentisanom DNS-u je vrlo problebaticno. Staviti opendns za forvajdera je vec jeres ....

Slicno i za squid - svaki proksi, pa i ovaj radi sa samo par protokola, a pustati sekjuriti protokole kroz tudj proksi je sve sem sigurno. To se mora raditi unutar firme ...

Cisco 2801 je jedan jako jako robusna masina, ne moras da brines da ce da je zagusi... Ja bi ipak isao na tu varijantu, plus bi ukljucio da inspektuje sve audio i video formate.. Ovo sve ostalo moze da se zobidje na super lake nacine...

Jeste to jaka masina, ama ima da radi pametnija posla. Briga o fejsu mi je na 184. mestu medju prioritetima. A opet, mnogo mi je lakse da deinstaliram medija plejer nego da prekopavam po paketima i da mi se ljudi smeju.

Teorija je jednostavna: ubi sve i propusti samo ono sto je potrebno za posao. Deinstaliraj sve nepotrebno i ostavi samo program sa kojim se radi. Ostaje veoma malo i vrlo je sigurno.

E, sad ako imas bezbedonosnu rupu ( krater ) koja se zove prioritetni gazda, tu ti niko i nista ne pomaze.

Kakav ruter ima ta firma? Ako je neki od pametnijih, zgodno resenje bi bilo da se blokira saobracaj ka celom adresnom opsegu Facebook-a: 69.63.176.0/20

Jedini siguran nacin da blokiras pristup bilo kom sajtu je na tacki gde se tvoj LAN konektuje na WAN. Dakle, ili direktno na samom ruteru, ili ubacis proxy izmedju rutera i ostatka mreze. DNS je samo privremeno resenje, jer svako ko zna IP adresu FB-a mozda da zaobidje tvoje preusmeravanje na DNS-u. Isto bi bilo i da recimo preko logon skripte iz polise svima iskopiras hosts fajl koji bi sadrzao preusmerenje za odredjene domene - svako ko zna IP adresu mogao bi nesmetano da koristi vecinu tih sajtova.

Ono sto mozes uraditi preko polisa je da recimo zabranis promene Trusted i Restricted zona u IE ili promene proxy-ja (naravno, ovo vazi samo ako svi koriste IE), i slicne zezalice, ali se sve takve intervencije svode na to da ces uvek naleteti na nekoga ko ume bolje da zaobidje prepreke nego sto ti umes da ih postavis, ili ces stalno biti u nekom procepu jer si zakljucao nesto sto ipak treba nekome za normalan rad, a nekom drugom omogucava da uhakuje tvoje barijere.

Postoji jos jedno resenje - neki korporativni AV paketi imaju mogucnost blokiranja pokretanja odabranog softvera i pristupa nekim sajtovima, i to se ostvaruje pomocu polisa vezanih za taj specificni AV softver, a posto se sve podesava sa centralne konzole tu obicni korisnici najcesce nemaju mogucnost bilo sta da podesavaju. Naravno, ovde firma mora da se iskesira za takav sistem, i mora biti instaliran na svim klijentima.

Moj predlog ti je - ako firma ima para, onda ubacis ISA server iza rutera, ako ti ne daju pare onda na to mesto ubaci neku Linux masinu i poteraj Squid na njoj. Ja sam konkretno radio sa ISA-om, pa ako ti zatreba pomoc oko konfigurisanja, tu sam.