Соц. сети (список)

[ieleja]

если блокировать по соображениям безопасности, тогда - deny all, allow whitelist

а блокировать из неумения низшего и среднго руководство организовать работу, это не 2011. год ...

все купят телефон с большим экраном или планшет с 3г и будет тратить 1.5 больше времени на всякую фигню

[watashiwa_daredeska]

все купят телефон с большим экраном или планшет с 3г

Поставить постановщик помех. Уже сейчас, а то ишь чо удумали — личные разговоры разговаривать в рабочее время!

[Ленивая Бестолочь]

мысли, накопленные на работе. тоже в банке:
- убрать icmp наружу и рекурсивные днс запросы от клиентов, ибо в это можно затуннелироваться.
- инет через проксик, прозрачный или нет, но с редиректором.
- можно подписаться на какойнить режик, можно самому делать блеклисты.
- по поводу как обновлять блеклисты:
ставим какойнить сборщик статистики типа lightsquid и раз в пару дней смотрим топ траффика, чтобы знать чего нового юзера удумали. они сдадуться первыми.
- ещё на проксе запретить метод CONNECT, ибо его активно юзают всякие im.
- не устану рекламировать шелезяки фирмы palo-alto, которые могут рубить трафик на основе сигнатур.
- если появляется сайт, который ну ппц нужен по работе, и это очевидно - заносим в белый список. белый список доступен всем. в итоге дебильные оправдания типа "нам надо посмотреть курсы ЦБ; нам надо посмотреть законы ленобласти, включите нам интернет" через пару месяцев не канают - всё, что может понадобиться по работе можно. а на фишки ру для этого не обязательно.

если стоит разговор о корпаративных тайнах, то желающим асечку и т.п. такое решение:
- свой сервер jabber, делаем на нём s2s, поднимаем транспорты во все поля, подключаем всем транспорты, включаем запись логов в базу. со всех берём расписку, что они в курсе, что логи пишутся и не против. итого: юзера при аське-скайпе-проч.херне, конфеденциальная информация "в никуда" не улетит.
- по поводу "а у меня вот рабочая почта на gmail". оке, не проблема - логин/пароль в студию и наш корпоративный сервер будет забирать её fetchmail-ом и подкладывать вам в ваш рабочий ящик. и слать тоже с него можно, сюрпрайз.

- перехват ssl траффика в двух словах: при наличии домена добавляете свой CA юзерам в доверенные. по дороге траффик SSL расшифровывается, читается-анализируется-логируется и переподписывается своим CA. у юзера типа "всё зашифровано". а мы порылись. man in the middle короче.

Код: Выделить всё

rakul@lucky-star:/mnt/stuff$ apt-cache search ssl sniff
specter-mysql - packet logger for netfilter's ULOG target [mySQL]
specter-pgsql - packet logger for netfilter's ULOG target [PostgreSQL]
sslsniff - Утилита атаки SSL/TLS методом человек-посередине

по поводу "купить 3g". у нас, например, политика такая:
юзер в праве носить и юзать любые девайсы не подключая их в рабочую сеть.
то есть припёр нетбук - сиди наслаждайся.
подключил 3g usb модем - извини, дорогой, вам требуются права администратора, чтобы установить новое оборудование.

но правда это с учётом того, что у нас только за корпоративные тайны трясуться, а не за производительность труда.

п.с.
помню как-то редиректили запрещённые сайты на joblist.ru или типа того :)

[babay2004]

Как я понял, ТС - и есть рабовладелец. Не понимает о чем вы тут. Ему всех раком просто надо поставить и всё. Говорите, он всё равно не поймёт.
Да, xar0h?

[ieleja]

по поводу "купить 3g". у нас, например, политика такая:
юзер в праве носить и юзать любые девайсы не подключая их в рабочую сеть.
то есть припёр нетбук - сиди наслаждайся.
подключил 3g usb модем - извини, дорогой, вам требуются права администратора, чтобы установить новое оборудование.

я о "3g" только в аспекте лазить по интернетам коротая рабочий день ...

[xar0h]

Во понаписали, пока меня не было...

А у вас на рабочем месте установлен видеопроигрыватель и браузер с флешплугином?

Лучше уж, раз действительно так хочется сделать людям западло, вообще забанить весь интернет, кроме корпоративного веб-сервера.

Не про "западло" речь, а про то, чтобы убрать лишние соблазны заняться херней на работе.

дык планктон можно порезать, а от гуру ничего не спасёт,

А гуру свою работу знает, так что хер с ним. Тем более их можно по пальцам одной руки пересчитать.
А вот когда тонны страждущих лезут в одноклассники или еще куда, при этом нагружая канал - это не есть гут.

А еще добавить в список ЛОР и юниксфорум

ЛОР - ага, а вот насчет ufo - не уверен =)

http://github.com — вреднейшая социальная сеть.

Ужс просто =)

все купят телефон с большим экраном или планшет с 3г и будет тратить 1.5 больше времени на всякую фигню

Купят телефон или планшет с 3г, а потом будут плакать/рыдать, потому что там где расположена наша конторка 3г нет, да и сотовые так себе ловят.

мысли, накопленные на работе. тоже в банке:
.........
.........
помню как-то редиректили запрещённые сайты на joblist.ru или типа того

Запишу, мож пригодится когда-нибудь.
Насчет joblist - забавно, ага =)

Как я понял, ТС - и есть рабовладелец. Не понимает о чем вы тут. Ему всех раком просто надо поставить и всё. Говорите, он всё равно не поймёт.
Да, xar0h?

[sarcasm]Не, я мегоодмин, который хочет торренты качать, слушать онлайн радио, пить пиво, шарицца в и-нете и чесать пузо, бороду и котэ. А эти людишки мешают.[sarcasm]

PS на самом деле, основная цель пока - снизить нагрузку на канал, ибо бухи с отчетами - требуют инет, директор со скайпом - требует инет, библиотека со своими непонятными "услугами интернета" - требует инет, опять же - еще два комп. класса, а канал не резиновый, чтобы вся эта шобла в соц. сетях еще шарилась. Вопрос безопасности пока не стоит, требования администрации - непонятны ей самой (я так думаю). Например, - по средам и пятницам после обеда доступ к вконтукту таки должен быть.

[xorader]

У меня пока такой список.

....
pogoda.mail.ru
...

*facepalm*

[eddy]

ещё на проксе запретить метод CONNECT, ибо его активно юзают всякие im

логин/пароль в студию

Да вы, батенька, фашист!

[watashiwa_daredeska]

Не про "западло" речь, а про то, чтобы убрать лишние соблазны заняться херней на работе.

Не сделал работу — нет зарплаты.

[xar0h]

2 watashiwa_daredeska
Хорошая мотивация, правда она редко помогает от:

-Я неуспева-а-а-а-й-у-у-у....

-Тут многа рабо-о-оты...

и прочей херни, зато время посидеть в "вкантакте" есть у всех.
Да и не директор я =)

[MrClon]

xar0h
Правильно я понял что ты в гос. ВУЗе работаешь?

[xar0h]

Не ВУЗе, профучилище.
Какая разница?

[Ленивая Бестолочь]

Да вы, батенька, фашист!

стараемся потихоньку :-)

[MrClon]

Не ВУЗе, профучилище.
Какая разница?

Скорее всего можно забыть про рациональные методы управления и единственная альтернатива фильтрации лишних сайтов это мужик который будет ходить по кабинетам и смотреть чем люди занимаются (:
Хотя всё-же возможно что у вас не всё так-уж плохо.

[xar0h]

Скорее всего можно забыть про рациональные методы управления и единственная альтернатива фильтрации лишних сайтов это мужик который будет ходить по кабинетам и смотреть чем люди занимаются (:
Хотя всё-же возможно что у вас не всё так-уж плохо.

Плохо то, что я один, а врагов пользователей много, очень много.

[drBatty]

Плохо то, что я один

как я понял, вам дорог только трафик - потому почему-бы не блокировать лишь ресурсы, которые жрут много трафика? Пусть юзеры сидят в своих контактах/асечках, только не кино смотрят. ИМХО потери рабочего времени - не ваша проблема. Не?

[MrClon]

drBatty
Подозреваю что основная его проблема это наличие начальника который раз перевалить эту проблему на его плечи (:

[drBatty]

MrClon
к сожалению, эта проблема не решается техническими средствами. Вы можете вообще инет запретить - народ будет разгадывать кроссворды и заниматься прочей ерундой.

[xar0h]

2 drBatty & MrClon
Пока я смотрю только в сторону экономии трафа, но и остальное не за горами. У мну не начальник, а просто затейник какой-то...
В ближайших планах еще система видеонаблюдения и реорганизация лвс (парень, что работал до меня имел извращенный взгляд на мир).
Да и бэкапы неплохо бы настроить.

[drBatty]

Да и бэкапы неплохо бы настроить.

вот с этого и начните. А то потом не сможете вернуться к исходной точке.

[xar0h]

Так, мы уже уходим от исходной темы.
Кое-что из перечисленного здесь ранее я уже добавил в "черный список", дальше будем мониторить и попутно делать остальную работу.
Спасибо тем, кто откликнулся. Тему, в принципе, можно уже и прикрыть.

[sash-kan]

начальника который раз перевалить

какой есть кодировка использоваться для кириллица анпарсинг?

[xar0h]

скорее всего тут очепятка - буквы "з" и "д" - рядом.

[MrClon]

Мда, тот самый случай когда спелчекер бессилен.