Какой сайт смотрит компьютер локальной сети?

Ввести нормативный документ, обязывающий каждого работника в конце рабочего дня составлять отчёт о посещенных сайтах.

Нанять системного администратора. Или это вы? Тогда можно начать с простого, вроде сквида, потом плясать дальше по результатам.

Отличное решение! А как проконтролировать, что это так и есть? Для этого и был задан вопрос…

Можно на все клиенты воткнуть свой СА, потом на шлюзе воткнуть митмпрокси и смотреть. Ну это из самых простых и идиотских вариантов. Какой вопрос, такой и ответ)

• инструкцией разрешить посещение сайтов только из белого списка
• закрыть доступ ко всему кроме сайтов из белого списка
• для выполнения предыдущих пунктов ввести соответствующую должность и пригласить на работу специалиста

Так же отличное решение, но пока хочется обойтись малой кровью. Не хочется пускать через прокси.

Не хочется пускать через прокси.

Ну впн до шлюза от клиента, если прокси не нравится :) Будем дальше играть в это?

Никак.

Ему же не надо блокировать, надо только _знать_, куда ходят.

надо только знать, куда ходят

Белый список даёт однозначный, но, правда, расширенный ответ. Аналитика потом уточняется анализом отчётов или «Журнала посещённых веб-сайтов».

Задеплойте свой локальный DNS и смотрите кто куда ходит, например pihole, с веб интерфейсом из коробки.

Серьезно?

Самое простое - перехватить днс в офисе.

абсолютно

Вы приняты на работу.

Записывать весь трафик проходящий через маршрутизатор. Написать анализатор трафика.

что ты там с tls напишешь и куда

Гугли SNI

Погуглил, что дальше?

Выпей чаю.

Купить корпоративную лицензию антивируса Касперского. Говорят, там даже есть кнопки «наказать» и «доложить куда следует».

Очередной флуд в техразделах, стучать не буду, лень. У тебя везде так - ноль по сути. Впрочем, не только у тебя. Лор они улучшают, жесть.

На данный момент это единственный действенный совет по теме. Наверное без посредника ничего не выйдет… Ну может кто еще идейку подкинет по существу.

Настроить прозрачный прокси, например, squid. Для HTTPS придётся поставить на все машины свой сертификат.

Либо купить готовое решение. Я слышал у корпоративных антивирусов есть функция логгирования посещенных сайтов.

Для того, чтобы узнать куда подключается браузер, CA не нужен. Трафик рсшифровывать не требуется. А сабжевой задачей, вроде, маршрутизатор должен справится. Автор, маршрутизатор в системе имеется?

Сделай скрипт для скачивания истории браузера и поставь на все компы.

Ну я на этот уровень переходить и не предлагал. Я получу IP адрес, кол-во пакетов/байтов, по адресу скорее всего получу hostname, AS, дальше уже вопрос что с этим делать. Но это то, что гарантированно можно получить. Второй вариант заставить всех ходить через мой прокси, но тут не написано, что это возможно. Так же я получу все dns запросы, все открытые http запросы.

Нагло, топорно. Такая подробность не требуется, достаточно знать домен. Варианты со списками - не варианты.

Данные машины выходят в интернет через роутер xiaomi. Соединения там не увидеть.

Лучше флуд, чем твой вредный совет.

Для того, чтобы узнать куда подключается браузер

О браузере речи не шло, вроде.

Трафик рсшифровывать не требуется

ну ок

Какой из них? По-моему, тут вопрос вредный.

Черт, не тому написал спросонья. Пардон.

необходимо знать куда они ходят. Все что требуется это адрес компьютера в сети и сайт к которому он подключился.
Я получу IP адрес, кол-во пакетов/байтов, по адресу скорее всего получу hostname, AS, дальше уже вопрос что с этим делать. Но это то, что гарантированно можно получить
Но это то, что гарантированно можно получить.

Нет же.

Второй вариант заставить всех ходить через мой прокси, но тут не написано, что это возможно. Так же я получу все dns запросы, все открытые http запросы.

http да, днс не факт. С sni соснешь, с днс тоже, по факту у тебя пачка ип куда коннектились клиенты И ИЗ НИХ ПОЛОВИНА КЛАУДФЛАРА. Что дальше делать будешь?

Че ты мне дизлайк тогда поставил :) Забей.

Тред хорош, очередная реинкарнация, на моей памяти их тут было таких очень много.

Дизлайк я поставил не тебе, если ты не мультовод.

Сори. Нажал бы тебе лайк с извинениями, но не завезли. Ждем опа.

инструкцией разрешить посещение сайтов только из белого списка

По морде надо бить таким инициаторам на предприятиях. Серьезно.

У нас был тупняк такого плана на одном из заводов: отключен HTTPS для всего, кроме пары сайтов. Что это дает — неизвестно. Но вот то, что половина сайтов не работала в итоге, это факт. Который дико радовал — ищешь даташиты на что-то, а тебе хрен в рыло, вместо даташита. И чтобы таки его получить — надо либо админа дергать, чтобы включил тебе HTTPS для этого сайта, либо писать служебку, что оно тебе надо. Поскольку поиск может в день пройтись по паре десятков разных сайтов — админ дико рад, а служебки писать руки отваливаются.

Хорошо, в общем, что я оттуда уволился, а контора в итоге почти развалилась.

Не хочется пускать через прокси.

Это стандартный и совершенно обычный путь.

Что бы все эти адские механизмы настаивались на людском горе, так они работают лучше.

Там потом пошли дальше: помимо отключенного HTTPS доступ сделали через «терминал» — удалённая тормозилла по RDP…

Обратиться с специалисту.

Он клиентов не хочет трогать же. Впрочем, если б клиенты бы ходили на сайт хоббита, не заметили разницы - и там, и там селфсигнед. Простите, не удержался)

Там роутер же на выходе? Ну и воткруть перед роутером снаружи прокси с логированием.

Ну и зачем тут твой нерелевантный опыт?

Не надо дыры в организационных вопросах затыкать нетрадиционными техническими решениями.

Если цель (которую ТС не озвучил) - это исключить использование интернета в личных целях на рабочем месте или тотальная слежка за сотрудниками, то тем более это в первую очередь задача организационная.

Если, инструкциями решить не получается или нет должного контроля, то реальный выход один - закрыть всё и давать доступ «по талонам» с отметкой в бумажном журнале.

Ну и везде будет сыпать такое https://www.zvyozdochkin.ru/

клиенты не будут жать принять, да и не осилят (я сам хер найду, в зависимости от браузера).

зы верните 2 скора, меня назвали гомосеком и удалили ветку

Нагло, топорно

За то работает. Потом можешь погрепать домены из истории.

С чего бы? Прозрачный прокси вообще не виден для клиентов, но логи ведет.

Который дико радовал — ищешь даташиты на что-то, а тебе хрен в рыло, вместо даташита.

Меня дико радует что эти все инженеры подобные мне стучат и просят скачать файл с вражеских ресурсов, а то у них там забанено все.

Хорошо, в общем, что я оттуда уволился, а контора в итоге почти развалилась.

Хорошо что уволился, жаль что остатки этого духа в тебе остались.

С чего бы? Прозрачный прокси вообще не виден для клиентов, но логи ведет.

КАК ТЕБЯ ЗАИГНОРИТЬ, ГОСПОДИ.

Ну что ты несешь? Иди сделай прозрачный прокси, ты ж девопс нынче.

Опчик или владелец этой шараги на 50 компьютеров, который решил сэкономить на обслуживании, или студент, которого наняли (пообещал что все умеет, но по факту как обычно). Готов поспорить, что одно из двух.