LINUX.ORG.RU
ФорумAdmin

Блокировка трафика Opera VPN

 , , ,


0

1

В общем есть предприятие, в нем сеть из овердох.. большого количества юзернеймов. Часть виндовсы*, часть линухи. Вот собственно часть виндовых юзернеймов начали конкретно надоедать своими OperaVPN - приносят на флешке портабельную версию, запускают и бегом в одноклассники/фейсбук/и т.п..

* нельзя отказаться от винды - спец.софт для общения с заказчиками, нельзя закрыть им интернет - этот софт работает через интернет + по специфике своей работы они постоянно гуглят что-то.

Руководство каждые несколько дней методично приносит мне распечатки скринов с датами публикаций фоточек/приколов нашими сотрудницами с вопросом "какого х*ра я тебе плачу деньги?".

Вот и вопрос: я понимаю, что окромя OperaVPN есть ещё много методов (например ТОР) обхода всяких блокировок, но как заблочить OperaVPN используя microtik?

Ответ на: комментарий от Anoxemian

… руководство. ПРотому что, если подчинённые с работой не справляются, то почему они до сих пор не уволены, а если справляются, то какое собачье дело, чем они в освободившееся, от быстрого выполнения работы, время занимаются.

gremlin_the_red ★★★ ()
Ответ на: комментарий от gremlin_the_red

если подчинённые с работой не справляются, то почему они до сих пор не уволены
а если справляются, то какое собачье дело, чем они ... занимаются

О_о Прошу меня извинить, но Вы наверное иностранец с какой-то развитой страны, да?

Bubublik ()
Ответ на: комментарий от moot

потому что вопрос задают правильно! трафик надо резать, и фоточки через сеть предприятия идут.

блокировку портов usb тоже не слышали. набрали по блату!

anonymous ()
Ответ на: комментарий от Leupold_cat

Работники могут приносить с собой хоть синхрофазотрон, всем пофиг, но: 0. WIFI на предприятии нету; 1. Предприятие находится в промзоне, 3g/4g/.../100500g тут просто не работает. Много Вы через GPRS нарепостите?

Bubublik ()
Ответ на: комментарий от Leupold_cat

Я когда-то онлайн игры с помощью GPRS играл, не то что какие-то репосты.

Ну у меня 3,14сюн тоже когда-то 30см был, а потом та линейка где-то потерялась. Но сути вопроса это ж не меняет

Bubublik ()

Руководство каждые несколько дней методично приносит мне распечатки скринов с датами публикаций фоточек/приколов нашими сотрудницами с вопросом «какого х*ра я тебе плачу деньги?».

Возможно, руководство на тебя точит зуб и хочет избавиться.
Проблема не решается «с полпинка». Подсказка: фотку не факт, что опубликовал сам сотрудник - неизвестно у кого может быть ещё доступ к аккаунту. И второе: недозагруженность сотрудников - не твоя проблема. Можно, конечно, поставить прогу, которая периодически снимает скрины с экрана и предложить штрафовать непосредственно сотрудников или каким-то образом заблочить юсб-порты или запуск сторонних приложений, но это все полумеры - эта «война» не закончится.

anonymous ()
Ответ на: комментарий от Bubublik

Социальными сетями вполне можно пользоваться без 3g, хотя, обычно, это ни у кого сомнений и не вызывает. Пользователи лишь лишатся видео, но оставлять сообщения и смотреть изображения им это не помешает.

Leupold_cat ★★★★ ()
Последнее исправление: Leupold_cat (всего исправлений: 1)
Ответ на: комментарий от Leupold_cat

Социальными сетями вполне можно пользоваться без 3g, хотя, обычно, это ни у кого сомнений и не вызывает. Пользователи лишь лишатся видео, но оставлять сообщения и смотреть изображения им это не помешает.

И что? Вы пробовали по GPRS выгрузить фотку в ФБ, с любого +/- современного телефона? Мне пофигу как обстоят дела с мобильными сетями, мне нужно заблочить опера-впн.

Bubublik ()
Ответ на: комментарий от Bubublik

На микротике возможно никак.

Поставьте на предприятие прокси, у вас же там скорее всего есть домен?

Вот и поднимите автонастройку прокси, а на прокси уже режьте как хотите и что хотите.

Прямой выход в internet естественно нужно убрать.

Пускай тогда что хотят приносят.

infomeh ★★ ()

Руководство каждые несколько дней методично приносит мне распечатки скринов с датами публикаций фоточек/приколов н

Бумагу некуда девать? Пусть делом займетца начальника.

anonymous ()

Руководство каждые несколько дней методично приносит мне распечатки скринов с датами публикаций фоточек/приколов нашими сотрудницами

заблочить руководству доступ к соцсетям. работать надо.

vvviperrr ★★★★★ ()

Лучше забить

Варианты: 1) работа по белым листам. Работает только то что разрешено. 2) Юзать софт который будет лочить сам софт (то есть opera) (Касперский эндпоинт это умеет). 3) Долго и упорно выявить IP адреса opera vpn, добавить их в black лист..но быть готовым что их дохрена. Возможно получится как то через layer 7 выцепить трафик..но в микроте он работает хрен пойми как..(одни и те же правила у меня то работали то нет).

vsafonin ()
Ответ на: комментарий от turtle_bazon

Проще перевести на сдельную оплату и по результату. Тогда сами себя контролировать будут. Что в разы эффективнее.

O'RLY? Спасибо за совет, сейчас пойду директору предприятия посоветую, может он не знал, что так можно.

Bubublik ()

Руководство каждые несколько дней методично приносит мне распечатки скринов с датами публикаций фоточек/приколов нашими сотрудницами

Ну если только отбирать телефоны на входе в здание.

P.S. всякие анальные кары в виде зарезки трафика давно не актуальны.

Deleted ()
Последнее исправление: Deleted (всего исправлений: 1)

А вообще это бессмысленно, не будет сетей, быдут пасьянс на компьютере/телефоне раскладывать, проблема в неэффективной работе кадровиков.

ponchik-2 ()

GPO + Software Restriction Policies

Только бесполезно всё это. Закроешь одно, придумают что-нибудь другое. Блочить что либо теперь совсем неблагодарное задание. Лучше развернуть, например, zabbix и мониторить процессы на компах. Вычислять нарушителей онлайн и стучать по рукам тут же.

afanasiy ★★★★ ()
Ответ на: комментарий от Deleted

Почему? Я не говорю по transparent прокси, при котором https не работает.

А говорю про обычное указание в свойствах браузера обычного непрозрачного http прокси.

Но что бы автору не пришлось ходить по всем компам и прописывать в свойствах браузера адрес и порт прокси сервера можно применить автоматическую настройку параметров прокси.

Для этого в доменной зоне его компании нужно создать доменное имя wpad.имя_домена, поднять там web сервер и положить файл wpad.dat с параметрами прокси сервера.

Даже в случае https заголовки всё равно видны и по ним можно фильтровать доменные имена.

Повторяю, это не транспарент прокси, а обычный прокси, только нужно сделать автонастройку.

Она включается в свойствах браузера.

Сходит в Internet и почитайте как это работает.

infomeh ★★ ()
Ответ на: комментарий от Deleted

Как сказали выше можно фильтровать по SNI (ХЗ справится ли с этим микротик). Можно поставить клиентам свой корневой сертификат (в виндовом домене это как-то просто делается) и перехватывать https запросы.

Другое дело что всё это суета, тлен и дрочь. Сама задача изначально поставлена неверно, но про это тут тоже уже сказали

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

Можно поставить клиентам свой корневой сертификат (в виндовом домене это как-то просто делается) и перехватывать https запросы.

Зачем? Это нужно только в случае если вы хотите дешифровывать https трафик клиентов.

infomeh ★★ ()

Просто скажи, что нет технической возможности. Что они тебе сделают то. Увереннее в себе надо быть. Если не можешь - иди к психологу/психотерапевту.

KivApple ★★★★★ ()
Ответ на: комментарий от infomeh

Что бы фильтровать по домену https без SNI или с eSNI. Правда первый вроде уже издох, а второй только начал взлетать.

Ссуть в том что при наличии AD возможности фильтрующего прокси для https не отличаются от возможностей фильтрующего прокси для http

А ещё можно не блочить конекты к социалочкам, а подменять публикуемые пользователями фотки шок-контентом (: Ну, если развивать линию страдания хернёй, которую задало начальство ТСа

MrClon ★★★★★ ()

Эта задача нерешаема со стороны микротика. Если только белыми списками.
В винде есть групповые политики, которые настраивают разрешение на запуск приложений. Можно запретить по белому списку, по путям, по черному списку.

Deleted ()
Ответ на: комментарий от gremlin_the_red

… руководство. ПРотому что, если подчинённые с работой не справляются, то почему они до сих пор не уволены, а если справляются, то какое собачье дело, чем они в освободившееся, от быстрого выполнения работы, время занимаются.

Работодатель покупает их ВРЕМЯ И ДЕЯТЕЛЬНОСТЬ в рамках трудового договора. Если в договоре будет написано плясать вприсядку в свободное время - будут танцевать, либо работать там не будут. Уверен, что это проявление «самоуправства» на рабочем месте, саботирование рабочего процесса и прочее. Хочешь отдохнуть после выполненной работы на день? Обозначь это в трудовом договоре.

anonymous ()

Предложи начальству такую программу: 1 детект захода в соцсети - минус 2% премии.

А вообще, я тоже не понимаю этого навязчивого желания контролировать других людей. Маразм какой-то. Человек берёт на себя обязательства выполнять такую-то работу, если он не вывозит - нужно его уволить, если вывозит - молодец, какое отношение к этому имеет желание контролировать - хер поймёшь

Deleted ()

Вводите KPI для сотрудников и меняйте договор что с определенного порога увольнение. Все нормальные разбегутся, а удобные останутся.

slapin ★★★★★ ()

Руководство платит тебе деньги за поддержание инфраструктуры в рабочем состоянии, а не попытки закрыть часть интернета, не закрывая остального. Объясни руководству, что если оно хочет отрезать интернет совсем, ты это можешь организовать, но отрезать часть, не отрезав остального, просто не получится.

i-rinat ★★★★★ ()
Ответ на: комментарий от Deleted

Есть просто разные подходы к бизнесу - тотальный контроль и свободное плавание. Если окружение не доверительное (например берут с улицы но работают с деньгами или секреткой), то первый способ обычно предпочитаем, иначе начальство все в дурке с паранойей. В этой ситуации безопасность всегда важнее эффективности. Лучше разориться чем сидеть. Свобода обычно там, где работают с забугром или что-то нейтральное типа разработки софта обычным гражданским пользователям (что редкость). Тут тоже в какой-то момент может прийти руководитель советского типа и все сломать. Оба метода работы эффективны, пока сотрудники согласны сотрудничать (но если не привыкли к хорошему). Начальство обычно склонно усиливать паранойю со временем. Очень сложно не усиливать контроль при возможности. Лечится хорошей прозрачной организацией процесса (но это тоже редкость). Но при свободном плавании ответственность сотрудников резко возрастает и многое строится на самомоенеджменте и самоорганизации. Поэтому это требует более тщательного подбора кадров и осуществления постоянной кадровой политики, что нашим конторам в принципе не свойственно вообще. Поэтому тотальный контроль - самое удобное и практичное решение в наших условиях, требующее минимума приложения усилий.

slapin ★★★★★ ()

1. Запретить запуск exe-файлов.

2. Залить USB-порты эпоксидной смолой, а также отключить флоппи-дисковод.

3. Отключить интернет на всех компьютерах кроме одного специально назначенного. Возле него поставить ответственного контролирующего сотрудника, вести журнал учёта, в который записывать ФИО время начала работы время окончания работы цель работы.

Думаю для начала этих мер хватит. При необходимости можно ужесточать.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Bubublik

мне нужно заблочить опера-впн

Борьба с одной из тысяч возможностей.
Объясните начальнику что «и рыбку покушать и погулять» не получится. На примере телеги которую с большими мощностями заблочить не могут, думаю для него это будет доступный для понимания пример.
Как писали выше, несколько случаев лишения премий работает в разы эффективнее, народ сам перестанет ерундой заниматься.

anc ★★★★★ ()