LINUX.ORG.RU
ФорумAdmin

Прозрачный прокси

 , , ,


2

1

Всем привет!

Посоветуйте что-нибудь по поводу прозрачного прокси, плиз. Нужно логировать, кто куда ходил и выдавать отчеты. Хочется по возможности избежать сложных тяжелых решений, и не хочется парсить логи awk. Я понимаю, что гугл и все такое, но меня интересует личный экспириенс местного сообщества, дабы спрямить дорогу и избежать набивания шишек:)

Тебе из серии «кривоватое, но готовое»? Endian Firewall, готовый шлюз с вебмордой, в т.ч. прокси с дансгвардианом, ACL, и отчеты от сквида (sarg). Я не уверен насколько его реально впихнуть в openvz контейнер, но он основан на древнем центосе) Напильник пригодится. Экспириенс - 2 десятка шлюзов удаленных офисов.

hellstad ()

Можно не проксировать трафик, а просто дублировать web-трафик на свой веб-сервер или прокси который будет его разбирать и логировать.
Хотя до меня только сейчас дошло что я слабо представляю как в такой схеме будет происходить tcp-хэндшейк.

Ну и на всякий случай напомню что если действие происходит в России и люди, чей трафик вы собираетесь мониторись, не давали на это явного согласия то такие действия незаконны.

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

Ну и на всякий случай напомню что если действие происходит в России и люди, чей трафик вы собираетесь мониторись, не давали на это явного согласия то такие действия незаконны.

Хм, это где то прописано? Про прослушивание телефонных переговоров - конституция, уг. кодекс это да. А про трафик? Просто интересно.

aeX1pu2b ()

squid + lightsquid для начала.

vel ★★★★★ ()
Ответ на: комментарий от aeX1pu2b

Телефоны прослушивать кому положено «нургалиев разрешил». А мы тут не те-кому-положено, мы простые избиратели и не имеем право нарушать тайну переписки, насиловать людей бутылкой из под шампанского и сомневаться в правильности курса вождя.
Простите, увлёкся.

В общем по закону ситуайия такая:
по умолчанию нельзя, но кое кому и/или в некоторых обстоятельствах можно.

В общем-то с правами на тайну переписки и неприкосновенность личной жизни ситуация такая-же как и со всеми прочими правами. Например конституцией гарантировано право на свободное перемещение, но для тюрем, СИЗО и прочего сделаны исключения.
Но это не значит что я могу невозбранно запереть вас в своём подвале.

MrClon ★★★★★ ()
Ответ на: комментарий от aeX1pu2b

Ах да, отвечая на сам вопрос:
Прописано это в 23 главе конституции РФ и 138 статье УК РФ (в нашем случае второй пункт «То же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации»).

Где прописаны исключения так с ходу найти не смог, подозреваю что в основном в законодательных актах регулирующих оперативно-разыскную деятельность.

MrClon ★★★★★ ()

Согласно моему личному экспиренсу годов так 2009-2010, SARG сосёт, а рулит lightsquid. Использовался для подсчёта, кто сколько скачал, но статистику кто куда ходил тоже показывает вполне удобно. Потом наступил безлимитный интернет и необходимость в общих отчётах пропала, а единичный случай я и так в логах нагрепаю.

selivan ★★★ ()
Ответ на: комментарий от selivan

Во-первых зачастую вообще не подписывает, во-вторых зачастую не прописано, в третьих такой пункт договора в России не имеет законной силы.
Право на тайну связи является неотчуждаемым, как и прочие основные права и свободы, от него нельзя отказаться.
Так-же как вы не можете разрешить мне например убить вас (эвтаназия у нас незаконна), так-же не можете разрешить прослушивать ваш телефон.
Такие дела.

Вообще рекомендую почитать конституцию, там много прикольного (:

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

Да, очень стёбный документ, читаешь и прям хочется уехать в такую страну и там жить :)

По-моему, сочетание пары формулировок вроде «интернет должен использоваться только для выполнения рабочих обязанностей» и «в рабочие обязанности входит ... поиск необходимой информации в сети интернет с автоматической фиксацией процесса поиска» задачу должно решать.

selivan ★★★ ()
Ответ на: комментарий от selivan

Неа. Конечно используя рабочие интернеты для срачей на ЛОРе я нарушу этот пункт договора (кстати так с ходу не могу сказать совместимы-ли эти пункты с законодательством, есть сомнения), но работодателю для того что-бы узнать что я не википедию читаю, а на ЛОРе какашками с анонимусами перебрасываюсь, придётся нарушить моё право на тайну связи.
В общем-то два этих факта друг на друга никак не влияют.
Более того: до того, в тот момент когда админ полезет в логи прокси (и нарушит моё право), он не знает нарушил-ли я трудовой договор.

Можно провести аналогию с применением пыток в процессе следствия. Тот факт что пытаемый под пытками признается в совершении преступления ни коем образом не повлияет на виновность пытающего.
Более того, доказательства полученные незаконным образом (например с применением пыток) не могут использоваться в уголовном и, кажется, административном, судопроизводстве. Или вообще ни в каком не могут использоваться, не помню уже.

P.S. ещё один момент о котором стоит помнить айтишникам: ответственность за уголовные преступления несёт лицо или группа лиц, а не организация. Если админ Вася читает перехваченное письмо сотрудника Пети (или убивает Петю шнуром от клавиатуры, или ставит пиратскую винду на ком Пети) то преступление совершает (и ответственность несёт) админ Вася, а не ООО Рога и Копыта в котором он работает. Если Вася делает то-же самое по приказу своего начальника Семёна, то «тоже деяние совершённое группой лиц по предварительному сговору», ответственность несут Вася и Семён (если будет доказано что приказ был, иначе ответственность ложится на него одного).

Само ООО Рога и Копыта может совершить только административное или гражданское правонарушение (насчёт административного не уверен).

MrClon ★★★★★ ()
Ответ на: комментарий от selivan

Да, очень стёбный документ, читаешь и прям хочется уехать в такую страну и там жить :)

selivan +1

ТС вроде спрашивал не про морально-этическую сторону вопроса, чем он собирается патчить свою совесть оффтопик на данном форуме. А прозрачная прокся может быть нужна и в «мирных» целях, например для фильтрации траффика согласно анализа страниц. Если траффик пользователя анализирует программа а не человек, «стёбный документ» не нарушается. Более того, безликая статистика может быть показана и человеку))

hellstad ()
Ответ на: комментарий от MrClon

В колл-центре сидит куча девочек и по 8 часов в день разговаривают с клиентами. Разговоры пишутся, выборочно прослушиваются. Закон нарушен? Не думаю

Телефон и интернет на работе *не являются* средствами личной связи. Их можно таким образом использовать, но это ничего за собой не влечёт. Ну вроде как я с кем-то громко разговариавю на улице, а потом бегаю и пристаю к прохожим, какого гхыра они не позатыкали уши и нарушили моё право.

Хотя могу и ошибаться, ибо здравый смысл и правоприменительная практика - вещи порой совершенно не пересекающиеся.

ИМХО, по-человечески, если о наблюдении людей оповещают - всё в порядке. Ну а если негласно - это уже говнецом попахивает.

С ответственностью фишка вроде известная

selivan ★★★ ()
Ответ на: комментарий от hellstad

Уже и поофтопить нельзя.

Во технической части вроде уже всё сказали. Прокся и не хитрый анализ логов.

MrClon ★★★★★ ()
Ответ на: комментарий от selivan

Закон нарушен? Не думаю

Думаю да.

Телефон и интернет на работе *не являются* средствами личной связи.

Думаю это не имеет значения.
Речь, если отдельно не заморочиться, это широковещательная связь, если я в людном месте громко общаюсь то подразумевается что я не намерен утаивать свои слова. Не думаю что это где-то прописано, полагаю это относится к «духу закона», а не к его букве.

Хотя могу и ошибаться, ибо здравый смысл и правоприменительная практика - вещи порой совершенно не пересекающиеся.

Есть ещё одна мало пересекающаяся штука: буква и дух закона. Я тут как-раз про это говорю. Правоприменительная практика у нас мало с ним соотносится (и в основном выражается максимой «ВОРУЙ@УБИВАЙ» :)

ИМХО, по-человечески, если о наблюдении людей оповещают - всё в порядке.

Если по человеческий, такое наблюдение это как правило либо нездоровый вуаеризм со стороны админа/руководителя, либо следствие манагерской импотенции (когда манагер не способен построить рабочий процесс так что-бы работники были заинтересованы работать).

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

Зато не запрещается ставить фильтр для ограничения сайтов и контента содержания, несоответствующего рабочему процессу. Обычно, для большинства сотрудников отключение соц. сетей уже стимулирует меньше убивать времени в интернетах. Или это нарушение свободы слова???

anonymous ()
Ответ на: комментарий от MrClon

Я как раз про дух закона и говорю: если я сижу в сети по рабочим обязанностям, это ни разу не личное общение, и начальство, заранее предупредив, имеет полное право на это смотреть. То есть лично я так работать не стал бы, но если человек не против - ситуация нормальная.

нездоровый вуаеризм со стороны админа/руководителя, либо следствие манагерской импотенции

Зависит от специфики работы. IT-шников таким образом ограничивать глупо, а мелких офисных работников - вполне разумно. Пример - тот же колл-центр: _иногда_ социальные сети им нужны - найти там профиль клиента, но если они там сидят 90% времени - это раздолбайство и оно должно пресекаться.

selivan ★★★ ()
Ответ на: комментарий от anonymous

Нет, это уже не про свободу слова, а свободу доступа к информации.
Полистайте на досуге тот ржачный документ который выше обсуждался, там ещё много подобных хохм.

MrClon ★★★★★ ()
Ответ на: комментарий от selivan

Я как раз про дух закона и говорю: если я сижу в сети по рабочим обязанностям, это ни разу не личное общение, и начальство, заранее предупредив, имеет полное право на это смотреть. То есть лично я так работать не стал бы, но если человек не против - ситуация нормальная.

Спорно. Думаю это зависит от того как рассматривать отношение работник-работодатель.

Пример - тот же колл-центр

Можно заблокировать операторам колцентра доступ вконтакт, однокласники, фишкинет etc. Удалить с компов косынку и сапёра. И осложнить ещё кучу видов деятельности которые не являются работой.
А можно платить ЗП в зависимости от колличества проданной оператором хрени (или удовлетворённых клиентов, или какие там у них KPI). И результат будет лучше.
Только выстароить такую систему так что-бы она действительно работала сложнее чем пойти к админу и сказать «выпили вконтакт» и это не даёт наслаждения властью.
Поэтому импотенты от менеджмента предпочитают более прямые пути.

Наверное есть какие-то исключения, но их гораздо меньше чем кажется.

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

ЗП в зависимости от колличества проданной оператором хрени (или удовлетворённых клиентов, или какие там у них KPI). И результат будет лучше.

В идеальном мире, где пони жрут радугу и какают бабочками... или наоборот? Там была какая-то странная пищавая цепочка. Вобщем там оно всегда 100% работает.

Такую систему построить очень сложно: во-первых, хитропопый KPI заставляет людей работать не на результат, а на KPI; во-вторых, человек - скотина ленивая и слабовольная, самый надёжный способ противостоять соблазну - его отсутствие. Ну кому нужна возможность получить какие-то абстрактные 500 рублей через пол-месяца, если во вконтакте прямо сейчас такую весёлую ржаку пишут, а тут скучно и настроения с утра никакого?

То, о чём ты пишешь, для несложной работы, с низкой квалификацией работников и высокой текучкой кадров - неэффектифно. Для высококвалифицированных спецов, делающих сложные и разнообразные задачи - да, может работать, при соответствующей организации

selivan ★★★ ()
Ответ на: комментарий от selivan

Отсутствие «хитропопых KPI» стимулирует людей работать не на результат, а на симуляцию работы.

Нужно «уметь готовить», или не лезть в манагеры.

MrClon ★★★★★ ()
Ответ на: комментарий от hellstad

Конечно, идеально было бы поставить на отдельную машину, но как-то жирновато. Я подумаю во всяком случае.

alexparty ()
Ответ на: комментарий от MrClon

Ну и на всякий случай напомню что если действие происходит в России и люди, чей трафик вы собираетесь мониторись, не давали на это явного согласия то такие действия незаконны.

Интересная концепция. Пользуясь компьютером, предоставленным работодателем, человек, очевидно, дает согласие на то, что его личная информация, которую он на нем хранит, может быть и будет доступна его работодателю. Или нет?

Я к тебе в гости пришел, сел за комп, создал какой-нибудь документ, ты его прочитал — и тебя в тюрьму. Так, что ли?

alexparty ()
Ответ на: комментарий от alexparty

Пожалуй что так, во всяком случае на ум не приходит никаких норм противоречащих этому.
Впрочем возможно я что-то упускаю, у нас ведь до задницы всяких законов и подзаконных актов… Если очень хочется можно проконсультироваться с юристом, но они за свои услуги просят денег.

MrClon ★★★★★ ()

Не знаю, сюда написать или в Job. В общем, нужно это дело установить и настроить. Естественно, за вознаграждение. Я так предполагаю, использовать будем squid + lightsquid, всё это в контейнере openvz. Во второй половине дня, включая вечер, в любой день, кроме воскресенья. В Петербурге, недалеко от м. Нарвская. Насчет удаленного доступа у меня паранойя, только в офисе. Пишите alexpetroffff мэйл ру или звоните (9О3) 098-один-три-семерки.

PS Я тему открывал не для этого, но внезапно понял, что полдня-дня, чтобы во все вникнуть и установить самому, у меня сейчас нет, а делать надо срочно. Если у вас есть несколько часов свободного времени и опыт настройки squid — вэлкам.

alexparty ()
Ответ на: комментарий от alexparty

Ну, по поводу технической организации всего этого дела у меня есть еще что тебе сказать.

HTTPS в прозрачную проксю ты тихо и незаметно не завернешь. По факту это попытка провернуть «man in the middle», что сложно сделать незаметно. У Endian Firewall 3 beta появилась такая фича, но при заходе на каждый сайт браузер кажет на несоответствие сертификата. Через что реализовано не знаю, еще не изучал подробно.

hellstad ()
Ответ на: комментарий от hellstad

Угу, точно. Спасибо, остудили. А что делать-то? Задача простая: вести лог доступа. Может, я вообще не туда смотрю, и мне просто маршрутизатор нужен с каким-то продвинутым механизмом логов?

alexparty ()
Ответ на: комментарий от alexparty

Чтобы разобрать http годится прозрачный проксик. Кстати, даже непрозрачная прокся в случае с https ничего кроме доменного имени к которому ходил пользователь в лог записать не сможет. А весь остальной трафик можно посчитать по NETFLOW. Нетфлоу считает заголовки пакетов и собирает их суммы в пределах какого то интервала времени, обычно 5 минут. Статистика в виде «UDP: IP1:43768 to IP2:6889 19876 byte». Никаких подробностей не будет, максимум по реверсной DNS записи определить имя хоста сможешь. Есть аппаратные маршрутизаторы с поддержкой нетфлоу, которые могут отдавать статистику на коллектор. В общем то все приличные маршрутизаторы выше домашних длинков это умеют))

У меня в фирме стоит прокся в непрозрачном режиме, т.е. у всех в браузерах она прописана, остальной трафик считается по нетфлоу. Большинство внешних ресурсов кроме http запрещены, аська транспортом к джабберу, скайп изрядно забанен и.т.д.

Кстати проксирование при настройки фильтрации становится довольно ресурсоемкой задачей, когда папка с блеклистами переваливает за 80 мб в распакованном виде. Дансгвардиан жрет память немилосердно. Подумай стоит ли упрятывать все в контейнер. Хотя я не знаю на каком змее-горыныче у тебя виртуализация крутится.

hellstad ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.