Напевно перед багатьма з системних адміністраторів їх буйним керівництвом хоча б раз у житті ставилося завдання «щоб ніхто по однокласниках не лазив!».
Зі свого боку я повністю дотримуюся ідеї «заборона не може бути ТІЛЬКИ технічною», оскільки на будь-яку хитру заборону рано чи пізно знаходиться хитрий обхідний шлях. 100% технічним рішенням буде, мабуть, тільки повне закриття доступу в Інтернет.
Проте повозитися було цікаво, чим я і зайнявся на дозвіллі. і за результатами написав цей пост.
Відразу застереження: моє оточення - це робочі станції Windows, серверні ОС Windows і відповідне ПЗ. У * nix середовищі все ймовірно можна зробити так-же\інакше, краще\гірше, витонченіше\топорно (потрібне підкреслити).
Крім цього, за замовчуванням приймаємо що у нас є
- - точка контролю трафіку, тобто шлюз-проксі, через який всі внутрішні клієнти будуть ходять в інтернет.
- - контроль адміністраторських прав на робочих станціях, (все ж розуміють, що якщо у кожного другого користувача права адміна на робочій станції, або він працює на особистому ноутбуці - то боротися з чим або стає безглуздо?).
- - на шлюзі користувачам дозволено вихід назовні виключно за HTTP і HTTPS (не розглядаємо особливі випадки, типу клієнт-банків, спец-ПО тощо), а не All outbound Traffic, як я неодноразово зустрічав у різних знайомих.
- - у нас є інструмент аналізу логів і статистики нашого шлюзу. Він потрібен, щоб
- розуміти результативність вжитих заходів;
- відстежувати статистику трафіку надалі.
Після нетривалої нерівної, безглуздої і нещадної боротьби з соцмережами, у мене виробилися кілька принципових підходів до цього.
Метод Перший (сокирський).
Створюємо банлісти на шлюзі, і вносимо туди домени однокласників, мій світ, вконтакті (не забуваючи про vk.com), моє коло та іже з ними, дивлячись чим ваші користувачі балуються. Для особливо заморочених, в банлісти вносимо також IP-адреси, або навіть підмережі, які відповідають цим сайтам. Застосовуємо наші банлісти і радіємо життю, але недовго. оскільки навіть найдальшій секретарці достатньо набрати в яндексі фразу анонімайзер вконтакті і отримати на виході десятки, а то й сотні відкритих веб-проксі, які ще й оновлюються мало не кілька разів на тиждень. Зрозуміло що боротьба з ними за допомогою бан-листів буде безглуздою, тому що час на це буде йти багато, а результат все одно досягнутий не буде. На справедливе заперечення про недалеку секретарку, відповім, що у неї може бути знаючий друг, який і навчить її цій чарівній фразі.
Метод Другий (адміністративно-психічний).
Домовившись з керівництвом (це зовсім нескладно в даній ситуації), випускаємо наказ\закон\постанова, який говорить, що за відвідування соцмереж співробітникам загрожує штраф\покарання\прилюдна порка. Це відразу відсікає морально слабких, невпевнених порушників, але закоренілі фанати все одно залишаться. Для них можна застосувати психічний вплив: робимо нехитрий response modifier, тобто фільтр, який буде аналізувати що приходить до нас з інтернету, і підміняти в цій відповіді, наприклад слово «вконтакте» на фразу «Впевнений, що про це ніхто не дізнається?». У підсумку, навіть через новий, невідомий анонімайзер, людина побачить ось таку картинку
Це має остудити запал ще якоїсь кількості користувачів. Ну і, варіюючи замінювані шаблони, можна досягти різних ефектів.
Метод третій (дуже жорсткий і нечесний)
Цей метод найдієвіший, але і найбільш спірний за частиною застосовності. Суть проста: робимо просту копію сторінки-входу в соцмережу, і на шлюзі створюємо правило, яке редиректить конкретний запит користувача (наприклад запит на свіжий анонімайзер, або на спеціально незабанений анонімайзер) на цю сторінку. Далі користувач вводить своїм логін-пароль і або потрапляє в соцмережу, або ні (дивлячись як ви робили фейк-сторінку), це вже неважливо. Важливо, що у вас з'являється логін-пароль конкретного користувача.
Фактично - це фішинг в чистому вигляді, що звичайно неправильно, незаконно, не по джентельменськи і т. д. однак дієвість такого методу - вище всяких очікувань. Коли людина втрачає свій дорогоцінний акаунт (нехай не назавжди, нехай на час, нехай ви повернете його в обмін на обіцянку не ходити в соц мережі на роботі) - це справляє приголомшливий ефект навіть на пропалених фанатів «однокласників», адже користуючись анонімайзерами невідомого походження, вони фактично ризикують своїми акаунтами, самі про це, можливо, не замислюючись.
Метод четвертий (простий і дієвий)
Вимагає роботи з керівництвом, і вміння переконувати.
Основне і найважливіше тут, це зрозуміти НАВІЩО взагалі вам потрібно обмежувати людей в доступі в інтернет.
Навскидку є два основних варіанти:
- а) тому що так хочу, тому що повинні працювати а не розважатися, тому що вони мої працівники, а я їх цар і бог.
- б) тому що потрібно заощадити трафік.
перший варіант - принципово невирішаємо, оскільки мотивувати працівників краще не заборонами, і якщо працівник розважається а при цьому роботу робить якісно і вчасно - так і прапор йому в руки.
другий варіант - дуже просто вирішує введенням квот на трафік, і подальшим підвищенням їх, при необхідності (що підтверджується роздрукуванням статистики відвідувань).
На цьому методи моє безглуздої боротьби вичерпалися. За результатами я залишився затятим прихильником методу «доступ не забороняти, трафік квотувати», в чому не без зусиль - але зміг таки переконати своє керівництво.
Якщо у вас є щось ще якісь цікаві способи, неописані вище - із задоволенням прочитаю про це в коментарях.
P.S. Мова безумовно не йшла про інформаційну безпеку, оскільки в разі захисту будь-яких конфіденційних даних, вищеописані методи смішні і безглузді.
P.P.S. Можна ще влаштувати собі цікаві ігрища з виловом і модифікацією\видаленням заголовків HTTP-трафіку, і пошуком сигнатур. Це дозволить відсікти різні програми, що створюють тунелі через HTTP\HTTPS, але це вже тема для окремого поста.
P.P.P.S Третій метод - вельми і вельми спірний, в тому числі і з точки зору законодавства. На прохання в коментарях, зайвий раз нагадаю: заради вас і ваших дітей тричі подумайте, перш ніж робити так.
