SQUID - распознать клиента, борьба с teamviewer и т.д.

[mastertron]

Вопрос возник в срочном порядке после обнаружения в сети программы teamviewer , при очередном обходе в бухгалтерии. Девочки объяснили, что приходил программист с Бест-звит и что-то установил ... чтоб лучше было.
Предполагаю, что одним из доступных вариантов защиты от подобных программ - контроль на клиентской машине за программами и их действиями. Мне - не очень.
Не знаю, возможно ли осуществить подобное в более централизованном варианте, например: определять клиента ( программу ), лезущего в нет на прокси или PF?
PHP имеет средства определения браузера и т.д. , PF умеет определять ОС ... Умеет ли определять SQUID клиента? ( браузер ). Наивно, наверно, может каким либо способом вписывать в запросы "пропускной" код, или от сервиса делать запрос ...
Может кто подкинет идею или какой либо другой путь к решению данной задачи?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mastertron]

Не много времени понадобилось чтоб найти

Код: Выделить всё

acl ok_client browser Mozilla

и прикрыть других с помощью

Код: Выделить всё

http_access deny !ok_client

Конечно же и другие проги могут представиться чужим именем, тут нужно чего-то намутить. Но и это уже кое что!

[mastertron]

Прикольно, даже скайп отвалился ...
Поставил всем одного типа браузер и все ...

[InventoR]

1. Полные админские права запретить на рабочих станция.
2. Выяснить что за чел с BestЗвит и какого ху он ставит такое ПО, выяснить дату установки этого ПО и сопоставить.
3. Включить useragent.log и начать диагностировать.
4. Выдавать наименьшее количество прав для просмотра сайтов. а если есть возможность то в обще ограничить список просматриваемых сайтов.
5. Отключить интернет тем кому он не нужен.
Было бы интересно конечно разобрать трафик в глубине, когда был на конференции по цискам, то у них есть как выявление определенных сигнатур в трафике и их блокировка.

[mastertron]

Права урезаны, однако всяким teamviewer-ам и множеству нечести права не нужны ("прелесть винды" и мудрость мудаков). Тот перец - молодой хлопчик, пока еще не догадывается о последствиях своей "продвинутой" деятельности. Мне оно как бы и не очень нравится, но в целях воспитания и поддержания дисциплины - НАДО ФЕДЯ!!!, уже доложено, разбор полетов состоится в понедельник, после чего начнет работать наш юрист (он целыми днями нудит "-дайте мне работу", доволен как паровоз ) по вопросу конфиденциальности данных, соответствия деятельности согласно договора, приплетет шпионаж и т.д. ...
Контроль по сайтам на прокси вполне осуществлен, делать списки IP всяких ... - много рукоделия. Предложенный мною вариант меня очень устроил, список в файл, каким клиентским прогам можно вылезать за ДМЗ - и никаких проблэм.

[reader]

Ну тут не хлопчик виноват, а бухи - которые должны были уведомить IT отдел о работе с их компьютерами посторонних людей. Может они еще и пароли на стикерах к монитору клепят? А хлопчик не причем. К примеру банальный случай - есть сторонняя организация у которой в подчинении наш директор (гос структуры), своего системщика нет, а всякие клиент банки и казначейские проги устанавливать надо, вот и приходилось ходить через пол города к этой быдлоорганизации по нескольку раз, чтобы настраивать это все...Думали отстанут...
Посылали их много раз, в итоге звонил директор и говорил "делайте что хотите, НАДО!!!" В итоге поставили TeamViever чтоб не париться...
Нас двое и 9 сданий, 7 АТС, 17 серверов, корпоративный сайт, около 250 юзеров, еще и перечень оборудования составляем на открывающиеся сдания и договора заключаем. Так же отправляют на всякого рода выставки и мы из системных администраторов превращаемся в... звукооператоров, а после 2х дневного слушания бреда как наши бравые чиновники описывают свои "крутейшие" проеты по распилу, оказывается что упал какой нить сервак из-за того что эти мудаки съекономили денег на кондиционер. Ох как я иногда проклинаю все эти гос организации...

[mastertron]

Ну, и согласен и нет. Тут смотреть по месту нада, если организация типа как описали, тада да (можно понаглеть). А на месте мальчика я бы и по ухоженности системы, и по солидности организации допер бы что есть тут системщик и не лапух, и стоит познакомится и решить вопросы, если нет можливости приежать, так позвони, чего надо - скажи, сам сделаю. А ваще есть еще тема "ДОГОВОР", в котором четко описаны пункты деятельности конторы, где указано, что спец должен именно ФИЗИЧЕСКИ прибывать и рулить, и ни слова про сторонние программы. А на счет шпионажа - не шутка, наш по безопасности этого паренька проработал по всем статьям, мне его даже жалко стало, правда на фирму не сообщили, замяли. И исче - по принципу работы тот же teamviewer - достаточная дырка в ДМЗ. А для хозяина проги ваще проспект ко всей внутренней сети. Не, не дело это, как кто хочет, а на своей кухне рулить буду только я.
На счет предложенного варианта в squid: Тут вопросы от друзей посыпались типа - а как же антивирусы, банк-клиенты и т.д.??? Да не вопрос, составляем список имен серверов и предшествующим правилом разрешаем всем к ним доступ. Вобсчем - на сегодня это единственный способ, который смог придумать ( а до этого долго искал и не нашел ), как заблочить выход всяким Skype, teamviewer и др. которые хвалятся, что им НАТ, прокси, фаерволы - все не почемЪ!!! Теперь сосут ( ну, на данный момент и в моей сети).

[mastertron]

Кстати, Mozilla - для примера, именно ним и представляется Skype.

[dmtr]

таки не понял

mastertron » 2010-12-17 20:27:44
Не много времени понадобилось чтоб найти
Код: Выделить всё • Развернуть
acl ok_client browser Mozilla
и прикрыть других с помощью
Код: Выделить всё • Развернуть
http_access deny !ok_client

mastertron » 2010-12-18 23:06:51
Прикольно, даже скайп отвалился ...

mastertron » 2010-12-22 21:00:28
Кстати, Mozilla - для примера, именно ним и представляется Skype.

как дело-то было?

[mastertron]

Вопрос не понял.

[dmtr]

в последней цитате ты пишешь, что Skype представляется как Mozilla, а из первых двух вроде как следует, что после запрета всех клиентов кроме Mozilla - скайп отвалился. а если он представляется как Mozilla, то должен был бы продолжить работать и после включения запрета.

[mastertron]

Так и есть, изначально боролся с teamviewer, потом раскинув мозгой эксперементнул со Skype, а по поводу мазиллы - так и есть, и скайп и ИЕ представились ним. Забейте другую часть подстроки юзерагента, или другой брайзер. Идея есть, функционал подтверждаю, остальное - не паханное поле фантазий и экскрементов. Только ша, громко не читайте, а то выкупят и адаптируются

[sergicus]

А точно скайп блокирует ??

Я вот попробовал - не блокирует

вот мой конфиг сквида

Код: Выделить всё

http_port 172.18.6.1:3128 transparent
http_port 172.18.7.1:3128 transparent
http_port 127.0.0.1:3128 transparent
http_port 200.1.1.1:3128 transparent
cache_peer 127.0.0.1 parent 3127 0 default no-query 
prefer_direct off
cache_mem 200 MB
cache_swap_low 90
cache_swap_high 95
cache_effective_user squid
forwarded_for on
maximum_object_size 9 MB
emulate_httpd_log off
log_ip_on_direct on
ftp_user anonymous
ftp_list_width 32
ftp_passive on
ftp_sanitycheck off
ftp_telnet_protocol on
ie_refresh on
icp_port 0
log_fqdn on
hierarchy_stoplist cgi-bin \?
        cache_dir ufs  /usr/local/squid/cache  3072 32 512
        cache_access_log  /usr/local/squid/logs/access.log
        cache_log /usr/local/squid/logs/cache.log
        cache_store_log /usr/local/squid/logs/store.log

acl localhost 		src 127.0.0.1
acl denyuser src "/usr/local/etc/squid/acl_denyuser"
acl CONNECT method CONNECT
acl LAN src 192.168.0.0/24 172.18.1.0/24 172.18.2.0/24 172.18.3.0/24 172.18.4.0/24 172.18.5.0/24 172.18.6.0/24 172.18.7.0/24 200.1.1.0/27
 
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443
acl Skype_UA browser ^skype^
acl ok_client browser Mozilla


acl SSLPorts port 443 563
acl FTP proto FTP
acl winupdate	dstdomain .download.windowsupdate.com
acl wsusserver	src 172.18.1.200 192.168.1.200
always_direct allow FTP
http_access deny denyuser

http_access deny numeric_IPS
http_access deny Skype_UA
http_access deny !ok_client



http_access allow CONNECT LAN
http_access allow	localhost
http_access deny	winupdate !wsusserver
http_access allow	LAN

может что то еще нужно добавить ????????? а то позарез нужно заблочить скайп

[mastertron]

Наверно я хреновый писака ...
Mozilla - стандартное представление переменной user_agent для большенства браузеров и всяких "лезущих без мыла " програмулек, поэтому предупредил, что указал такую переменную только для примера http://forum.lissyara.su/posting.php?mo ... 1#pr274434.
Необходимо в представленном мною варианте указывать бОльшую часть строки юзер_агент, которой представляется браузер, или Другую часть подстроки, или ваще другой тип браузера использовать, типа Оперы.
ИЕ представляется так: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
Вот пример жареной лисицы: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2. Gecko/20100722 Firefox/3.6.8
А это представляются Опера: Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.7.62 Version/11.00
Для нормальной работы с этим делом нужно запихнуть перечень в список, как вы сделали с "denyuser" и там уже описывать "хороших" HTTP_USER_AGENT.
В своей сети я ваще запретил ( юзерам) использовать ИЕ, при этом его специально настраиваю (подключение) не на прокси, чтоб всякая гадость, берущая настройки с ИЕ не могла ваще прокси найти. Использую браузеры только с индивидуальными настройками подключения.
Ну все. Я понятно объяснил?

[mastertron]

Кстати, ваше правило режущее подключение по IP:443 - безполезное. На сколько понял это была попытка зарезать "междусобойчик" подключений, но между нодами подключения проходят не обязательно на 443, и авторизируются они через посредническое соединение на любой (возможный) порт, а вот посредник уже направляет его данные на сервер авторизации по 443 порту.( Ну эт я так решил).