[beveiliging] Hoe kan je proxies blokkeren?

wacht ff doordat ze bij jou op school een proxy draaien kunnen jullie niks installeren ?

[ Voor 3% gewijzigd door rg-mohwa op 09-02-2006 18:55 ]

bij ons op school doen ze dit door een ISA server,
maar dit is gemakkelijk te omzeilen door webmessenger enz!

Het woord proxy bannen in de server mischien.

[ Voor 8% gewijzigd door Mindsurfer op 09-02-2006 18:58 ]

euh ff een vraagje he .. wat heeft die proxyserver dan te maken met het niet kunnen instaleren ? dat word niet geregeld door de proxyserver hoor... ?
het online zijn dat wel maar instaleren niet


80, 8080 ? blocken ? zo gooi je het internet ook dicht

[ Voor 88% gewijzigd door rg-mohwa op 09-02-2006 19:04 ]

klepel ! klok ?
kortom ga eens wat lezen hoe een proxy server werkt

Mindsurfer schreef op donderdag 09 februari 2006 @ 18:57:
Het woord proxy bannen in de server mischien.

alsof je op een school zomaar ff wat mag bannen of veranderen op een server
het is niet voor niks dat ze proxy server draaien ...
ook al heeft die proxy server weinig te maken met het instaleren maar programma's maar goed

dus je wilt die andere proxy blokeren zodat er niks meer gedownload kan worden ...


Dan stel je dat toch gewoon in op de server ? via een policy

[ Voor 25% gewijzigd door rg-mohwa op 09-02-2006 19:54 ]

Een eigen proxyserver plaatsen en ervoor zorgen dat alle computers alleen via die proxyserver het Internet op kunnen is wellicht een goed idee?

dennisv schreef op donderdag 09 februari 2006 @ 20:04:
Een eigen proxyserver plaatsen en ervoor zorgen dat alle computers alleen via die proxyserver het Internet op kunnen is wellicht een goed idee?

Dat hebben ze dus gedaan. Maar dit is dus te omzeilen door via een phproxy te browsen. Dan wordt er gebrowsed via 2 proxy's.

Lijkt me beter om gewoon het lokale systeembeleid aan te passen. Dus alleen de administrator mag software installeren.

Msn via de proxy server blokkeren heb ik gedaan door de volgende regel in de squid config te zetten:
acl MSN req_mime_type ^application/x-msn-messenger$
Voor ISA zal het natuurlijk anders moeten maar gaat om het idee. Msnmessenger gaat namelijk als last resort via poort 80, deze regel zorgt er voor dat er niet op poortniveau wordt gebloked maar er gekeken wordt naar welke applicatie er op de verbinding draait.
Je voorkomt hier natuurlijk niet webmessenger mee, het volledig blokkeren van msn is ook niet te doen er worden altijd wel nieuwe manieren gevonden je beveiliging te omzeilen.

Je hebt een proxy nodig die op application level kan kijken.
Dat kan ISA2004 ook. Alles wat op een bepaalde manier moet communiceren kan je controleren.(behalve SSL/IPsec dan in de meeste gevallen).

Move PNS > NT

Als je het probleem nu eens bij de bron aanpakt : Door bijvoorbeeld de windows installer ontoegankelijk te maken voor de users waar de scholieren achter zitten ? Werkt een stuk effectiever.

Zolang mensen nog bij webmessenger kunnen begin je zowiezo niks, dan moet je idd in de proxy gaan filteren.

[ Voor 23% gewijzigd door 4VAlien op 10-02-2006 19:09 ]

Je hebt inderdaad een set aan maatregelen nodig. Ik zal je een voorbeeld geven, uiteraard zijn sommige zaken afhankelijk van een bepaalde producent of os. Globaal komt het echter wel overeen.

We hebben een firewall welke standaard alles blokkeert. We hebben toen gekeken wat gebruikers nodig hebben aan applicaties die verbinding met het web nodig hebben en vervolgens hebben we gekeken welke poorten daar voor nodig zijn. Zo is het bijvoorbeeld niet mogelijk om Oulook te gebruiken omdat die poorten dicht staan. In de firewall zijn groepen van gebruikers aan te maken die het b.v. wel mogen.

Wat bijna iedereen nodig heeft is poort 80 en 443, voor het browsen dus. Standaard kan men dan nog veel rotzooi uithalen daarom connecteren alle clients verplicht eerst naar een centrale proxy server. Wij gebruiken Webmarshal van NetIQ. Deze filtert het verkeer met een blacklist, handmatig zijn sites toe te voegen. Verder wordt er een hele rapportage bijgehouden dus je kan altijd zien wie op welk moment naar welke site surft. Bestanden worden op extensie gefilterd, b.v. mp3, .exe etc. Deze zijn dus allemaal niet meer te downloaden door de gebruiker. Uitzonderingen zijn mogelijk.
Verkeer wordt verder met een virusscan plugin actief gescreend.

Op werkstations kunnen gebruikers zelf niks installeren. Dit is afgedwongen dmv policies. Zodra een gebruiker iets nodig heeft dient men daar een verzoek voor in te dienen. Wij screenen dat en zodra het akkoord is bevonden krijgt de gebruiker zijn software.

Het kost wat tijd en geld om het op te zetten maar daarna werkt het perfect Succes!