PDA

Bekijk de volledige versie : Законность контроля корпоративных пользователей техническими средствами



tempik
29-03-2011, 18:33
Я понимаю, но не так уж много людей открывают 80 и 443 для торрентов.
А дырку найти всегда можно. "Совсем все" запретить все равно возможно только получив геморрой\получив бесполезный выход в интернет
Так в том-то и дело если есть отрытый порт наружу без анализа трафика нельзя запретить передавать (избирательно) что нить по нему а значит будет работать скачка торрентов ... (отдачи не будет) Поэтому я и сказал что по моему большому опыту связка "запрет технический + административное наказание (финансовое, кого поймали) приносит больше пользы, чем попытка запретить только технически ...

TReX
29-03-2011, 22:35
Так в том-то и дело если есть отрытый порт наружу без анализа трафика нельзя запретить передавать (избирательно) что нить по нему а значит будет работать скачка торрентов ... (отдачи не будет) Поэтому я и сказал что по моему большому опыту связка "запрет технический + административное наказание (финансовое, кого поймали) приносит больше пользы, чем попытка запретить только технически ...

))) По опыту старого "цисковода" единственный надежный способ задавить торренты на раздачу - это двойное натирование (остальные варианты обходятся)). На прием - через прокси нормальный торрент клиент ходить умеет (даже если прокси с аутентификацией), ловить по сигнатурам его бесполезно, так как современные клиенты криптуют трафик, анализ пакетов для поиска сигнатур специфичных для установления соединения именно торрента слишком ресурсоемок, к тому же могут пострадать службы работающие по тому же принципу, например скайп. Так что для ловли качальщиков - смотреть трафик и наказывать отличившихся ))

vectorm
30-03-2011, 07:40
В качестве флуда:

Блокирование конкретного протокола (в данном случае bittorrent) реализовано в системах защиты периметра довольно большого числа производителей. Затраты обычно составляют расходы на оборудование и софт, плюс примерно 1000р на человека в год. Если компания в год перерасходует трафика больше, чем на $5000 - есть о чем задуматься.

В SOHO самая действенная и бесплатная система блокировки - административная, как правильно говорят. В организациях можно транслировать расходы на трафик на конкретных нарушителей, оплата скачанного фильма по расценкам провайдеров для компаний - достаточный мотив пользователю лишний раз подумать в следующий раз.
А сигнал отделу кадров, что сотруднику скучно на работе - очень сильный мотиватор.
Кстати, использование в качестве прокси Squid полностью нивелирует особенности различных протоколов - на выходе прокси получается только HTTP поток данных (понаблюдайте сниффером - одни http-connect).
Блокировка Скайпа тоже задача нетривиальная, принцип его работы вообще напоминает распределенный ботнет.

tempik
30-03-2011, 20:14
vectorm +1
Сорри за флуд ...
Как я уже говорил в офисе все подконтрольно админу ...
Комплекс из:
1) Ограничение прав юзверя
2) Контроль запущенных процессов
3) Контроль трафика
4) Контроль создаваемых файлов (скачать фильм не создавая файла на доступной файловой системе, ИМХО невозможно)
5) Попавших под подозрение юзверей ставить на контроль (клавиатурные шпионы, запись происходящего на экране и т.д.) с последующем показательным наказанием деньгами
Административные методы ИМЕННО в организации гораздо эффективнее чем технические препоны (это вечная борьба между админом и прогрессом), хотя их тоже нужно использовать но не в ущерб рабочему процессу.

FilimoniC
31-03-2011, 06:58
vectorm +1
Сорри за флуд ...
Как я уже говорил в офисе все подконтрольно админу ...
Комплекс из:
1) Ограничение прав юзверя
2) Контроль запущенных процессов
3) Контроль трафика
4) Контроль создаваемых файлов (скачать фильм не создавая файла на доступной файловой системе, ИМХО невозможно)
5) Попавших под подозрение юзверей ставить на контроль (клавиатурные шпионы, запись происходящего на экране и т.д.) с последующем показательным наказанием деньгами
Административные методы ИМЕННО в организации гораздо эффективнее чем технические препоны (это вечная борьба между админом и прогрессом), хотя их тоже нужно использовать но не в ущерб рабочему процессу.

Хотел бы напомнить, что в России "шпионить" за пользователями без предварительного уведомления нельзя по закону. Независимо от того, чей он использует интернет и на чьем оборудовании.
Вопреки всеобщему мнению "Он использует компьюетр фирмы, значит фирма делает что хочет". Это мнение справедливо для США и некоторых других стран

don-pedro
31-03-2011, 07:22
Хотел бы напомнить, что в России "шпионить" за пользователями без предварительного уведомления нельзя по закону
Что мешает предварительно уведомить? :)

FilimoniC
31-03-2011, 08:19
Что мешает предварительно уведомить? :)

У нас, к сожалению, даже после уведомления, остается куча всякой фигни, защищающей этот чудный планктон. Законодательно*

vectorm
31-03-2011, 08:58
Хотел бы напомнить, что в России "шпионить" за пользователями без предварительного уведомления нельзя по закону. Независимо от того, чей он использует интернет и на чьем оборудовании.

Строчка в трудовом договоре, плюс корпоративная Политика информационной безопасности с подписями об ознакомлении.

Только все это только для внутреннего пользования к сожалению, если упертый товарищ пойдет в суд - применение законодательства РФ сведет почти все усилия на нет ...

PS: хотите навредить конторе - пошлите запрос на предоставление информации о порядке обработки Ваших ПДн. Про ФЗ-152 не многие слышали, а тем более озаботились "поджопниками" ...

Пора похоже новую тему заводить, и все туда перелить. Как назвать?

tempik
31-03-2011, 17:46
Строчка в трудовом договоре, плюс корпоративная Политика информационной безопасности с подписями об ознакомлении.

Только все это только для внутреннего пользования к сожалению, если упертый товарищ пойдет в суд - применение законодательства РФ сведет почти все усилия на нет ...

PS: хотите навредить конторе - пошлите запрос на предоставление информации о порядке обработки Ваших ПДн. Про ФЗ-152 не многие слышали, а тем более озаботились "поджопниками" ...

Пора похоже новую тему заводить, и все туда перелить. Как назвать?
У нас в конторе неплохие юристы ... было уже 3 обращения в суд со стороны сотрудников и во всех случаях выиграла контора ...
Камеры срытого наблюдения запрещено устанавливать в местах:
1) Туалеты и душевые
2) Так называемые "Дамские комнаты"
3) Раздевалки (не путать с гардеробной)
Все ... Во всем остальном офисе можно (при условии что сотрудники оповещены об этом под подпись...)
Запись логов прокси, дублирование исходящей/входящей почты корпоративного домена, перехват сообщений IM (в локальной сети предприятия), блокирование любых адресов интернета из локальной сети предприятия, запись происходящего на экране, запрет на установку программ и изменение любых настроек .... Законно если об этом новый сотрудник оповещен и подписал соответствующую инструкцию при приеме на работу (в ней в том числе указаны штрафные санкции). Даже в России оплаченное работодателем время (в рамках ТК) принадлежит работодателю и он в праве контролировать исполнение этого в рамках закона РФ
З.Ы. Тему назвать "Законность контроля корпоративных пользователей техническими средствами".

FilimoniC
31-03-2011, 18:06
У нас в конторе неплохие юристы ... было уже 3 обращения в суд со стороны сотрудников и во всех случаях выиграла контора ...
Камеры срытого наблюдения запрещено устанавливать в местах:
1) Туалеты и душевые
2) Так называемые "Дамские комнаты"
3) Раздевалки (не путать с гардеробной)
Все ... Во всем остальном офисе можно (при условии что сотрудники оповещены об этом под подпись...)
Запись логов прокси, дублирование исходящей/входящей почты корпоративного домена, перехват сообщений IM (в локальной сети предприятия), блокирование любых адресов интернета из локальной сети предприятия, запись происходящего на экране, запрет на установку программ и изменение любых настроек .... Законно если об этом новый сотрудник оповещен и подписал соответствующую инструкцию при приеме на работу (в ней в том числе указаны штрафные санкции). Даже в России оплаченное работодателем время (в рамках ТК) принадлежит работодателю и он в праве контролировать исполнение этого в рамках закона РФ
З.Ы. Тему назвать "Законность контроля корпоративных пользователей техническими средствами".

... но запрещено использовать ее в каких-либо целях. Например, это не может быть доказательством в деле возмещения ущерба при "сливе" информации

TReX
31-03-2011, 18:12
У нас в конторе неплохие юристы ... было уже 3 обращения в суд со стороны сотрудников и во всех случаях выиграла контора ...
Камеры срытого наблюдения запрещено устанавливать в местах:
1) Туалеты и душевые
2) Так называемые "Дамские комнаты"
3) Раздевалки (не путать с гардеробной)
Все ... Во всем остальном офисе можно (при условии что сотрудники оповещены об этом под подпись...)
Запись логов прокси, дублирование исходящей/входящей почты корпоративного домена, перехват сообщений IM (в локальной сети предприятия), блокирование любых адресов интернета из локальной сети предприятия, запись происходящего на экране, запрет на установку программ и изменение любых настроек .... Законно если об этом новый сотрудник оповещен и подписал соответствующую инструкцию при приеме на работу (в ней в том числе указаны штрафные санкции). Даже в России оплаченное работодателем время (в рамках ТК) принадлежит работодателю и он в праве контролировать исполнение этого в рамках закона РФ
З.Ы. Тему назвать "Законность контроля корпоративных пользователей техническими средствами".

Только один вопрос какое это отношение имеет к теме форума? У нас тут проект разработки фриварной прошивки к роутерам на чипах Броадком, а не место сбора бывших полковников любителей инструкций :D

tempik
31-03-2011, 18:16
Только один вопрос какое это отношение имеет к теме форума? У нас тут проект разработки фриварной прошивки к роутерам на чипах Броадком, а не место сбора бывших полковников любителей инструкций :D
Это просто переросло из обсуждения возможностей прошивки ... уже предлагали вынести этот флуд в отдельную тему, название я предложил ... У меня таких возможностей нет ...

FilimoniC
31-03-2011, 18:16
Только один вопрос какое это отношение имеет к теме форума? У нас тут проект разработки фриварной прошивки к роутерам на чипах Броадком, а не место сбора бывших полковников любителей инструкций :D

Никакого. Ваш Кэп :-)
P.S> За вами выехали
P.P.S> Думаю, интересно, так как тут водится много админов.

TReX
31-03-2011, 18:18
Никакого. Ваш Кэп :-)
P.S> За вами выехали
P.P.S> Думаю, интересно, так как тут водится много админов.

Многие админы и пивом интересуются, так что, теперь и его здесь будем обсуждать?

tempik
31-03-2011, 18:25
Многие админы и пивом интересуются, так что, теперь и его здесь будем обсуждать?
Не надо передергивать ... Админы также и девушками интересуются, но здесь не обсуждают .... Данная проблема довольно близко проходит по тематике как форума, так и контингента на нем ...

tempik
31-03-2011, 19:13
... но запрещено использовать ее в каких-либо целях. Например, это не может быть доказательством в деле возмещения ущерба при "сливе" информации
Доказательством в "деле возмещения ущерба" нет, а увольнение за разглашение корпоративной тайны ДА (и не один суд не оправдает)! И куда такого/такую потом примут??? А на счет скачки торрентов (если контрафакт), так вообще подстава конторы под статью ... Суд будет только рад если ему на блюдечке приведут козла отпущения (при условии что контора сама белая и пушистая)...

TReX
31-03-2011, 19:18
Не надо передергивать ... Админы также и девушками интересуются, но здесь не обсуждают .... Данная проблема довольно близко проходит по тематике как форума, так и контингента на нем ...

IMHO,
Тогда что из вышесказанного реализуется средствами роутеров Asus?

Компании которые могут себе позволить раздутый штат "Отелов защиты информации" ставят оборудование стойками, и заполнеными отнюдь не оборудованием Asus, прекрасный способ "распила" и увеличения собственных штатов, только вот к технике, как эта тема, так и сотрудники таких отделов имеют весьма опосредованное отношение :D

tempik
31-03-2011, 19:29
IMHO,
Тогда что из вышесказанного реализуется средствами роутеров Asus?

Компании которые могут себе позволить раздутый штат "Отелов защиты информации" ставят оборудование стойками, и заполнеными отнюдь не оборудованием Asus, прекрасный способ "распила" и увеличения собственных штатов, только вот к технике, как эта тема, так и сотрудники таких отделов имеют весьма опосредованное отношение :D
Одним из симптомов использования сотрудниками торрентов/ютубов/онлайнтв резкое увеличение трафика на отдельно взятую машину. Это легко поручить Асусу отслеживать и сообщать админу ... Если включен UPNP то мониторинг проброшенных портов (какие куда) тоже можно поручить Асусу ... Запрет определенных сайтов/адресов вообще ШТАТНО... Хранилище скринов с компомпов тоже штатно (если диск подключен ... Прокси на 3-5 компов тоже более-менее прокатит ... Было бы желание, а как применить придумаем....
З.Ы. Я же не утверждаю что он сможет заменит IDS или системы анализа трафика ... Просто и для него в маленькой конторе найдется работа при наличии фантазии и знаний у админа...