Nettisivujen suodatus ongelma

[miai]

Hei...

Johto tuli siihen päätökseen, että alamme rajoittamaan työntekijöitten netin käyttöä.
Palvelin alustaksi valittiin Ubuntu server.

En ole enne käyttänyt mitään Linux Serveriä, joten olen peukalo keskellä kämmentä.

Onnistuin ihmeen kaupalla rakentamaan tuosta koneesta palomuurin, joka osaa suodattaa läpimenevää verkkoliikennettä.

Siinä on olemassa valitettavasti yksi pieni madonreikä, johon tarvitsisin viisaammilta vihjettä / ohjetta reiän paikkaamiseen.

Ongelma:
Jos ja kun käyttäjä muuttaa selaimen (esim.Firefox) verkko asetuksia ja ottaa käyttöön välityspalvelimen.
Käyttäjä pääsee hetkessä tuon palomuurin läpi "kielletylle" sivulle?
Miten?
Onko olemassa tapaa tukkia tämä madonreikä?

Tämä meidän palomuuri on kytketty siten että koko talon netti liikenteen on mentävä sen läpi, enne kun se päätyy nettiin. Se on läpinäkyvä palomuuri siellä liikenteen välissä.

Onko jollakin hyvää vihjettä / ohjetta tuon ongelman korjaamiseen?

[Daneli]

Mikä kriminaalilaitos teillä siellä on, hieman outoa ettei voida luottaa työntekijöihin vaikka heidät on voitu palkata. Vai onko palkaamisen yhtenä syynä ollut työntekijän epäluotettavuus.  Onko työpöytäkoneissa käytössä windowsit ? Voisiko ongelmaa ratkaista työpöytä koneilla ? Tietty jos joku haluaa väkisin päästä kieletyille sivuille, kyllä keinot keksitään, mutta oikeasti kuka viitsii nähdä niin paljon vaivaa ?   En ole mikään serveri asiantuntija mutta työpöytäkoneilla kättäjät saa kurii linuxissa danguardilla http://dansguardian.org/.  Mutta varmasti joku täällä tietää vastauksen ja paremman sellaisen. 

Tässä tuolta danguardin sivulta laitattua:"If you are running Microsoft Windows then this software is not for you; it is for running on servers. Of course you can run it on a server and filter Windows clients through it but it will not run on Windows itself. " Eli selvästikkin se toimisi myös serverillä.

[miai]

Kiitos..

Tuohon täytyy tutustua.

Konekanta on laaja XP, Vista, 7 ja MAC OS X.
Työasemia melkein 800.

Helpottaisi meidän hommaa, jos se olisi yhdellä koneella ja sillä saisi suodatettua koko verkkoliikennettä.

Virallista päätöstä tuon suodatuksen pysyvään käyttöön ei ole vielä päätetty.
Tarkoitus olisi lähinnä vähentää ylimääräistä liikennettä. Verkko on jo nyt 96% käytössä.

[Pertti.N]

Ei tossa paljon palomuurit auta jos käyttäjä menee proxy-palvelin sivustoille ja jatkaa matkaansa sieltä anonyymi ip:llä.
Tämmöinen käsitys minullla on, mutta voin toki olla väärässäkin.

[darkdog]

Kovin yksityiskohtaisia ohjeita en osaa taikka edes jaksa antaa, mutta näin ideatasolla toimiva ratkaisu voisi olla seuraavanlainen:

1. Työasemille määrätään käytettäväksi yrityksen oma proxy (esim. squid sillä palomuurikoneella)
2. Proxypalvelimelle määritetään halutut rajoitukset. (Aika/sivusto/konekohtaiset säännöt)
3. Palomuurikoneella estetään työasemien liikenne suoraan internettiin ja sallitaan liikenne ainoastaan tuon proxyn läpi. (iptables säännöillä)

Nyt mikäli työntekijä säätelee itse selaimensa proxy-asetuksia, ei liikenne nettiin yksinkertaisesti toimi. Proxyä käyttämällä pääsee vain sallituille sivustoille sallittuun aikaan sallituilta koneilta.

Uskoisin että kun squidin ohjeita alat etsimään, niin löydät myös tarvittavat säännöt iptables-palomuurille.

Riippuen hieman yrityksen muusta tietoturvasta, tuo varmasti tiputtaa Pentti Peruskäyttäjän ylimääräiset surffailut, mutta osaava kaveri taas keksii tuostakin ohituskeinot.

[miai]

Minun tietääkseni välityspalvelimen (Proxy) toimii näin, tosin voin olla väärässä.

Kun selaimessa / koneessa otetaan välityspalvelin käyttöön, silloinhan kaikki liikenne ohjataan sen koneen kautta, eli datapaketin kohde on tuon Proxyn oma IP.
Proxy ohjaa paketin eteenpäin oikean palvelimen IP-osotteeseen, eli muuttaen paketin kohde tiedot oikeaksi.
Mutta mistä tämä Proxy osaa ohjataan paketin oikeaan paikkaan?
Jossakin sen oikean kohteen tiedot on oltava datapaketissa?

Olisiko jollakin enemmän tietoa asiasta?