Re: анонимайзе ры и выход в инет - есть в ыход?
13:57 Tue 21 Apr, Sapytsky Ilya wrote: я сюда написАл сюда от того, что мне надоело тратить час в день на эту фигню... А иного способа просто не существует. То есть, можно, конечно, несколько автоматизировать процесс. Но это бесполезно в случае умных людей, которым _хочется_ или _необходимо_ 21 апреля 2009 г. 13:10 пользователь Игорь Чумак i.chu...@generali.garant.ua написал: Sapytsky Ilya пишет: Добрый день! Есть ли где в инете список анонимных прокси и анонимайзеров? Расказываю ситуацию: есть контора, в которой доступ к вебу через прокси. Банерорезку использую squirm и есть немалый файл с запретами. Появились умные люди, которые обходят запрет и ходят везде. есть ли где пополняемый список анонимайзеров, ну порносайтов, банеров для запретов? Административные меры есть, но пока применять их не охота, ибо пока не очень достают... Спасибо! google вам поможет (если умные люди находят анонимайзеры - у вас тоже получится ;)) +анализатор логов вашего прокси. час в день на анализ кто куда ходил не по правилам - и через месяц эта борьба надоест либо пользователям, либо вам ;)) -- -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- Murat D. Kadirov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: анонимайзе ры и выход в инет - есть в ыход?
14:15 Tue 21 Apr, Игорь Чумак wrote: Peter Pentchev пишет: On Tue, Apr 21, 2009 at 01:57:30PM +0400, Sapytsky Ilya wrote: я сюда написАл сюда от того, что мне надоело тратить час в день на эту фигню... Что бы не делал, не остановишь достаточно умных людей, у которых есть внешний сервак и которые знают как поставить stunnel + dante. Порт 443 не заблокируешь, так stunnel и на порте 443 может работать как front-end для dante. Такие люди не будут отсиживать 40 часов в неделю на работе за халявным интернетом. Да ну бросьте, может они просто _пересиживают_ :) ..да мало ли. -- -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- Murat D. Kadirov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: анонимайзе ры и выход в инет - есть в ыход?
21:37 Tue 21 Apr, Alexander GQ Gerasiov wrote: Tue, 21 Apr 2009 21:11:26 +0400 Иван Лох l...@1917.com wrote: On Tue, Apr 21, 2009 at 08:15:16PM +0400, Alexander GQ Gerasiov wrote: Tue, 21 Apr 2009 13:50:30 +0300 Peter Pentchev r...@ringlet.net wrote: On Tue, Apr 21, 2009 at 01:57:30PM +0400, Sapytsky Ilya wrote: я сюда написАл сюда от того, что мне надоело тратить час в день на эту фигню... Что бы не делал, не остановишь достаточно умных людей, у которых есть внешний сервак и которые знают как поставить stunnel + dante. Порт 443 не заблокируешь, так stunnel и на порте 443 может работать как front-end для dante. Порт 443 можно терминировать на локальный прокси с автогенерируемым сертификатом, подписанным CA, стоящим на всех машинах в офисе. Гемморойно, но технически вполне реализуемо. Более того, кто-то из вендоров такую железку делал. То ли Cisco, то ли Juniper. The monkey in the middle? В dsniff какая-то приблуда была... Там это на более примитивном уровне, насколько я могу судить. Он всегда представляется заданным сертификатом. А можно сделать красивее: Да дофига этих методов обхода, через днс запросы, к примеру, мало ли. Суть в том, что нереально заблокировать всё и вся, чего желает топикстартер, от человека даже просто со знаниями сетевых технологий ниже среднего. Когда к нам приходит коннект, мы смотрим, куда он направлен (до ната/редиректа), подключаемся к удаленному узлу, получаем с него сертификат, выдираем оттуда subject, вставляем в свой сертификат-заготовку, подписываем его локальным CA, после чего заворачиваем TCP сессию клиента на наш локальный прокси с заданным сертификатом. Клиент ни о чем не догадывается. Можно еще локальный CA назвать VeryVerySign. Для правдоподобности. Естественно, что всё это прокатывает только с подконтрольной сетью, где мы можем внедрить свои сертификаты. У остальных пользователей будет выскакивать Unknown CA. Мм.. это вроде последняя демонстрация нападения на сертификаты не помню кто демонитрировал на какой-то конфе по безопасносте с месяц тому назад, не? -- Murat D. Kadirov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
