Firewall nascosto
Sam
che mi è stata fatta al fine di capire se ci sono strumenti che
permettono di metterla in pratica.
Si tratta di mettere un filtro alla navigazione in internet non
autorizzata senza che si veda che c'è il filtro.
Il perché del filtro nascosto è dovuto al fatto che $DittaPiccola ha
acquisito $DittaMedia, all'interno di $DittaMedia ogni uno faceva quello
che voleva, quindi il Boss di $DittaPiccola sta cercando di mettere
ordine. Purtroppo tra quelli da mettere in riga ci sono alcuni
contabili/consultenti/tipi strani da tenersi buoni, almeno per un po'.
A complicare le cose ci sta l'ex sysadmi... formattatore di pc in
combutta con i tipi di cui sopra. Teoricamente potrebbe fare una
circolare con la quale dice che blocca l'accesso ad internet ecc. in
pratica per altri motivi al momento è meglio stare calmi, solo che
questi passano parecchie ore a cazzeggiare.
L'idea del boss sarebbe quella di mettere un firewall che con cadenza
casuale, rallenta/disturba la navigazione di taluni pc su siti che non
servono ai fini lavorativi. Conoscete qualche programma che permetta di
"disturbare" delle connessioni?
Per ovviare al sysadmin (che stanno progressivamente dedicando ad altre
attività in quanto sa solo reinstallare win, configurazione posta,
spegnere e riaccendere il router quando c'è qualche problema) che ogni
tanto va a mettere il naso in sala macchine e si accorgerebbe del
firewall, mi chiedevano di imboscarlo. L'unica cosa che mi è venuta in
mente è di provare a fare qualcosa con dell'arp poisoning in modo che il
traffico prima di passare per il default gw passi per il firewall.
A me pare un gran accrocchio però visto che il cliente è il cliente
volevo almeno capire se c'è qualche programma che possa fare da
filtro/disturbatore.
Jey
> Si tratta di mettere un filtro alla navigazione in internet non
> autorizzata senza che si veda che c'è il filtro.
Per prima cosa vanno sistemati i "pezzi di carta" perche' lo statuto dei
lavoratori riporta dei diritti che il datore di lavoro NON puo' e NON
DEVE ignorare
> Il perché del filtro nascosto è dovuto al fatto che $DittaPiccola ha
> acquisito $DittaMedia, all'interno di $DittaMedia ogni uno faceva quello
> che voleva, quindi il Boss di $DittaPiccola sta cercando di mettere
> ordine.
Deve rifare il DPsS, prevedendo appunto che ci sia questo filtro e deve
farlo sottoscrivere a tutti i propri dipendenti che hanno il diritto di
essere informati ed il dovere di fare la propria parte nella protezione
dell'infrastruttura telematica aziendale.
> Purtroppo tra quelli da mettere in riga ci sono alcuni
> contabili/consultenti/tipi strani da tenersi buoni, almeno per un po'.
Va analizzata la situazione di ciascuno, capendo anche che tipo di
contratto/incarico hanno e come sono gli accordi precedenti.
> Teoricamente potrebbe fare una
> circolare con la quale dice che blocca l'accesso ad internet ecc.
Non e' cosi' immediato e sicuramente non basta una circolare.
> L'idea del boss sarebbe quella di mettere un firewall che con cadenza
> casuale, rallenta/disturba la navigazione di taluni pc su siti che non
> servono ai fini lavorativi.
Quello che sicuramente e' nei suoi diritti e' mettere un QoS per
garantire che le risorse necessarie a fini lavorativi abbiamo una
precedenza decisamente piu' alta rispetto al cazzeggio (tranne nell'ora
di pausa pranzo in cui questo diritto del datore di lavoro, secondo
molte interpretazioni, viene meno).
> A me pare un gran accrocchio però visto che il cliente è il cliente
> volevo almeno capire se c'è qualche programma che possa fare da
> filtro/disturbatore.
Un breve aneddoto su una azienda di medie dimensioni (80 dipendenti,
circa 120-130 tra consulenti e collaboratori): hanno messo un filtro su
facebook nelle ore lavorative (dalle 9 alle 13 e dalle 14 alle 18) per
una delle 4 sedi ed il personale, dopo lo scontento iniziale, si e'
adeguato facendo registrare un aumento della produttivita' in linea con
le altre sedi (in cui non c'era filtro). Dopo circa un anno hanno
rimosso il filtro e si sono accorti che la produttivita' saliva molto
piu' velocemente rispetto alle altre sedi. Dopo diverse altre analisi,
il risultato finale e' stato che l'assenza di facebook sul luogo di
lavoro aveva educato il personale ad un uso accorto del mezzo facendo
impennare la produttivita'.
Il mio consiglio e' di strutturare meglio il cazzeggio (con dei corsi di
formazione interna, di time management, appositamente studiati) invece
che cercare di impedirlo a forza perche' l'azienda potrebbe trarne
maggiori benefici.
Jey
--
Non prendere la vita troppo sul serio... non ne uscirai mai vivo
http://www.joram.it/servizi/consulente.htm
THe_ZiPMaN
> A me pare un gran accrocchio però visto che il cliente è il cliente
> volevo almeno capire se c'è qualche programma che possa fare da
> filtro/disturbatore.
Lascio perdere tutto il discorso filosofico e vado al tecnico.
Se non puoi toccare nulla sulla rete allora punterei sulla suite
dsniff... urlsnarf per vedere dove vanno, tcpkill a caso per rovinargli
le sessioni di navigazione, tcpnice per rallentare le loro connessioni
Ovviamente però l'ottimo sarebbe mettere il firewall inline in modalità
transparent, nel qual caso iptables, tc e compagnia cantante sarebbero
di per sè sufficienti.
Se non vuoi dare nell'occhio mettendo l'apparato fisicamente tra la rete
ed il firewall, e hai uno switch managed, puoi semplicemente creare una
vlan separata su cui attestare il firewall, installare il tuo scatolotto
collegandolo su una singola porta su cui porti la VLAN della rete
untagged e la nuova VLAN del firewall tagged. Poi configuri un bridge
tra le due vlan e usi iptables (eventualmente anche ebtables) per
giocare con le tue cavie.
In questo modo dovresti passare inosservato perché:
- usi un solo cavo di rete per il nuovo arrivato che puoi spacciare come
un syslog server per la legge sugli amministratori di sistema
- non sposti fisicamente la connessione del firewall quindi se non sono
un pelo sgamati non ci arrivano a pensare ad un acrocchio così
- non impatti più di tanto sull'esistente perché non cambi nessuna
configurazione sul firewall o sulla rete; se p.es. andasse in tilt il
transparent firewall puoi sempre dire che s'è bruciata la porta sullo
switch e spostando il firewall su un'altra porta dello switch tutto
funziona perfettamente
- non facendo routing eviti anche di essere rilevato con un traceroute
per via del TTL
- non hai bisogno di fare arp poisoning che non è mai bello su una rete.
--
Flavio Visentin
Scientists have finally discovered what's wrong with the female brain:
On the left side, there is nothing right, and on the right side, there
is nothing left.
NicoKid
> Sam <z.sam-...@libero.it> wrote:
>
>> Si tratta di mettere un filtro alla navigazione in internet non
>> autorizzata senza che si veda che c'è il filtro.
>
> Per prima cosa vanno sistemati i "pezzi di carta" perche' lo statuto dei
> lavoratori riporta dei diritti che il datore di lavoro NON puo' e NON
> DEVE ignorare
<FLAME>
I pezzi di carta non servono. Nessuno è tenuto a dire ad alcuno cosa blocca
o rallenta. L'unico limite è non associare un log ad un dipendente, ovvero
non puoi dire che tizio va su facebook. Però puoi dire che qualcuno di
ignoto lo fa.
> Deve rifare il DPsS, prevedendo appunto che ci sia questo filtro e deve
> farlo sottoscrivere a tutti i propri dipendenti che hanno il diritto di
> essere informati ed il dovere di fare la propria parte nella protezione
> dell'infrastruttura telematica aziendale.
Si come no. Tutte le volte che attacchi un cavo di rete devi comunicarlo al
mondo ???
>> Purtroppo tra quelli da mettere in riga ci sono alcuni
>> contabili/consultenti/tipi strani da tenersi buoni, almeno per un po'.
>
> Va analizzata la situazione di ciascuno, capendo anche che tipo di
> contratto/incarico hanno e come sono gli accordi precedenti.
Qui potrei essere d'accordo. Potrebbero avere nel contratto una qualche
autorizzazione a perdere tempo su internet. Non mi stupirei visto che "ditta
media" è stata comprata da "ditta piccola"
>> Teoricamente potrebbe fare una
>> circolare con la quale dice che blocca l'accesso ad internet ecc.
>
> Non e' cosi' immediato e sicuramente non basta una circolare.
Infatti non occorre nemmeno quella.
>> L'idea del boss sarebbe quella di mettere un firewall che con cadenza
>> casuale, rallenta/disturba la navigazione di taluni pc su siti che non
>> servono ai fini lavorativi.
>
> Quello che sicuramente e' nei suoi diritti e' mettere un QoS per
> garantire che le risorse necessarie a fini lavorativi abbiamo una
> precedenza decisamente piu' alta rispetto al cazzeggio (tranne nell'ora
> di pausa pranzo in cui questo diritto del datore di lavoro, secondo
> molte interpretazioni, viene meno).
Passi che l'art.1 della Costituzione ormai è interpretato come "l'Italia è
fondata sui POSTI di lavoro", ma di certo un'azienda non è obbligata a
lasciare usare le proprie attrezzature per giocare su Internet. Beh, sempre
salvo il famoso contratto di lavoro di cui sopra :)
> Il mio consiglio e' di strutturare meglio il cazzeggio (con dei corsi di
> formazione interna, di time management, appositamente studiati)
Adoro i corsi di cazzeggio :)
</FLAME>
Nicola.
--
chi va pian va san e va lontan
Jey
> <FLAME>
Manco troppo, potevi fare di meglio, sai... ;-)
> >> Si tratta di mettere un filtro alla navigazione in internet non
> >> autorizzata senza che si veda che c'è il filtro.
> > Per prima cosa vanno sistemati i "pezzi di carta" perche' lo statuto dei
> > lavoratori riporta dei diritti che il datore di lavoro NON puo' e NON
> > DEVE ignorare
> I pezzi di carta non servono. Nessuno è tenuto a dire ad alcuno cosa blocca
> o rallenta.
Con un consulente come te, molti miei clienti sarebbero finiti in
mutande alla prima vertenza
ValeRyo Saeba
news:1k0dhm7.13oyol51wab48qN%joram....@gmail.com
> NicoKid <nic...@false.com> wrote:
>> I pezzi di carta non servono. Nessuno è tenuto a dire ad alcuno cosa
>> blocca o rallenta.
>
> Con un consulente come te, molti miei clienti sarebbero finiti in
> mutande alla prima vertenza
Ed in base a quale legge il datore di lavoro è tenuto a dire ai
dipendenti quali sono le policy del firewall?
Attenzione, i siti visitati non sono loggati: www.facebook.com è
rediretto a 127.0.0.1 oppure il QoS privilegia il traffico verso
www.google.it:80 e mette in priorità bassa MSN.
--
ValeRyo
XT600 "Katoki Pajama" - http://www.slimmit.com/go.asp?7Y9
GamerTag: http://card.mygamercard.net/IT/nxe/ValeRyo76.png
THe_ZiPMaN
>>>> Si tratta di mettere un filtro alla navigazione in internet non
>>>> autorizzata senza che si veda che c'è il filtro.
>>> Per prima cosa vanno sistemati i "pezzi di carta" perche' lo statuto dei
>>> lavoratori riporta dei diritti che il datore di lavoro NON puo' e NON
>>> DEVE ignorare
>> I pezzi di carta non servono. Nessuno è tenuto a dire ad alcuno cosa blocca
>> o rallenta.
>
> Con un consulente come te, molti miei clienti sarebbero finiti in
> mutande alla prima vertenza
Peccato che lui abbia completamente ragione. NESSUNA legge impedisce di
bloccare o rallentare le connessioni aziendali fintantoché non si
profili un trattamento illecito dei dati personali o il telecontrollo
dei lavoratori.
Ovviamente nel caso illustrato non si profila nessuno dei due, quindi
non ci sarebbe nemmeno stata alcuna vertenza da "vincere".
Crononauta
> Sam<z.sam-...@libero.it> wrote:
>
>> Si tratta di mettere un filtro alla navigazione in internet non
>> autorizzata senza che si veda che c'è il filtro.
>
> Per prima cosa vanno sistemati i "pezzi di carta" perche' lo statuto dei
> lavoratori riporta dei diritti che il datore di lavoro NON puo' e NON
> DEVE ignorare
> Deve rifare il DPsS, prevedendo appunto che ci sia questo filtro e deve
> farlo sottoscrivere a tutti i propri dipendenti
Il documento programmatico sulla sicurezza non è certo una lista di
concessioni che vengono fatte ai dipendenti in termini di utilizzo del
sistema informatico, ma è semplicemente una dichiarazione di
organizzazione interna nella gestione dei dati. In sostanza,
un'attribuzione di responsabilità, a completamento ed esecuzione di
quanto richiesto dal provvedimento del Garante del 27 Nov 2008 e
successive modificazioni.
http://www.garanteprivacy.it/garante/doc.jsp?ID=771307
Il fatto che in un caso come questo tu lo debba rifare è dovuto al fatto
che probabilmente ad oggi - vista la situazione descritta - non c'è un
DPS che definisca chi è responsabile dei server, dei firewall e del
trattamento dei dati, e quindi il "sistemista" attuale, nei fatti, non è
aziendalmente un sistemista. E può quindi legittimamente rifiutarsi di
prendere certe iniziative (anzi, probabilmente *deve* rifiutarsi, poiché
non è altrimenti autorizzato al trattamento dei dati di log, pur
richiesti per legge).
BTW, per completezza, la 675/96 citata è stata superata dalla 81/08,
"testo unico sulla sicurezza": http://www.decretolegge81.it/
> che hanno il diritto di
> essere informati ed il dovere di fare la propria parte nella protezione
> dell'infrastruttura telematica aziendale.
Mah, io su Altalex trovo che:
http://www.altalex.com/index.php?idnot=6819
"la Cassazione ha ribadito che l’utilizzo privato, salvo casi
eccezionali, del telefono aziendale da parte del lavoratore può
costituire causa di licenziamento[12]; sul tema specifico dell’utilizzo
degli strumenti telematici aziendali la giurisprudenza di merito ha
sottolineato come essi siano in mano al lavoratore solo per l’esecuzione
della propria prestazione lavorativa"
Altre sentenze chiariscono in modo inequivocabile che perfino l'e-mail
aziendale non è da ritenersi una "concessione privata", ma uno strumento
dell'azienda in uso al lavoratore:
http://www.civile.it/internet/visual.php?num=38444
al punto che l'accesso alla casella di posta aziendale da parte di altri
dipendenti in assenza del titolare della casella non si configura come
violazione della privacy del lavoratore, se l'accesso è avvenuto per
ragioni lavorative.
Adesso dovresti citarmi i riferimenti normativi che impongono l'azienda
a informare e "chiedere il permesso" ai dipendenti per filtrare
dall'oggi al domani la navigazione internet tramite proxy o firewall che
loggano solo ed esclusivamente nei limiti imposti dalla legge. Io
francamente non li conosco, e se ci sono mi interesserebbe sapere quali
siano.
> Un breve aneddoto su una azienda di medie dimensioni (80 dipendenti,
> circa 120-130 tra consulenti e collaboratori): hanno messo un filtro su
> facebook nelle ore lavorative (dalle 9 alle 13 e dalle 14 alle 18) per
> una delle 4 sedi ed il personale, dopo lo scontento iniziale, si e'
> adeguato facendo registrare un aumento della produttivita' in linea con
> le altre sedi (in cui non c'era filtro). Dopo circa un anno hanno
> rimosso il filtro e si sono accorti che la produttivita' saliva molto
> piu' velocemente rispetto alle altre sedi. Dopo diverse altre analisi,
> il risultato finale e' stato che l'assenza di facebook sul luogo di
> lavoro aveva educato il personale ad un uso accorto del mezzo facendo
> impennare la produttivita'.
> Il mio consiglio e' di strutturare meglio il cazzeggio (con dei corsi di
> formazione interna, di time management, appositamente studiati) invece
> che cercare di impedirlo a forza perche' l'azienda potrebbe trarne
> maggiori benefici.
E questo è ben diverso dal dire che per filtrare Facebook e la Gazzetta
devi chiedere il permesso ai dipendenti, mi pare.
--
Massimo Bacilieri AKA Crononauta
CtRiX
> L'idea del boss sarebbe quella di mettere un firewall che con cadenza
> casuale, rallenta/disturba la navigazione di taluni pc su siti che non
> servono ai fini lavorativi. Conoscete qualche programma che permetta di
> "disturbare" delle connessioni?
Firewall no.
Io ho un proxy che può fare questo lavoro ma, essendo un proxy, non è
completamente trasparente nel senso che talvolta diventa visibile (quando
ci sono degli errori).
Può però disabilitare il logging per la privacy.
Può però fare lo shaping su singole connessioni o su singole richieste ed
un sacco di altre cosine molto carine da vero bofh.
Esempi:
- limitare la banda degli aggiornamenti di windows per evitare che le
linee si saturino (300 Kb/sec)
if ( string.find(host, "(%a+.microsoft.com)") ) then
nproxy.connection_set_traffic_shaper(conn, 0, 300*1024);
nproxy.request_set_traffic_shaper(conn, 0, 300*1024);
return 0
end
- limitare i video di youtube a 15 Kb al secondo quando superano i 100 Kb
l'uno.
ctype = nproxy.response_get_header(conn, "Content-type");
if ( ctype ) then
if ( ctype == "video/x-flv" ) then
nproxy.request_set_traffic_shaper(conn, 100*1024, 15*1024);
end
if ( ctype == "application/x-shockwave-flash" ) then
nproxy.request_set_traffic_shaper(conn, 100*1024, 15*1024);
end
end
- limitare a 512 bytes al secondo ogni connessione verso facebook e fare
in modo che non duri più di 15 secondi (che sono 7 Kb, ovvero ZERO) con 2
secondi di timeout sui dati.
if (
string.find(host, "(%a+.facebook.com)")
or string.find(host, "(channel(%d+)%.facebook.com)")
or string.find(host, "(%a+.fbcdn.net)")
) then
nproxy.connection_set_traffic_shaper(conn, 0, 512);
nproxy.connection_set_inactivity_timeout(conn, 2);
nproxy.connection_set_max_duration(conn, 15);
return 0
end
- Bloccare le chat di facebook ...
if ( string.find(host, "(%a+.facebook.com)") ) then
if ( string.find(url, "chat") ) then
if (
string.find(url, "send%.php")
or string.find(url, "typ%.php")
) then
return 500
end
end
end
- Segare l'accesso a qualsiasi sito, facebook in particolare, piallando i
cookies del client prima di inviare la richiesta.
if ( string.find(host, "(%a+.facebook.com)") ) then
nproxy.request_del_header(conn, "Cookie");
end
----------------------------------------------------------
Ovviamente quanto sopra è a puro titolo di esempio.
Il proxy è scritto in C e si programma in LUA.
E non è opensource (almeno per ora).
Ovviamente è stato scritto proprio perchè non esisteva nulla di
flessibile per fare il bastardo come piaceva a me.
E' utile anche per cavare via i banners, quindi trova utilizzo anche
oltre il BOFH.
Per info -> email
Jey
> >> I pezzi di carta non servono. Nessuno è tenuto a dire ad alcuno cosa blocca
> >> o rallenta.
> > Con un consulente come te, molti miei clienti sarebbero finiti in
> > mutande alla prima vertenza
> Peccato che lui abbia completamente ragione. NESSUNA legge impedisce di
> bloccare o rallentare le connessioni aziendali fintantoché non si
> profili un trattamento illecito dei dati personali o il telecontrollo
> dei lavoratori.
Qui fai confusione tra bloccare, rallentare e limitare che sono (a norma
di legge) 3 cose diverse.
Bloccare le connessioni indiscriminatamente e' una cosa, rallentarle in
certi orari e' un'altra e limitarle per dar priorita' ad altro traffico
e' un'altra ancora. La limitazione del traffico (QoS) e' l'unica che il
datore di lavoro puo' attuare autonomamente con i giusti presupposti
organizzativi (DPsS) senza dover chiedere il parere al sindacato
relativo.
Jey
> >> I pezzi di carta non servono. Nessuno č tenuto a dire ad alcuno cosa
> >> blocca o rallenta.
> > Con un consulente come te, molti miei clienti sarebbero finiti in
> > mutande alla prima vertenza
> Ed in base a quale legge il datore di lavoro č tenuto a dire ai
> dipendenti quali sono le policy del firewall?
In base all'articolo 4 della legge 20 maggio 1970, n. 300 (e successive
integrazioni e relative delibere dell'ispettorato del lavoro)
> Attenzione, i siti visitati non sono loggati: www.facebook.com č
> rediretto a 127.0.0.1 oppure il QoS privilegia il traffico verso
> www.google.it:80 e mette in prioritą bassa MSN.
Piu' o meno e' una cosa del genere, molto piu' dettagliata, che riporta
anche le finalita' per le quali questi limiti sono imposti, le misure
adottate, la manutenzione sulle apparecchiature svolta, ecc...
Jey
> >> Si tratta di mettere un filtro alla navigazione in internet non
> >> autorizzata senza che si veda che c'č il filtro.
> > Per prima cosa vanno sistemati i "pezzi di carta" perche' lo statuto dei
> > lavoratori riporta dei diritti che il datore di lavoro NON puo' e NON
> > DEVE ignorare
> [...]
> > Deve rifare il DPsS, prevedendo appunto che ci sia questo filtro e deve
> > farlo sottoscrivere a tutti i propri dipendenti
> Il documento programmatico sulla sicurezza non č certo una lista di
> concessioni che vengono fatte ai dipendenti in termini di utilizzo del
> sistema informatico, ma č semplicemente una dichiarazione di
> organizzazione interna nella gestione dei dati.
La presentazione di una organizzazione interna che i dipendenti sono
tenuti a conoscere per cui diventa il mezzo piu' efficace per
organizzare al meglio la struttura dei processi dell'azienda.
> Il fatto che in un caso come questo tu lo debba rifare č dovuto al fatto
> che probabilmente ad oggi - vista la situazione descritta - non c'č un
> DPS che definisca chi č responsabile dei server, dei firewall e del
> trattamento dei dati, e quindi il "sistemista" attuale, nei fatti, non č
> aziendalmente un sistemista.
Non ho idea se debbano rifarlo o correggerlo o altro, saranno anche
affari loro, ma se vogliono porre dei limiti e' il DPsS lo strumento
piu' adeguato per mettere ordine, anche a fronte della legge 231/2001 e
relativi obblighi.
> BTW, per completezza, la 675/96 citata č stata superata dalla 81/08,
> "testo unico sulla sicurezza": http://www.decretolegge81.it/
BTW, per completezza la 675/96 l'hai citata SOLO TU (a sproposito) e non
e' stata abrogata dalla 81/08 ma dalla 196/2003.
La 81/2008 ha sostituito la 626/1994 e non c'entra con il discorso. Mi
sa che hai le idee un po' confuse.
> Altre sentenze chiariscono in modo inequivocabile che perfino l'e-mail
> aziendale non č da ritenersi una "concessione privata", ma uno strumento
> dell'azienda in uso al lavoratore:
Questo non e' in contraddizione con quanto esposto sopra. L'email, come
il telefono o l'abbonamento Sky o la fotocopiatrice non possono essere
usati per cose private dai lavoratori.
> Adesso dovresti citarmi i riferimenti normativi che impongono l'azienda
> a informare e "chiedere il permesso" ai dipendenti per filtrare
> dall'oggi al domani la navigazione internet tramite proxy o firewall che
> loggano solo ed esclusivamente nei limiti imposti dalla legge. Io
> francamente non li conosco, e se ci sono mi interesserebbe sapere quali
> siano.
Sono quelli che ti ho citato sopra: principalmente lo statuto dei
lavoratori e poi i CCNL che sono vincolanti tanto per i dipendenti che
per i datori di lavoro
> > Il mio consiglio e' di strutturare meglio il cazzeggio (con dei corsi di
> > formazione interna, di time management, appositamente studiati) invece
> > che cercare di impedirlo a forza perche' l'azienda potrebbe trarne
> > maggiori benefici.
> E questo č ben diverso dal dire che per filtrare Facebook e la Gazzetta
> devi chiedere il permesso ai dipendenti, mi pare.
Il rapporto con i dipendenti deve essere onesto e rispettoso delle leggi
in materia, su questo non ci piove, e per questo io, a chi mi chiede
come e' meglio comportarsi di fronte ad un uso eccessivo di internet non
lavorativa, consiglio di seguire una strada diversa ma la legge
sull'argomento rimane ugualmente valida, indipendentemente dal
totalitarismo del capo o del sysadmin.
Lo dico per esperienza, non perche' abbia piacere che sia in un modo o
nell'altro, e lo dico perche' piu' di una vertenza ho visto perdere da
datori di lavoro troppo "rigidi" o sysadmin troppo "zelanti"
Andrea B.
>> Peccato che lui abbia completamente ragione. NESSUNA legge impedisce di
>> bloccare o rallentare le connessioni aziendali fintantoché non si
>> profili un trattamento illecito dei dati personali o il telecontrollo
>> dei lavoratori.
>
> Qui fai confusione tra bloccare, rallentare e limitare che sono (a norma
> di legge) 3 cose diverse.
> Bloccare le connessioni indiscriminatamente e' una cosa, rallentarle in
> certi orari e' un'altra e limitarle per dar priorita' ad altro traffico
> e' un'altra ancora. La limitazione del traffico (QoS) e' l'unica che il
> datore di lavoro puo' attuare autonomamente con i giusti presupposti
> organizzativi (DPsS) senza dover chiedere il parere al sindacato
> relativo.
Riferimenti normativi plz?
ValeRyo Saeba
>> Ed in base a quale legge il datore di lavoro è tenuto a dire ai
>> dipendenti quali sono le policy del firewall?
>
> In base all'articolo 4 della legge 20 maggio 1970, n. 300 (e
> successive integrazioni e relative delibere dell'ispettorato del
> lavoro)
Quello è relativo al controllo a distanza, qui non si vuole (e non si
può, con i mezzi usati) controllare nulla ma solo regolamentare
automaticamente l'accesso a determinate risorse.
Se fosse come dici anche un router che privilegia il traffico
VoIP rispetto al P2P dovrebbe essere dettagliato ai dipendenti.
> Piu' o meno e' una cosa del genere, molto piu' dettagliata, che
> riporta anche le finalita' per le quali questi limiti sono imposti,
> le misure adottate, la manutenzione sulle apparecchiature svolta,
> ecc...
IMHO confondi il DPS con il divieto di controllo a distanza degli
impiegati.
Stefano Zamboni
>
> Qui fai confusione tra bloccare, rallentare e limitare che sono (a norma
> di legge) 3 cose diverse.
> Bloccare le connessioni indiscriminatamente e' una cosa, rallentarle in
> certi orari e' un'altra e limitarle per dar priorita' ad altro traffico
> e' un'altra ancora. La limitazione del traffico (QoS) e' l'unica che il
> datore di lavoro puo' attuare autonomamente con i giusti presupposti
> organizzativi (DPsS) senza dover chiedere il parere al sindacato
> relativo.
non penso proprio..
il datore di lavoro può decidere a prescindere cosa e dove far navigare i
dipendenti senza rendere loro conto
il datore non può controllare DOVE navigano i dipendenti *a posteriori*,
ma può certamente decidere di bloccare i siti non professionali *a
prescindere* dalle volontà dei lavoratori e dei dipendenti
S.
alef-0
> Sam<z.sam-...@libero.it> wrote:
>
>> Si tratta di mettere un filtro alla navigazione in internet non
>> autorizzata senza che si veda che c'è il filtro.
>
> Per prima cosa vanno sistemati i "pezzi di carta" perche' lo statuto dei
> lavoratori riporta dei diritti che il datore di lavoro NON puo' e NON
> DEVE ignorare
Vero, ma non mi risulta che tra questi ci sia l'uso di internet.
Anzi, l'uso di siti non afferenti sul lavoro è ancora causa di
licenziamento per giusta causa.
>
>> Il perché del filtro nascosto è dovuto al fatto che $DittaPiccola ha
>> acquisito $DittaMedia, all'interno di $DittaMedia ogni uno faceva quello
>> che voleva, quindi il Boss di $DittaPiccola sta cercando di mettere
>> ordine.
>
> Deve rifare il DPsS,
Il Documento programmatico della sicurezza? Quello riguarda le policy
sul trattamento di dati personali e sensibili. Non ci azzecca un granché
sui miei criteri di accesso a servizi internet.
prevedendo appunto che ci sia questo filtro e deve
> farlo sottoscrivere a tutti i propri dipendenti che hanno il diritto di
> essere informati ed il dovere di fare la propria parte nella protezione
> dell'infrastruttura telematica aziendale.
>
>> Purtroppo tra quelli da mettere in riga ci sono alcuni
>> contabili/consultenti/tipi strani da tenersi buoni, almeno per un po'.
>
> Va analizzata la situazione di ciascuno, capendo anche che tipo di
> contratto/incarico hanno e come sono gli accordi precedenti.
>
>> Teoricamente potrebbe fare una
>> circolare con la quale dice che blocca l'accesso ad internet ecc.
>
>
> Un breve aneddoto su una azienda di medie dimensioni (80 dipendenti,
> circa 120-130 tra consulenti e collaboratori): hanno messo un filtro su
> facebook nelle ore lavorative (dalle 9 alle 13 e dalle 14 alle 18)
E chissà quante comunicazioni hanno fatto ai dipendenti....
Crononauta
joram....@gmail.com (Jey) wrote:
> La presentazione di una organizzazione interna che i dipendenti sono
> tenuti a conoscere per cui diventa il mezzo piu' efficace per
> organizzare al meglio la struttura dei processi dell'azienda.
Che sia il mezzo più efficace non lo discuto, ma non c'entra col caso in
esame.
> > BTW, per completezza, la 675/96 citata è stata superata dalla 81/08,
> > "testo unico sulla sicurezza": http://www.decretolegge81.it/
>
> BTW, per completezza la 675/96 l'hai citata SOLO TU (a sproposito) e non
> e' stata abrogata dalla 81/08 ma dalla 196/2003.
E qui hai ragione, era citata dal Garante la 675/96, nel vortice di numeri
ho letto 626 e m'è venuto di getto il commento che la 626 è stata
sostituita dalla 81. Mea culpa, ma non sposta la questione.
> > Adesso dovresti citarmi i riferimenti normativi che impongono l'azienda
> > a informare e "chiedere il permesso" ai dipendenti per filtrare
> > dall'oggi al domani la navigazione internet tramite proxy o firewall che
> > loggano solo ed esclusivamente nei limiti imposti dalla legge. Io
> > francamente non li conosco, e se ci sono mi interesserebbe sapere quali
> > siano.
>
> Sono quelli che ti ho citato sopra: principalmente lo statuto dei
> lavoratori e poi i CCNL che sono vincolanti tanto per i dipendenti che
> per i datori di lavoro
La 675/96, che se non ho preso un altro abbaglio è questa:
http://www.parlamento.it/parlam/leggi/96675l.htm
parla del trattamento dei dati *personali*, così come la 196/2003 che l'ha
sostituita:
http://www.camera.it/parlam/leggi/deleghe/testi/03196dl.htm
e non vi è nulla di applicabile nella disciplina dell'utilizzo di strumenti
aziendali quali internet da parte dei lavoratori, mediante filtri come
proxy o firewall che operano "a priori" e non effettuano un controllo sul
lavoratore, come già ampiamente stabilito da corposa giurisprudenza.
Non confondere un proxy con un telecontrollo remoto.
Quanto al CCNL, me ne trovi uno dove viene stabilito che il datore di
lavoro *deve* informare i dipendenti quando decide di cambiare le policy di
accesso a strumenti aziendali (quale Internet è)?
Qui la questione è affrontata abbastanza compiutamente:
http://www.pmi.it/leggi-e-norme/articoli/8901/controlli-informatici-sul-dipendente.html
e ti prego di notare che sotto citica sono esclusivamente i metodi di
*controllo* sul lavoratore volti a ricostruirne o determinarne in qualche
maniera comportamenti e attività.
Cito verbatim:
"Uniche consentite, le misure preventive, che limitano alla fonte un uso
improprio dei mezzi informatici. In ambito web si tratta dell'accesso
limitato ad alcune categorie di siti (social network, porno, musica altro)
e la dimensione dei file scaricabili."
> Il rapporto con i dipendenti deve essere onesto e rispettoso delle leggi
> in materia, su questo non ci piove, e per questo io, a chi mi chiede
> come e' meglio comportarsi di fronte ad un uso eccessivo di internet non
> lavorativa, consiglio di seguire una strada diversa ma la legge
> sull'argomento rimane ugualmente valida, indipendentemente dal
> totalitarismo del capo o del sysadmin.
Certamente. Voglio solo farti notare che tutte le normative che hai citato
non escludono l'applicazione - anche indiscriminata - di filtri *a priori*
non volti a controllare o analizzare i comportamenti dei lavoratori ma tesi
esclusivamente a disciplinare l'accesso agli strumenti aziendali.
Poi che potendo sia meglio inseguire principi di rispetto e collaborazione
è pacifico.
--
Massimo Bacilieri AKA Crononauta
Skype: crononauta <massimo....@gmail.com>
Facebook: Massimo Bacilieri
Renaissance
>> Peccato che lui abbia completamente ragione. NESSUNA legge impedisce di
>> bloccare o rallentare le connessioni aziendali fintantoché non si
>> profili un trattamento illecito dei dati personali o il telecontrollo
>> dei lavoratori.
> Qui fai confusione tra bloccare, rallentare e limitare che sono (a norma
> di legge) 3 cose diverse.
> Bloccare le connessioni indiscriminatamente e' una cosa, rallentarle in
> certi orari e' un'altra e limitarle per dar priorita' ad altro traffico
> e' un'altra ancora. La limitazione del traffico (QoS) e' l'unica che il
> datore di lavoro puo' attuare autonomamente con i giusti presupposti
> organizzativi (DPsS) senza dover chiedere il parere al sindacato
> relativo.
http://www.youtube.com/watch?v=MvyYmwvGmmA
bye G.L.
--
Da i.d.c.tutela:
P.S. Quando ci sarà lo switch-off, avrò problemi anche col
monitor del PC? Ho visto che è collegato in modalità analogica.
THe_ZiPMaN
On 04/27/2011 03:14 PM, Jey wrote:
>>>> I pezzi di carta non servono. Nessuno è tenuto a dire ad alcuno cosa blocca
>>>> o rallenta.
>>> Con un consulente come te, molti miei clienti sarebbero finiti in
>>> mutande alla prima vertenza
>> Peccato che lui abbia completamente ragione. NESSUNA legge impedisce di
>> bloccare o rallentare le connessioni aziendali fintantoché non si
>> profili un trattamento illecito dei dati personali o il telecontrollo
>> dei lavoratori.
>
> Qui fai confusione tra bloccare, rallentare e limitare che sono (a norma
> di legge) 3 cose diverse.
A norma di quali leggi?
> Bloccare le connessioni indiscriminatamente e' una cosa, rallentarle in
> certi orari e' un'altra e limitarle per dar priorita' ad altro traffico
> e' un'altra ancora.
Tutte e 3 cose lecite che il datore di lavoro può fare liberamente. Come
detto il limite è dato dal trattamento di dati personali/sensibili ed il
telecontrollo, e nessuna delle 3 attività citate si configura come una
di queste casistiche.
> La limitazione del traffico (QoS) e' l'unica che il
> datore di lavoro puo' attuare autonomamente con i giusti presupposti
> organizzativi (DPsS) senza dover chiedere il parere al sindacato
> relativo.
Ma ci mancherebbe anche... io con la mia rete blocco quel cavolo che mi
pare e tu, lavoratore, zitto e lavora... Se voglio bloccare sul MIO
firewall l'AS32934 lo faccio e NESSUNO può dirmi nulla. E se voglio
droppare un pacchetto ogni 7 verso l'AS13414 o voglio limitare la banda
a 7 bytes per secondo il primo che si azzarda a lamentarsi finisce a
calci in culo a lavare i bagni...
Fintantoché non memorizzo o comunque non guardo la tua navigazione io
sono libero di fare assolutamente quel che mi pare.
x-post it.diritto, it.diritto.internet
f/u it.diritto.internet
--
Flavio Visentin
2006: l'onestà 2007: la storia 2008: la leggenda 2009: il mito epico
2010: l'apoteosi!! 3 TITULI!!! Scudetto, Coppa Italia, Champions League
Far rodere un cretino come ponziopilato è godurioso come 4 TITULI!
NicoKid
> On 26/04/2011 23.28, Jey wrote:
>> Deve rifare il DPsS, prevedendo appunto che ci sia questo filtro e deve
>> farlo sottoscrivere a tutti i propri dipendenti
>
> Il documento programmatico sulla sicurezza non è certo una lista di
> concessioni che vengono fatte ai dipendenti in termini di utilizzo del
> sistema informatico, ma è semplicemente una dichiarazione di
> organizzazione interna nella gestione dei dati.
Ah, ecco mi pareva.
Più precisamente il DPS tratta della sicurezza dei dati e di come viene
garantita all'interno dell'azienda.
Nicola
NicoKid
>> Altre sentenze chiariscono in modo inequivocabile che perfino l'e-mail
>> aziendale non è da ritenersi una "concessione privata", ma uno strumento
>> dell'azienda in uso al lavoratore:
>
> Questo non e' in contraddizione con quanto esposto sopra. L'email, come
> il telefono o l'abbonamento Sky o la fotocopiatrice non possono essere
> usati per cose private dai lavoratori.
A dire il vero io ho un dubbio riguardo l'e-mail: se tu fornisci una casella
di posta di questo tipo:
paolo...@azienda.it
credo che diventi una "roba" privata dove non ci puoi mettere il naso.
Invece se la casella è:
ecco che diventa una "roba" pubblica all'interno dell'azienda dove il
sysadmin può metterci il naso.
Molto IMHO.
> Il rapporto con i dipendenti deve essere onesto e rispettoso delle leggi
> in materia, su questo non ci piove, e per questo io, a chi mi chiede
> come e' meglio comportarsi di fronte ad un uso eccessivo di internet non
> lavorativa, consiglio di seguire una strada diversa ma la legge
> sull'argomento rimane ugualmente valida, indipendentemente dal
> totalitarismo del capo o del sysadmin.
Ops, mi sento un po' Hitler in questo momento :P
Nicola.
Jey
> A dire il vero io ho un dubbio riguardo l'e-mail: se tu fornisci una casella
> di posta di questo tipo:
> paolo...@azienda.it
Sempre dell'azienda rimane, c'e' una sentenza del 2006 che fa da
precedente.
Rispetto a tutto il resto delle risposte che ho letto, rimane pacifico
che al momento abbiamo idee contrastanti sull'argomento ma non ho
trovato una confutazione e rimango della mia idea.
Jey
> http://www.youtube.com/watch?v=MvyYmwvGmmA
Fichissimo! mica me lo ricordavo :-)
Hermooz
> In base all'articolo 4 della legge 20 maggio 1970, n. 300 (e successive
> integrazioni e relative delibere dell'ispettorato del lavoro)
che non giustifica quanto sostieni. Permettere o meno l'uso di
internet ai dipendenti non consente alcuna forma di controllo della
loro attività.
bye!
Hermooz
> Non ho idea se debbano rifarlo o correggerlo o altro, saranno anche
> affari loro, ma se vogliono porre dei limiti e' il DPsS lo strumento
> piu' adeguato per mettere ordine, anche a fronte della legge 231/2001 e
> relativi obblighi.
Non sono d'accordo. Il metodo giusto è quello degli ordini di servizio
o delle procedure organizzative interne. Il DPS serve ad altre cose, e
tra l'altro non è neanche detto che ci sia, se l'azienda non gestisce
dati sensibili.
> Questo non e' in contraddizione con quanto esposto sopra. L'email, come
> il telefono o l'abbonamento Sky o la fotocopiatrice non possono essere
> usati per cose private dai lavoratori.
e invece internet per andare su facebook sì? Strana logica ;^)
> > Adesso dovresti citarmi i riferimenti normativi che impongono l'azienda
> > a informare e "chiedere il permesso" ai dipendenti per filtrare
> > dall'oggi al domani la navigazione internet tramite proxy o firewall che
> > loggano solo ed esclusivamente nei limiti imposti dalla legge. Io
> > francamente non li conosco, e se ci sono mi interesserebbe sapere quali
> > siano.
>
> Sono quelli che ti ho citato sopra: principalmente lo statuto dei
> lavoratori e poi i CCNL che sono vincolanti tanto per i dipendenti che
> per i datori di lavoro
Non vedo come tali riferimenti normativi o contrattuali possano
impedire ad un'azienda di chiedere ai propri sistemisti di configurare
l'accesso ad internet alle proprie postazioni di lavoro come se
andasse attraverso un modem a 14K. Anzi, potrebbero mettere DAVVERO un
modem a 14K come unico POS per l'internet dei dipendenti. Sarebbe per
caso illegale, secondo te? Dovrebbero chiedere il "permesso" ai
sindacati per farlo?
bye!
Francesco Potortì
>La limitazione del traffico (QoS) e' l'unica che il
>datore di lavoro puo' attuare autonomamente con i giusti presupposti
>organizzativi (DPsS) senza dover chiedere il parere al sindacato
>relativo.
Per limitazione del traffico si intende normalmente una cosa che con la
qualità del servizio (QoS) c'entra pochino.
Le limitaizoni normalmente attuate consistono nell'uso di firewall, non
c'entrano con la QoS, sono considerate buona e normale pratica della
gestione delle reti, e anche se non sono un legale mi sembrerebbe molto
strano che debbano riguardare il sindacato o in genere essere sottoposte
al parere dei dipendenti.
Jey
> >La limitazione del traffico (QoS) e' l'unica che il
> >datore di lavoro puo' attuare autonomamente con i giusti presupposti
> >organizzativi (DPsS) senza dover chiedere il parere al sindacato
> >relativo.
> Le limitaizoni normalmente attuate consistono nell'uso di firewall, non
> c'entrano con la QoS, sono considerate buona e normale pratica della
> gestione delle reti, e anche se non sono un legale mi sembrerebbe molto
> strano che debbano riguardare il sindacato o in genere essere sottoposte
> al parere dei dipendenti.
Ed infatti e' esattamente quello che ho scritto.
Andrea B.
> Francesco Potortě <p...@potorti.it> wrote:
>
>>> La limitazione del traffico (QoS) e' l'unica che il
>>> datore di lavoro puo' attuare autonomamente con i giusti presupposti
>>> organizzativi (DPsS) senza dover chiedere il parere al sindacato
>>> relativo.
>> Le limitaizoni normalmente attuate consistono nell'uso di firewall, non
>> c'entrano con la QoS, sono considerate buona e normale pratica della
>> gestione delle reti, e anche se non sono un legale mi sembrerebbe molto
>> strano che debbano riguardare il sindacato o in genere essere sottoposte
>> al parere dei dipendenti.
>
> Ed infatti e' esattamente quello che ho scritto.
quotando "La limitazione del traffico (QoS) e' l'unica che il
datore di lavoro puo' attuare autonomamente con i giusti presupposti
organizzativi (DPsS) senza dover chiedere il parere al sindacato
relativo."
E le marmotte incartano la cioccolata
Stefano Zamboni
> Francesco Potortì <p...@potorti.it> wrote:
>
[cut]
>> c'entrano con la QoS, sono considerate buona e normale pratica della
>> gestione delle reti, e anche se non sono un legale mi sembrerebbe molto
>> strano che debbano riguardare il sindacato o in genere essere
>> sottoposte al parere dei dipendenti.
>
> Ed infatti e' esattamente quello che ho scritto.
>
altro caso di sindrome da "sono stato frainteso" vedo..
S.
Sam
A Boss di $DittaPiccola non interessa se un dipendente passa 5 o 10
minuti due volte al giorno su internet. Il problema sono quelli che ci
passano molto più tempo. Non sua intenzione inoltre loggare il traffico
appunto per le implicazioni legali che ne potrebbero derivare.
Grazie cmq a tutti per le risposte.
Sam
> On 04/26/2011 10:43 PM, Sam wrote:
>> A me pare un gran accrocchio però visto che il cliente è il cliente
>> volevo almeno capire se c'è qualche programma che possa fare da
>> filtro/disturbatore.
>
> Lascio perdere tutto il discorso filosofico e vado al tecnico.
>
> Se non puoi toccare nulla sulla rete allora punterei sulla suite
> dsniff... urlsnarf per vedere dove vanno, tcpkill a caso per rovinargli
> le sessioni di navigazione, tcpnice per rallentare le loro connessioni
>
> http://tournasdimitrios1.wordpress.com/2011/02/14/tcpnice-the-linux-bandwidth-conrtoller-on-your-local-network/
>
Interessanti questi strumenti. Ovviamente ad es.: tcpkill lo lancio con
un cron ogni x minuti prendendo delle connessioni a caso.
> Ovviamente però l'ottimo sarebbe mettere il firewall inline in modalità
> transparent, nel qual caso iptables, tc e compagnia cantante sarebbero
> di per sè sufficienti.
Li l'ho già fatto una volta. Spesso e volentieri avevano il ping in lan
verso il default gw a 700-800 ms. Sono bastati 10 minuti di iptstate per
capire che c'erano virus che tentavano di stabilire connessioni a
manetta su porta 443 e qualcuno che scaricava con emule a pieno regime.
Chissà come, sistemati i due problemi di cui sopra, internet attualmente
funziona a meraviglia. Non vi dico il numero di telefonate che
continuavano a fare al wisp in quanto internet non andava. La
spiegazione che il sysadmin dava era che il ponte radio non funzionava a
causa del maltempo. Mentre lo stavo facendo mettendo il transparent
firewall/sniffer non mi arriva il sysadmin nel sottoscala/sala server
(si era bloccato non ricordo cosa), si mette a controllare cosa stavo
facendo qua e la. Alla fine l'ho liquidato con un problema di virus da
trovare.
> Se non vuoi dare nell'occhio mettendo l'apparato fisicamente tra la rete
> ed il firewall, e hai uno switch managed, puoi semplicemente creare una
> vlan separata su cui attestare il firewall, installare il tuo scatolotto
> collegandolo su una singola porta su cui porti la VLAN della rete
> untagged e la nuova VLAN del firewall tagged. Poi configuri un bridge
> tra le due vlan e usi iptables (eventualmente anche ebtables) per
> giocare con le tue cavie.
>
Alla questione delle vlan non ci avevo pensato. Hanno uno degli switch
che supporta le vlan.
> In questo modo dovresti passare inosservato perché:
> - usi un solo cavo di rete per il nuovo arrivato che puoi spacciare come
> un syslog server per la legge sugli amministratori di sistema
Una vm si può nascondere tranquillamente su un qualche pc compiacente
:-) anche senza doverla ospitare fisicamente nel sottoscala.
> - non sposti fisicamente la connessione del firewall quindi se non sono
> un pelo sgamati non ci arrivano a pensare ad un acrocchio così
Già.
> - non impatti più di tanto sull'esistente perché non cambi nessuna
> configurazione sul firewall o sulla rete; se p.es. andasse in tilt il
> transparent firewall puoi sempre dire che s'è bruciata la porta sullo
> switch e spostando il firewall su un'altra porta dello switch tutto
> funziona perfettamente
> - non facendo routing eviti anche di essere rilevato con un traceroute
> per via del TTL
> - non hai bisogno di fare arp poisoning che non è mai bello su una rete.
>
Già.
Grazie dei consigli.
Sam
> Per info -> email
>
Interessante anche la tua soluzione. Vedo come evolve qui la situazione
ed eventualmente ti scrivo.
Grazie.
Sam
> Sam<z.sam-...@libero.it> wrote:
>
>> Per ovviare al sysadmin (che stanno progressivamente dedicando ad altre
>> attività in quanto sa solo reinstallare win, configurazione posta,
>> spegnere e riaccendere il router quando c'è qualche problema)
>
> [snip del resto]
>
> Viviamo veramente ai confini della realtà.
>
A parte storie varie tipo wifi completamente open, sempre qui avevano
nel 2010 installato come antivirus norton 2002 ovviamente non su tutti i
pc in quanto avevano esaurito le licenze. La rete interna era una
coltura virale. Non c'era un pc che non fosse stato infetto.
Il server windows con tutti i documenti non viene backuppato (ha il raid)...
Le mail sono solo sui singoli client non backuppati...
I dati del gestionale vecchio su as400 sono backuppati su dei nastri QIC
che a memoria non si ricordano di avere mai sostituito con nastri
nuovi... sudetti nastri erano conservati in una scatola di cartone sopra
al monitor crt della videosorveglianza in bella vista nella reception...
Continuo?