Запрет пользоваться определенным браузером на Web Proxy
Raoul & Natalia Nakhmanson-Kulish
Задача такая. Хочется сделать так, чтобы пользователи могли использовать
Mozilla на любых сайтах, а Internet Explorer - только на разрешенных
администратором. В ISA 2000 этого нету.
Можно ли сотворить такое в ISA 2004 или, может, есть сторонние утилиты?
--
Счастливой Пачи - Myr
PGP DH/DSS Key ID 0x11807439, Fingerprint dhgGjJy7vbTzfdp+97vZ8hGAdDk=
"Sergey S. Betke" <
> Mozilla на любых сайтах, а Internet Explorer - только на разрешенных
> администратором. В ISA 2000 этого нету.
>
> Можно ли сотворить такое в ISA 2004 или, может, есть сторонние утилиты?
потрясающее желание. не очень понятно - чем обусловленное. но это не столь
важно.
давайте рассуждать. чем можно разделить приложения на isa? - только через
использование fwc. в настройках fwc можно одному запретить использование
клиента файрвола и secure nat, другому - разрешить. допустим - запрещаем это
делать ie. и доступ - только через авторизацию. в результате в инет пойдёт
только прога, которой разрешён secure nat. и отдельное правило site and
content rule - для всех, а не для выделенной группы пользователей.
соответственно, прога без поддержки fwc, то есть ie, сможет пройти только по
правилу, где не требуется авторизация, то есть - по последнему нами
созданному (читать выше). а там дать доступ только к требуемому destination
set.
таким путём можно решить задачу и для isa 2000, и для isa 2004. других
решений пока не вижу. однако в принципе не вижу смысла в такой задаче.
защита от атак? вирусов? так не лучше ли антивирусный сканер поставить на
http поток? например - GFI или Symantec? в чём проблема то?
Raoul & Natalia Nakhmanson-Kulish
В твоем письме от Mon, 25 Apr 2005 17:26:49 +0000 (UTC) было написано:
>> Задача такая. Хочется сделать так, чтобы пользователи могли использовать
>> Mozilla на любых сайтах, а Internet Explorer - только на разрешенных
>> администратором. В ISA 2000 этого нету.
>> Можно ли сотворить такое в ISA 2004 или, может, есть сторонние утилиты?
>давайте рассуждать. чем можно разделить приложения на isa? - только через
>использование fwc. в настройках fwc можно одному запретить использование
>клиента файрвола и secure nat, другому - разрешить. допустим - запрещаем это
>делать ie. и доступ - только через авторизацию. в результате в инет пойдёт
>только прога, которой разрешён secure nat. и отдельное правило site and
>content rule - для всех, а не для выделенной группы пользователей.
>соответственно, прога без поддержки fwc, то есть ie, сможет пройти только по
>правилу, где не требуется авторизация, то есть - по последнему нами
>созданному (читать выше). а там дать доступ только к требуемому destination
>set.
Такая мысль приходила в голову, но беда в том, что хочется хоть что-то
кэшировать, а пустив HTTP через fwc, кэш мы теряем.
>таким путём можно решить задачу и для isa 2000, и для isa 2004. других
>решений пока не вижу. однако в принципе не вижу смысла в такой задаче.
Ну, если по статистике пользователи IE даже с настроенным принудительным
автоматическим обновлением в прошлом году 300 дней могли подцепить все, что
угодно...
>защита от атак? вирусов? так не лучше ли антивирусный сканер поставить на
>http поток? например - GFI или Symantec? в чём проблема то?
Хех, буквально неделю назад слушали презентацию представителя Symantec, в
которой он сетовал на то, что червяки стали распространятся быстрее, чем
обновляются базы.
--
Счастливой Пачи - Myr
PGP DH/DSS Key ID 0x11807439, Fingerprint dhgGjJy7vbTzfdp+97vZ8hGAdDk=
Текст данного сообщения может свободно копироваться, распространяться
и использоваться в любых целях при соблюдении условий лицензии GNU FDL.
Vitaly Kushnerov
Вторник Апрель 26 2005 09:32, Raoul & Natalia Nakhmanson-Kulish -> \"Sergey S.
Betke\" <:
>> поставить на http поток? например - GFI или Symantec? в чём проблема
>> то?
RK> Хех, буквально неделю назад слушали презентацию представителя
RK> Symantec, в которой он сетовал на то, что червяки стали
RK> распространятся быстрее, чем обновляются базы.
А он там не сетовал заодно ещё и на то, что программеры семантека обленились и
пишут проги с багами? :-)
Vitaly
"Sergey S. Betke" <
>>> Mozilla на любых сайтах, а Internet Explorer - только на разрешенных
>>> администратором. В ISA 2000 этого нету.
>>> Можно ли сотворить такое в ISA 2004 или, может, есть сторонние утилиты?
>>давайте рассуждать. чем можно разделить приложения на isa? - только через
>>использование fwc. в настройках fwc можно одному запретить использование
>>клиента файрвола и secure nat, другому - разрешить. допустим - запрещаем
>>это
>>делать ie. и доступ - только через авторизацию. в результате в инет пойдёт
>>только прога, которой разрешён secure nat. и отдельное правило site and
>>content rule - для всех, а не для выделенной группы пользователей.
>>соответственно, прога без поддержки fwc, то есть ie, сможет пройти только
>>по
>>правилу, где не требуется авторизация, то есть - по последнему нами
>>созданному (читать выше). а там дать доступ только к требуемому
>>destination
>>set.
> Такая мысль приходила в голову, но беда в том, что хочется хоть что-то
> кэшировать, а пустив HTTP через fwc, кэш мы теряем.
в общем - да. другого выхода без написания отдельно фильтра протокола под
isa я не вижу на данный момент.
>>таким путём можно решить задачу и для isa 2000, и для isa 2004. других
>>решений пока не вижу. однако в принципе не вижу смысла в такой задаче.
> Ну, если по статистике пользователи IE даже с настроенным принудительным
> автоматическим обновлением в прошлом году 300 дней могли подцепить все,
> что
> угодно...
так это же надо решать не так. для этого надо просто подставить антивирусный
сканер на isa на http и ftp трафик. например - GFI или Symantec. он на лету
будет сканировать поток, и опасное содержимое просто не дойдёт до клиента. в
этом случае уже можно не бояться и использовать ie. у меня так и сделано. и
антивирус на машинах уже ничего не ловит - всё ещё до машин умирает.
по-моему - это более секюрное решение. и не требует предложенных извратов.
не так ли?
>>защита от атак? вирусов? так не лучше ли антивирусный сканер поставить на
>>http поток? например - GFI или Symantec? в чём проблема то?
> Хех, буквально неделю назад слушали презентацию представителя Symantec, в
> которой он сетовал на то, что червяки стали распространятся быстрее, чем
> обновляются базы.
хорошо. давайте поставим Касперского. обновления - 1 раз в час. а если
включить его параною на максимум - то всё, что может напоминать вирус -
умрёт.
и потом - откуда можно поймать бяку - с порно и варез сайтов. больше вряд ли
откуда можно подцепить. такие надо просто резать через правила и destination
sets. и воспитательными мерами к посетителям таких сайтов. например - через
скандальное увольнение. и это вполне возможно.
Raoul & Natalia Nakhmanson-Kulish
В твоем письме от Wed, 27 Apr 2005 18:19:32 +0000 (UTC) было написано:
>в общем - да. другого выхода без написания отдельно фильтра протокола под
>isa я не вижу на данный момент.
Хм, может, это можно как-то самим написать?
>> Ну, если по статистике пользователи IE даже с настроенным принудительным
>> автоматическим обновлением в прошлом году 300 дней могли подцепить все,
>> что угодно...
>так это же надо решать не так. для этого надо просто подставить антивирусный
>сканер на isa на http и ftp трафик. например - GFI или Symantec. он на лету
>будет сканировать поток, и опасное содержимое просто не дойдёт до клиента. в
>этом случае уже можно не бояться и использовать ie. у меня так и сделано. и
>антивирус на машинах уже ничего не ловит - всё ещё до машин умирает.
Это если вирус есть в обновлении баз. А если пока нету?
>> Хех, буквально неделю назад слушали презентацию представителя Symantec, в
>> которой он сетовал на то, что червяки стали распространятся быстрее, чем
>> обновляются базы.
>хорошо. давайте поставим Касперского. обновления - 1 раз в час.
Да, но прибавь к этому еще продолжительность цикла разработки обновления, а это
еще несколько часов минимум.
>а если включить его параною на максимум - то всё, что может напоминать
>вирус - умрёт.
Ага, в том числе совершенно безобидные скрипты и флэшки...
>и потом - откуда можно поймать бяку - с порно и варез сайтов. больше вряд ли
>откуда можно подцепить. такие надо просто резать через правила и destination
>sets. и воспитательными мерами к посетителям таких сайтов. например - через
>скандальное увольнение. и это вполне возможно.
Мы как-то уже писали (в другой эхе, правда), что это невозможно как минимум по
трем причинам:
1. Вспомни, как распространялся Download.Ject. Вполне благонамеренные сайты
были взломаны, и код вируса дописывался в конец всех HTML-страничек. Недавняя
атака на phpBB показала, что питательной средой для червя может стать любой
мало-мальски распространенный в вебе скрипт.
2. Все существующие в мире порно- и варез-сайты в блэклист не занесешь (равно
как и не занесешь в уайтлист все нужные сайты), а непреднамеренно попасть на
них можно очень легко - перейдя по URL в письме или в сообщении ICQ с невинным
текстом, введя в поисковике совершенно безобидный запрос и прощелкав первые 10
ссылок, нажав на с виду нормальный баннер, и т.д., и т.п.
3. Один из опаснейших видов уязвимостей - ошибки при обработке тех или иных
графических форматов. А поместить свою картинку на форум, в блог или в
википедию, как правило, несложно.
"Sergey S. Betke" <
>>isa я не вижу на данный момент.
> Хм, может, это можно как-то самим написать?
да. качаем isa sdk и вперёд.
> Это если вирус есть в обновлении баз. А если пока нету?
так на то есть "умное" сканирование с карантином. у меня вообще всё, что в
принципе может быть опасным - идёт через карантин и руки админа.
> Да, но прибавь к этому еще продолжительность цикла разработки обновления,
> а это
> еще несколько часов минимум.
да. ещё раз повторяю - всё, что может в теории быть опасным - через
карантин.
>>а если включить его параною на максимум - то всё, что может напоминать
>>вирус - умрёт.
> Ага, в том числе совершенно безобидные скрипты и флэшки...
угу. и правильно.
>>и потом - откуда можно поймать бяку - с порно и варез сайтов. больше вряд
>>ли
>>откуда можно подцепить. такие надо просто резать через правила и
>>destination
>>sets. и воспитательными мерами к посетителям таких сайтов. например -
>>через
>>скандальное увольнение. и это вполне возможно.
> Мы как-то уже писали (в другой эхе, правда), что это невозможно как
> минимум по
> трем причинам:
вернёмся к антивирусу. всё это прекрасно решается антивирусами. а
скандальное увольнение плюс чёрные списка у меня снизило количество попавших
в сетки антивируса вирусов в СОТНИ РАЗ! делаем выводы. а по поводу
графических форматов: уже всё пропатчено MS. кроме того, другие браузеры
теже библиотеки винды для этого использует. и где же мы защитились? а
антивири прекрасно и графику проверяют. и вирусы там убивают. GFI у меня
прекрасно в логи записывал свои подвиги в этой области.
Morozov Albert
> Allin punchaw qankunapaq, All!
>
> Задача такая. Хочется сделать так, чтобы пользователи могли использовать
> Mozilla на любых сайтах, а Internet Explorer - только на разрешенных
> администратором. В ISA 2000 этого нету.
>
> Можно ли сотворить такое в ISA 2004 или, может, есть сторонние утилиты?
>
Во вкладке Firewall Policy выбираеш то правило, которое отвечает за
твоих юзеров и правой мышой идеш в Configure HTTP и там во вкладке
Response Headers вписываешь блокирующие заголовки (Например это будет
мозилла), соответственно модифицируешь это правило, что все IE юзерам
ходить только по этому списку. Далее дублируешь это правило но уже для
юзеров Mozilla.
--
With best,
Morozov Albert