Быстрый в изучении - мощный в программировании
>> Telegram ЧАТ для Python Программистов

Свободное общение и помощь советом и решением проблем с кодом! Заходите в наш TELEGRAM ЧАТ!

>> Python Форум Помощи!

Мы создали форум где отвечаем на все вопросы связанные с языком программирования Python. Ждем вас там!

>> Python Канал в Telegram

Обучающие статьи, видео и новости из мира Python. Подпишитесь на наш TELEGRAM КАНАЛ!

Блокировка анонимайзеров и прокси в офисной сети

16 февраля 2015 г. Archy Просмотров: 25028 RSS

Блокировка анонимайзеров и прокси в офисной сети

Интересная ситуация получается, наша компания для доступа в интернет свой proxy сервер, на котором заблокированы сайты вроде Facebook, Vkontakte, Zaycev и прочие проекты, отнимающие время у наших сотрудников. В итоге получается упущенная выгода. В общем жили мы спокойно до недавнего времени, пока не узнали что в сети есть анонимайзеры. Анониймайзер действует по принципу обычного прокси, только является сайтом и имеет веб-интерфейс. Наши сотрудники заходят на анонимайзер, вбивают адрес сайта, нажимают кнопку перейти, сервер анонимайзера обращается к странице, скачивая её содержимое и отдаёт пользователю от своего имени. Всё! Сотрудники спокойно обходят блокировку нашей системы и ограничения внутреннего прокси сервера компании не могут им помешать, так как они обращаются непосредственно как анонимайзеру, а не к запрещённому нами сайту.

Данная статья посвящена блокировке анонимайзеров. Ниже я перечислю способы как это можно сделать.

По логике вещей блокировать анонимайзеры глупо и неэффективно. Хотя бы потому что каждый день их появляется не один десяток. Ведь всё очень просто, купил хостинг за 1$, установил туда скрипт анонимайзера и готово. Бесплатных скриптов в сети не меньше чем анонимайзеров. Но выход есть всегда, рассмотрим протокол http и его спецификацию. В нём есть ряд методов.

  1. GET — метод, запрашивающий содержимое страницы. Этим методом можно загрузить любую страницу сайта.
  2. POST — метод, отправляющий данные на сайт. Это могут данные из формы обратной связи, сообщения на форум, файлы и так далее.
  3. CONNECT — метод преобразования http запросов в TCP-туннель. Широко используется в ICQ, в программе-клиенте ICQ выбирается тип прокси HTTP и аська начинает передавать данные по методу Connect.

Прокси-сервер разрешает использование вышеперечисленных методов по умолчанию. Но времена меняются, пора осложнить жизнь офисным клеркам и поставить их на место.

Что мы сделаем? Мы заблокируем метод Connect для всех портов маршрутизатора, кроме порта 443, который используется для SSL шифрования. Без шифрования сейчас не обойтись.

Для метода POST мы запретим все сайты кроме определённого белого списка, в который войдут сайты, использующие авторизацию, например, личная почта на mail.ru. Метод GET трогать не будем, в нём нас всё полностью устраивает.

Подведя небольшой итог, скажу что сделать список на 20-30 сайтов намного быстрее, чем каждый день выискивать новый анонимайзер в логах и рыться в поисковых системах. Всё равно все анонимайзеры вы не заблокируете. Эффект от блокировки POST очень просто - сотрудник не сможет авторизовываться на сайтах вне списка, как бы он не пытался..

Некоторые высокотехнологичные анонимайзеры работают по порту 443, а там у нас разрешён метод коннект. Для отлавливания таких наглецов - мы можем запретить CONNECT там где надо, сделав белый список с сайтами, для работы которых требуется HTTPS протокол. Такими несложными манипуляциями вы можете взять верх над халявщиками, получающими свои деньги за просиживание штанов в социальных сетях, на видео тубах и разглядывающих демотиваторы на Pikabu. Но опять же всё не запретишь, пользователь может использовать для выхода в интернет свой мобильный телефон или подключить 3G/4G можем с sim картой и спокойно зайти на любой запрещённый сайт. А вот c этим вы уже ничего не сможете сделать. Но как вариант отключить все USB порты или сделать список разрешённых USB устройств. На неразрешённые устройства будет запрашиваться пароль, который знает только администратор системы.

Андрей,

системный инженер сервиса ipann.net