Быстрый в изучении - мощный в программировании
Скрипт ИНВЕСТОР на Python

Попробуйте себя в качестве инвестора имея в помощники мощный алгоритм советника на Python...

Все уроки по PyQt5

PyQt5 реализован как комплект Python-модулей. Он включает в себя около 620 классов и 6000 функций и методов...

Скрипт отправки SMS через Python

Была задача отправить SMS-ки большому списку номеров телефона с уточнением цены за всю рассылку "До" ее отправки...

Блокировка анонимайзеров и прокси в офисной сети

16 февраля 2015 г. Archy Просмотров: 1206 RSS Обсудить

Блокировка анонимайзеров и прокси в офисной сети

Интересная ситуация получается, наша компания для доступа в интернет свой proxy сервер, на котором заблокированы сайты вроде Facebook, Vkontakte, Zaycev и прочие проекты, отнимающие время у наших сотрудников. В итоге получается упущенная выгода. В общем жили мы спокойно до недавнего времени, пока не узнали что в сети есть анонимайзеры. Анониймайзер действует по принципу обычного прокси, только является сайтом и имеет веб-интерфейс. Наши сотрудники заходят на анонимайзер, вбивают адрес сайта, нажимают кнопку перейти, сервер анонимайзера обращается к странице, скачивая её содержимое и отдаёт пользователю от своего имени. Всё! Сотрудники спокойно обходят блокировку нашей системы и ограничения внутреннего прокси сервера компании не могут им помешать, так как они обращаются непосредственно как анонимайзеру, а не к запрещённому нами сайту.

Данная статья посвящена блокировке анонимайзеров. Ниже я перечислю способы как это можно сделать.

По логике вещей блокировать анонимайзеры глупо и неэффективно. Хотя бы потому что каждый день их появляется не один десяток. Ведь всё очень просто, купил хостинг за 1$, установил туда скрипт анонимайзера и готово. Бесплатных скриптов в сети не меньше чем анонимайзеров. Но выход есть всегда, рассмотрим протокол http и его спецификацию. В нём есть ряд методов.

  1. GET — метод, запрашивающий содержимое страницы. Этим методом можно загрузить любую страницу сайта.
  2. POST — метод, отправляющий данные на сайт. Это могут данные из формы обратной связи, сообщения на форум, файлы и так далее.
  3. CONNECT — метод преобразования http запросов в TCP-туннель. Широко используется в ICQ, в программе-клиенте ICQ выбирается тип прокси HTTP и аська начинает передавать данные по методу Connect.

Прокси-сервер разрешает использование вышеперечисленных методов по умолчанию. Но времена меняются, пора осложнить жизнь офисным клеркам и поставить их на место.

Что мы сделаем? Мы заблокируем метод Connect для всех портов маршрутизатора, кроме порта 443, который используется для SSL шифрования. Без шифрования сейчас не обойтись.

Для метода POST мы запретим все сайты кроме определённого белого списка, в который войдут сайты, использующие авторизацию, например, личная почта на mail.ru. Метод GET трогать не будем, в нём нас всё полностью устраивает.

Подведя небольшой итог, скажу что сделать список на 20-30 сайтов намного быстрее, чем каждый день выискивать новый анонимайзер в логах и рыться в поисковых системах. Всё равно все анонимайзеры вы не заблокируете. Эффект от блокировки POST очень просто - сотрудник не сможет авторизовываться на сайтах вне списка, как бы он не пытался..

Некоторые высокотехнологичные анонимайзеры работают по порту 443, а там у нас разрешён метод коннект. Для отлавливания таких наглецов - мы можем запретить CONNECT там где надо, сделав белый список с сайтами, для работы которых требуется HTTPS протокол. Такими несложными манипуляциями вы можете взять верх над халявщиками, получающими свои деньги за просиживание штанов в социальных сетях, на видео тубах и разглядывающих демотиваторы на Pikabu. Но опять же всё не запретишь, пользователь может использовать для выхода в интернет свой мобильный телефон или подключить 3G/4G можем с sim картой и спокойно зайти на любой запрещённый сайт. А вот c этим вы уже ничего не сможете сделать. Но как вариант отключить все USB порты или сделать список разрешённых USB устройств. На неразрешённые устройства будет запрашиваться пароль, который знает только администратор системы.

Андрей,

системный инженер сервиса ipann.net

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru yandex.ru
Оставьте комментарий!

Используйте нормальные имена.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)