# Форум на русском языке  > Основы информационной безопасности  > Общая сетевая безопасность  >  Простой вопрос по браузерам

## siberialt

Шеф дал задание чтобы люди не могли просматривать сайты, но чтобы была возможность юзать почту через The Bat и ICQ.
Что мы имеем: Сеть через рабочую группу, интернет раздается через 1 компьютер в котором расшаренное интернет соединение. На компьютерах-клиентах в сетевом подключении указан ip-адрес компьютера (который раздает интернет) и DNS-адреса провайдера.
Я принял решение прописать в браузерах в качестве прокси сервера и порта "всякую ерунду", например, 23452345234 345324523, чтобы браузер обтправлялся в астрал. НО не на каждом компе это срабатывает. Бывает так, что при указании "всякой ерунды" в IE открываются странички, а в Firefox нет, но бывает и наоборот.
Вопросы:
1. Почему так ведут себя браузеры.
2. Есть ли другой способ (проксю не предлагать, надо "напакастить" в браузерах, чтобы потом работоспособность можно было быстро восстановить).
P.S. продвинутых пользователей в сети нет.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## zerocorporated

> Я принял решение прописать в браузерах в качестве прокси сервера и порта "всякую ерунду", например, 23452345234 345324523, чтобы браузер обтправлялся в астрал.


Вот так пропишите прокси 0.0.0.0:99

----------


## Ego1st

а 80 порт на шареном компе не пробовали заблокировать?

----------


## siberialt

> Вот так пропишите прокси 0.0.0.0:99





> а 80 порт на шареном компе не пробовали заблокировать?


Спасибо, завтра попробую

*Добавлено через 1 час 35 минут*

Ах, совсем забыл сказать, что на всех машинах стоит Kaspersky Work Spase Security. Можно ли с помощью него как-то запретить браузеры не трогая The Bat и ICQ?

*Добавлено через 27 минут*

Попробовал дома на виртуальной машине поставить Kaspersky WSS и запретить порты 80-83 и IE и Firefox не смогли вырваться в интернет. Если все будет нормально, то так и сделаю, чтобы удаленно можно было управлять доступом пользователей, а не бегать к каждой машине и ставить "костыли" для браузеров.
Критика и дополнения к теме принимаются!

----------


## drongo

не забудьте заблокировать также и для explorer- проводника-, с ним тоже можно в инет вылазить  :Wink:

----------


## Virtual

хм как я понял "расшареный инет"  :Smiley:  это нормальным языком:
поднят NAT и вызов по требованию, отсюда комп где "расшарили" является шлюзом NAT

так самое логичное рулить доступ там и только там.!!!

вроде можно стандартными средствами виндов, файрволом, но каюсь лень разбиратся с поделками мелкомягких, и сам пользую
IPFW (портированный под винду файрвол, с названием WIPFW)

вот пример правил
предположим что ваша подсеть типа 192.168.*.*
-------
#DNS 
add allow udp from any to any 53

# дали всем почту
add allow tcp from 192.168.0.0/16 to not 192.168.0.0/16 110
add allow tcp from 192.168.0.0/16 to not 192.168.0.0/16 25

# а вот себе пока все мона, кто же рубит сук на которых сидит
add allow ip from 192.168.0.13 to not 192.168.0.0/16

# и зарубим все остальное наружу всем
add deny ip from 192.168.0.0/16 to not 192.168.0.0/16

#все остальное можно
add allow ip from any to any

шо за файрвол, гуглим по "WIPFW" :Cheesy: 
ЗЫ может что забыл в правилах, извиняюсь знатоки подправят., писал по памяти
ЗЫЗЫ если научитесь этим пользоватся, то в будущем не сможете отказатся, можно такие правила наворотить мама не горюй

*Добавлено через 21 минуту*

... эти правила только дадут почту с ICQ нужно дополнительные, но нужно решить что мы хотим... и по какому протоколу разрешить... icq может работать с несколькими, хотя чисто имхо самый писк это оболочка в https = повышенная безопасность, но палка о двух концах  :Smiley: , тоесть и пониженный контроль

----------


## siberialt

Решил проблему так:для каждого компьютера-клиента в Касперском для IE и Mozilla в стандартных правилах везде изменил с "разрешить" на "запретить". Так же поступило распоряжение избранным все таки оставить интернет, поэтому групповые правила внедрить не получится.
Спасибо всем кто откликнулся.

----------


## Virtual

2siberialt смотри мой пост выше, там все можно, в том числе и разрулить кому что разрешать  :Smiley:

----------


## siberialt

> 2siberialt смотри мой пост выше, там все можно, в том числе и разрулить кому что разрешать


Спасибо, приму к сведению.

----------


## Jolly Rojer

siberialt  и даже то что Вам порекомендовали все равно не даст 100% гарантии что нельзя можно будет лазить по инету и просматривать ссылки и скачивать файлы  :Wink:  достаточно иметь почтового клиента и это будет означать что инет у человека есть  :Wink:  Хотя без некотого опыта и определенных знаний этого конечно не реализовать.А Virtual дал хороший совет! Хотя думаю что Вам было бы немного проще использовать какойнить проксик с графическим фейсом и драйвером NAT

----------


## pig

Согласен, с учётом новой вводной нужен прокси-сервер с поддержкой авторизации и прав доступа (можно тот, что у меня в подписи  :Smiley: ). Расшаривание подключения, соответственно, отменяется, иначе полезут в обход.

----------


## siberialt

> siberialt  и даже то что Вам порекомендовали все равно не даст 100% гарантии что нельзя можно будет лазить по инету и просматривать ссылки и скачивать файлы  достаточно иметь почтового клиента и это будет означать что инет у человека есть  Хотя без некотого опыта и определенных знаний этого конечно не реализовать.А Virtual дал хороший совет! Хотя думаю что Вам было бы немного проще использовать какойнить проксик с графическим фейсом и драйвером NAT





> Согласен, с учётом новой вводной нужен прокси-сервер с поддержкой авторизации и прав доступа (можно тот, что у меня в подписи ). Расшаривание подключения, соответственно, отменяется, иначе полезут в обход.


Я говорил шефу про необходимость прокси (в другой канторе использовал бесплатный SmallProxy), но это ведь дополнительные расходы и он отклонил мое предложение, хотя расходы не такие уж и большие.

----------


## Jolly Rojer

Дык, а что мешает в данном случае использовать бесплатную проксю? Это же не за Usergate платить ...  :Wink:  всего лишь за пару метров трафика...

----------


## Virtual

и всетаки
судя по исходной
.нужно раздать ПОЧТУ!!! куче народа, (думаю pop smtp)
.ицку (ну тут проблем нет)
.http избраным

может всетаки проще NAT (аля расшареный инет), и разрулить файрволом, даже просто по ип

ЗЫ самому пришлось выбирать между NAT и прокси, мне больше понравилось через NAT/
PSPs ща разруливаю инет через нат в домене (пришлось потанцевать с днс), и почта и все остальное работает у тех кому можно

----------


## Jolly Rojer

Virtual согласен, но тут могут быть некоторые проблеммы с биллингом и отчетами которые иногда бывает нужно представить руководству... В данном случае я уверен на 99% что человек не сможет распечатки представить так как ему будет это весьма сложно сделать. В варианте же с прокси проблема как таковая отсутствует. А иначе человек врятли бы этот вопрос задал. ИМХО

----------


## Virtual

Jolly Rojer
ну wipfw, трафик считает влегкую, а вот с распечаткой кто и куда лазил проблема, (ну файрвол просто не для этого, хотя и приведенный выше и так уже не просто файрвол)
а вот чтоб пробросить smtp pop (почта), в проксях приходится потанцевать, тот же узергейт и то изврат предлагает, а что делать с какой нить клиент банковской прогой, или еще хуже клиентом для "передачи в налоговую"? особо если у нее че нить не очень с реализацией протоколов. (кстати это один из рычагов вынудивших меня осваивать NAT против прокси, "Атлас" /передача данных в налоговую/ криво понимает smtp, и результат в узергейте проблемы)

ЗЫ самый писк это совместить
NAT - раздача почти прямого инета (ну там почта, или другие сервисы, не умеющие работать с прокси)
файрвол -ограничение что и кому можно
прокси или другой софт - для контроля http трафик + огр доступа к инфе, ICQ + контроль (чтение инфы по желанию),  да и просто кэш, + рекламорезка
ЗЫЗЫ а на начальной стадии, придется выбрать
или следить кто сколько и чего накачал,
или беспроблемная почта, клиент-банк, сдача отчетности в налоговую, но контроль реально ниже //хотя это все поправимо, с приобретением опыта

ЗЫЗЫ сам использую, на данный момент:
штатные средства винды NAT, DNS
WIPFW файрвол + подсчет трафика
proxomitron нарезка рекламмы (терпеть ее немогу)
все абсолютно бесплатно акромя самой винды :Cheesy:

----------


## ALEX(XX)

А самое полезное - прозрачное проксирование

----------


## Jolly Rojer

> Jolly Rojer
> ..... а вот с распечаткой кто и куда лазил проблема...


О чем собственно я и сказал. Большинство прокси выдают достаточно хорошо читабельные отчеты.




> а вот чтоб пробросить smtp pop (почта), в проксях приходится потанцевать, тот же узергейт и то изврат предлагает, а что делать с какой нить клиент банковской прогой, или еще хуже клиентом для "передачи в налоговую"? особо если у нее че нить не очень с реализацией протоколов. (кстати это один из рычагов вынудивших меня осваивать NAT против прокси, "Атлас" /передача данных в налоговую/ криво понимает smtp, и результат в узергейте проблемы)


Знаю на все 100% что UG без проблем реализует почтовые соединения smtp,pop причем без лишних подпригиваний не говоря про танцы, а о изврате вообще молчу :Wink:  С клиент банками работает без особых проблем и шаманства, с прогами для передачи отчетности работает отлично причем настройка занимает не больше 5 минут (юзались 2 софта для передачи данных в налоговую это СПРИНТЕР и СБИС ни с одним из них проблем не возникало особенно если читать HELP и README). К стати в том же самом UG реализован NAT и работает это все прозрачно. Так что думаю в данном случае виноват не UG. Проблемы не у него, а скорее у некоторых программеров которые думают только о том как научить свою прогу тупо, прямо передавать данные.  Естественно есть у UG и свои минусы, но как говорится нет идельного ни чего... но к этому стремиться надо  :Wink:

----------


## pig

Оффтоп: Спринтер и СБИС легко настраиваются на любой прокси, лишь бы он отображение TCP поддерживал. СБИС вообще одна из лучших программ в этом классе - и по удобству работы оператора, и по удобству настройки для администратора. Вот клиент-сбербанк - это песня...

----------


## Virtual

Офтоп
ну незнай незнай, у меня СПРИНТЕР, через дипост боле менее работал а вот при передаче через референт посылал команду RSET и UG его отшивал с ош 500.  :Smiley: 

---
да и сколько стоит тот же UG, особо против штатных средств самой винды?



> от клиент-сбербанк - это песня...


 даа чудный клиентик, кровушки попьет ой как.

ЗЫ у меня главбух принудительно посажен на оперу, а что делать с уралсибовским клиент-банком (он на активХ и соответственно работает только в ие +в ие7 глючит), 
так сделал просто ие напрямую ходит в инет (но на файрволе разрешен только ип банка  :Smiley:  ), а опера через некеширующий прокси-фильтр в остальной мир. \\всем тепло уютно и никакой заразы, и опять же вложений 0$.

----------


## Oyster

В качестве прокси можно использовать 3proxy, тоже фриварный, умеет много чего помимо http-проксирования - http://3proxy.ru

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Jolly Rojer

> В качестве прокси можно использовать 3proxy, тоже фриварный, умеет много чего помимо http-проксирования - http://3proxy.ru


Одна толька фраза автора сего продукта заставит того же корпоротивного пользователя отказаться от данного продукта "Он создан в рассчете на то, чтобы быть маленьким и простым (я бы хотел сказать еще и безопасным, но пока поостерегуюсь - сервер в стадии постоянной разработки бета-тестирования" , а в нашем случае это именно корпоративный пользователь... так что 3proxy можно смело вычеркнуть из списка проксей.

----------

