насколько повышается безопасность при установке ограничений на сайты?

[Alex_TAV]

В соседней ветке(http://www.imho.ws/showthread.php?t=107627) был затронут этот вопрос, и мне показалось интересным вынести обсуждение в отдельную тему.
Действительно, насколько необходимо ставить ограничение на сайты?
Понятно, что если руководство видит как кто-то качает порнуху целый день, это одно. Но поголовное отсечение большого количества ресурсов ущемляет пользователя и сподвигает его на попытку обойти сервер, что скорее как раз и может привести к понижению безопасности копоративного сервера.

[Морфиус]

тут дело не касается порнухи. относительно порнухи я полностью согласен и даже за....но мое мнение ограничивать вход на аську мсн и прочее глупо.....все-равно избранные будут пользоваться и это факт. но чисто бизнесский подход вроде меньше даем меньше тратят тоже тут не имеет место - у нас на работе стоит лимит, всего лишь 2 часа в день дают инета..у меня фул аксес, ну понятное дело на короткой ноге с админом. так вот раз глянули трафик и обомлели, человек кот. давали всего 2 часа в день за месяц понакал больше гега...а еси брать фул аксес, то он еле еле переходит его. теперь второй аспект - если есть фул доступ смысл закрывать доступ то ? второй вариант - друг работает в соседнем здании у них практикуется интересная идея - создается пользователь на компе ограниченный вроде геста - ему есть только доступ в инет и никакого сохранения...а никто не подумал о переносных девайсах типа юсб . так что мне кажется глупо ставить запреты, так как больше сладок именно запретный плод.

[Clown]

Alex_TAV

Моё мнение - ограничение на сайты ставить бессмысленно. Безопасность это вряд ли повысит, а создать трудности для работы потенциально может. Как мне кажется, подобные ограничения и не направлены на повышение безопасности, а являются скорее "средством принуждения" для сотрудников...типа, "нефиг лазить по форумам - надо работать".

[Naked]

обычно запрещают те сайты, на которые с определенных компов заходить нельзя. Т.е. наверняка доступ у тебя либо на работе, либо в школе, институте, или еще где-нибудь. Дома у тебя никто ничего запрещать не будет, а в других местах компьютер стоит для того, чтобы его использовать в определенной сфере - работать, учится. Согласись, для того, чтобы работать не нужно заходить в чаты, качать порно, музыку, или фотки Бритни спирс... А если запрещено что-то действительно для тебя важное (например форум ИМХО ), то ты можешь подойти к админу и попросить открыть этот ресурс - обычно он открывается...
Ограничение всегда нужно, т.к. люди бывают разные и не знаешь что одному придет на ум, поэтому оставляем посещать mail.ru для почты и imho.ws для общения, а остальное по запросу пользователя

[KomatoZo]

Давайте немного разберемся.
Вопрос: зачем ограничивают доступ к сайтам?
Ответ:
1) Лишний траффик. Понятное дело, для конторы в 20 человек игра не стоит свеч. Но если в фирме интернетом пользуется более 1000 юзверей, то просмотр сайтов рекордсменов первой десятки на предмет "а нужно ли оно для работы" позволяет экономить многие тысячи долларов в год.
2) Возможность подцепить разнообразный триппер. Как ни защищайся - хакер найдет щель. Посему, не допустив пользователя на развлекательный или малополезный ресурс, мы ограничим поверхность атаки для того самого хакера. Опять-таки для конторы "купи-продай" в 20 человек - малоактуально.
3) Снижение производительности труда. На самом деле все умные люди, которые пишут, что разгребание спама пользователями в течении получаса в день приносит ущер компаниям в огромном размере - не врут. Этот ущерб огромен, если взять крупные предприятия или отрасль в целом. Так что ущерб на час развлекухи в интернете в день еще больше. Присовокупьте к этому пункт 1.
--------------------
Теперь по поводу мессенджеров (ICQ, MSN, Skype, etc...): это сейчас разносчики заразы №2. Первый, разумеется, e-mail. Но e-mail уже точно не отменишь, так что приходится снижать риски хотя бы за счет мессенджеров. Опять-таки - убийцы времени похлеще, чем многое другое. Так что п.3 тут тоже уместен.
--------------------
Что касается "все-равно избранные будут пользоваться": пока это так, Ваша сеть - просто решето. Существует целая группа уязвимостей, которые имеют отношение к social engineering. Вы будете уязвимы для них всех.
--------------------
Далее - по порядку.

Цитата:

Alex_TAV:
Но поголовное отсечение большого количества ресурсов ущемляет пользователя

Простите, но интересы пользователя обычно слабо кореллируют с интересами бизнеса. А права лазить в Интернет я ни в одном контракте не видел. Впрочем, вру. Поговаривают, что в Google есть что-то подобное.

Цитата:

Alex_TAV:
сподвигает его на попытку обойти сервер, что скорее как раз и может привести к понижению безопасности копоративного сервера.

Не должно быть при наличии нормальной СБ и четко прописанных и исполняемых политик. Скорее это приведет при нормальной организации к увольнению или отсидке пользователя.

Цитата:

Морфиус:
человек кот. давали всего 2 часа в день за месяц понакал больше гега...

ограничивайте по трафику. В чем проблема?

Цитата:

Морфиус:
а никто не подумал о переносных девайсах типа юсб

Есть решения типа Devicelock. Есть еще куча решений предназначенных как раз для создания киосков. В частности попробуйте взломать банкомат. А во многих из них чтоит Win.

Цитата:

Clown:
Как мне кажется, подобные ограничения и не направлены на повышение безопасности, а являются скорее "средством принуждения" для сотрудников...

Если это именно так (обычно это можно понять изучив written policy. Кстати, если их нет, то как раз так дело и обстоит, как Вы пишете), то речь действительно идет не о безопасности, а о показе "вот я барин" со сторны или руководства или IT отдела. В первом случае нужно искать другую работу, во втором - пробовать воздействовать на IT через руководство.
Naked
Почти полностью согласен. Почти относится к сказанному мной выше.

[Clown]

KomatoZo

Ну насчёт Скайпа, положим, ты явно загнул. На сегодняшний день - это незаменимый рабочий инструмент для миллионов людей во всём мире. Информация, переданная по Skype шифруется, в отличие от email (это к вопросу о безопасности). К тому же экономятся больш-и-ие деньги на звонках.
Ты сам же пишешь, что:

Цитата:

Но e-mail уже точно не отменишь...

И тут же предлагаешь "снижать риски засчет мессенджеров". Где логика? Чем деловая информация отосланая по email, отличается от оной, переданной посредством "мессенджера"??

[KomatoZo]

Я имел в виду уязвимости в ПО, а не те, которые возникают вследствии передачи данных. В последнее время уязвимостей, связанных с мессенджерами стало очень много. В том числе верно это и для Skype.
Кроме того, шифрование Skype невозможно (кажется, поправьте, если не прав) контролировать на уровне организации. То есть через шлюз в итоге идет траффик, который мы проконтролировать не можем. Это тоже минус.
Хотя, разумеется, очень правильно замечено, что лучше Skype, чем ICQ.

e-mail нельзя пока отменить потому что уж слишком он "въелся" в инфраструктуру Его проще контролировать. Skype как именно мессенджер - пока еще не является именно "необходимым". И контролировать его пока, увы, я средств не знаю.

[Alex_TAV]

Цитата:

Морфиус:
у нас на работе стоит лимит, всего лишь 2 часа в день дают инета..у меня фул аксес, ну понятное дело на короткой ноге с админом. так вот раз глянули трафик и обомлели, человек кот. давали всего 2 часа в день за месяц понакал больше гега...а еси брать фул аксес, то он еле еле переходит его

так в том и дело - когда полный доступ, у человека не возникает мысли что интернет что-то особенное, с утра зашел, посмотрел новости и вперед работать. Когда есть ограничение, то возникает чувство преднамеренно зайти и накачать себе максимум.

Проблемы безопасности ограничения мало решают. ведь если - "e-mail уже точно не отменишь", то смысл вограничениях. Вирусов в письмах немеренно и чуть больше/меньше их прийдет с аськой, вроде как уже не важно.

Мне кажется рациональный выход - ограничение потрафику, т.е. ходи куда хочешь но не больше чем на 300Мб в месяц. Это конечно тоже ограничение , но как то более мотивированное, дает возможность почувствовать ответсвенность за выбор сайтов, которые хочется посетить в первую очередь.

[Clown]

Цитата:

Сообщение от KomatoZo

e-mail нельзя пока отменить потому что уж слишком он "въелся" в инфраструктуру Его проще контролировать. Skype как именно мессенджер - пока еще не является именно "необходимым". И контролировать его пока, увы, я средств не знаю.

Не совсем понял, что ты собираешься "контролировать"? А телефонные звонки как "контролировать на уровне организации"? Заниматься тотальной прослушкой с последующим анализом каждого звонка?

[KomatoZo]

Цитата:

Alex_TAV:
ведь если - "e-mail уже точно не отменишь", то смысл вограничениях

Я уже писал - просто уменьшить фронт атаки. Это зачастую уже ОЧЕНЬ большой плюс. Кроме того, то, что мы не можем запретить мы можем урегулировать. Мы можем написать, что мыло только в рабочих целях и может быть проверено. Соответственно и проверять. Антивирусная защита не панацея, но опять таки достаточно действенно синжает риск.

Цитата:

Alex_TAV:
т.е. ходи куда хочешь но не больше чем на 300Мб в месяц

Как вариант. Но я видел конторы в которых некоторым личностям ВООБЩЕ запрещено ходить с рабочего места в ИНет, а остальным разрешено ограниченное количество сайтов. И ничего - работают. Да еще и довольны. =)

Цитата:

Clown:
Заниматься тотальной прослушкой с последующим анализом каждого звонка

Зачем тотальной. Выборочной. Есть куча возможностей получить информацию об отклонении от стандартного положения вещей, после чего произвести выборочную прослушку. Не готов сейчас сказать, что там сейчас с точки зрения законодательства по этому поводу мы имеем, но опять-таки, чисто технически это можно обеспечить. или хотя бы запись. А потом, в случае инцидента - взять эту запись за основу расследования. Да и если народ знает, что его пишут и имеет тому веские подтверждения, то и ведет себя этот народ зачастую гораздо скромнее.

[Naked]

Цитата:

Alex_TAV:
ходи куда хочешь но не больше чем на 300Мб в месяц

дело зачастую бывает не в трафе, а во времени, потраченном на просмотр того или иного сайта. Например ты можешь открыть анектоды, которые весят ну метров даже если 7, и читать их весь день - не работать, это как вариант, поэтому стараются закрывать сайты либо известные, либо в названиях которых что-то есть (chat, sex, game и т.д.). И это вполне оправдано, если ты считаешь, что можешь посещать любые сайты - то иди домой и посещай, когда ты находишься в каком-то заведении, ты обязан придерживаться правил, которые там заведены, и этими правилами в частности являются НЕпосещение определенного круга сайтов. Тоже самое, если ты приедешь в другую страну и нарушишь их закон - не станешь же говорить, что в твоей стране такого закона нет, да даже если и станешь - тебя никто не послушает, потому что они живут по своим законам...

[Clown]

Naked
Если человек не может или не хочет работать, никакое закрывание сайтов делу не поможет...он, к примеру, диск с играми принесёт, или ещё что. Так что, все дисководы надо поснимать, и все USB порты замазать эпоксидкой? Есть определённый объём работы, который сотрудник должен делать. Если он целый день члены пинает, это вина начальника, который не может его оптимально загрузить работой (оптимально, это не значит - по самые помидоры ). А если человек за день прочтёт несколько анекдотов, и от этого у него поднимется настроение, никакого вреда делу это не нанесёт.

[FantomIL]

Цитата:

Clown:
А телефонные звонки как "контролировать на уровне организации"?

Мы оказываем IT-услуги разным крупным фирмам. Не поверишь, но и у них и у нас все телефонные разговоры записываются.
А электронная почта контролируется на предмет содержания.

[Clown]

FantomIL
Если специфика того требует, то почему бы нет?

[The Pig]

Друзья, речь шла об _идиотизме_ в реализации политики безопасности.
У нас _открыто_ скачивание, например, pdf, .avi, .wmv, .jar(!!), но запрещено скачивание .exe, .rar.
запрещен доступ на hotmail, но доступен gmail; закрыт forum.privet.com, libo.ru, dirty.ru но открыт imho.ws, stopper.ru, weblinks.ru, mult.ru.
В большой западной компании идиотизм неизбезжно главенствует, нанята куча недоумков и дармоедов, которые постоянно изображают активность и заботу о секюьрити, а на деле только мешают работать.

[KomatoZo]

The Pig
А никто и неговорит, что у Вас правильная политика безопасности. Наличие политики не гарантирует ее, скажем так, умности. Для разработки нормальной политики нужны спецы и покруче, чем я =)
Другое дело, что полное отсутствие хоть каких бы то ни было политик зачастую говорит о глупости и ленности как минимум IT подразделения. Я уже не говорю о полном пренебрежении к собственному бизнесу со стороны executives.
Морфиус
Запрет дело нужное в любом случае. Другое дело, что только действительно крупные компании могут себе позволить нанять толкового консультанта для создания грамотной политики разрешения/запрета и вообще системы безопасности. Дело в том, что такие проекты стоят ОЧЕНЬ дорого. Но, повторюсь. Наличие хотя бы чуть-чуть продуманной политики, даже на таком уровне, как я ее могу создать - это огромный плюс в сравнении с ее полным отсутствием.

Цитата:

Clown:
Если специфика того требует, то почему бы нет?

Не обязательно специфика. Просто компания, например, работает с конфиденциальной информацией и ее потеря чревата исками на полмиллиона долларов. А аппаратура записи стоит, допустим 100 килобаксов. Вот и считай, что проще. Это утрированно, конечно. Вы мне скажете, что это специфика, а я Вам отвечу, что крайне мало видел компаний, не работающих с тем, что на западе считается конфиденциальной информацией. А мы постепенно идем к тем же стандартам оценки. Так что, ИМХО, есть над чем задуматься.

[Alex_TAV]

2KomatoZo: тут уже упоминалось, что для больших компаний защита и ограничение это нормально, там фиг уследишь кто и куда ломился и по чьей причине легла сеть из сотни другой компов. Но вот для небольших компаний зачем? Тем более что встретить там грамотного спеца трудно, чаще всего нанимают разового специалиста, он приходит настраивает сеть и исчезает, потому как нанимать его на постоянную службу дорого, а директору безразлично как там настроена сеть пока он может ходить на свои любимые сайты(при всем при том, что он как раз и может занести вирус в сеть). А на счет конфиденциальной информации, так на те компы лучше вообще сеть не кидать, а по старинке с дискетой ходить.
Вообщем хорошо когда есть грамотный и отзывчивый админ, но кому так везет?

[KomatoZo]

Цитата:

Alex_TAV:
Но вот для небольших компаний зачем

Для того, что после введения элементарной процедуры можно оплачивать не 20Г в месяц а 8. Проверял.

Цитата:

Alex_TAV:
Тем более что встретить там грамотного спеца

Не спорю. Но это не умаляет важность запретов.

Цитата:

Alex_TAV:
он приходит настраивает сеть

В корне неправильный подход. Из-за этого и страдаете. Нужно не "настраивать сеть". Нужно ее "разрабатывать и планировать". А для настройки после нормального планирования можно нанять любую кнопочную обезьяну =) Шутка.

Цитата:

Alex_TAV:
а директору безразлично как там настроена сеть пока он может ходить на свои любимые сайты

Ищите другую работу. Не шутка.

Цитата:

Alex_TAV:
А на счет конфиденциальной информации, так на те компы лучше вообще сеть не кидать, а по старинке с дискетой ходить.

Невозможно в 95%. Представьте себе как Вы носите данные о клиентах (а они конфиденциальны) на дискете. Такая схема неконкурентноспособна. Я не беру в рассмотрение опять-таки работу с СЕКРЕТНЫМИ данными. Там и в бункер комп затащить зачастую не лишнее. Я, например, очень хотел бы увидеть как организована защита (в том числе и физическая) корневого CA компании VerySign. То, что он не подключен к сети - это 100%, но думаю, что охраняет его рота спецназа круглосуточно. А может быть и не одна рота =)

[FantomIL]

Alex_TAV
я со своей админской стороны скажу.
Дело в том, что админам тоже хочется грамотных и отзывчивых пользователей. А, до тех пор, пока пользователь не представляет себе что такое корпоративная этика, до тех пор пока пользователь в рабочее время качает себе кучи звонков на сотовый или музыку или фильмы, тем самым мешая нормальной работе других пользователей (и дело тут не в трафике), до этих самых пор мне (как админу) гораздо проще и надежнее запретить все это безобразие.
Кстати, большинство админов охотно пойдут вам навстречу и откроют для вас персонально нужный вам ресурс, если вы спокойно и грамотно объясните целесообразность и необходимость его использования.
Все вышесказанное, естественно, лишь мое частное мнение.

[Clown]

Цитата:

Сообщение от KomatoZo

Не обязательно специфика. Просто компания, например, работает с конфиденциальной информацией и ее потеря чревата исками на полмиллиона долларов. А аппаратура записи стоит, допустим 100 килобаксов. Вот и считай, что проще. Это утрированно, конечно. Вы мне скажете, что это специфика, а я Вам отвечу, что крайне мало видел компаний, не работающих с тем, что на западе считается конфиденциальной информацией. А мы постепенно идем к тем же стандартам оценки. Так что, ИМХО, есть над чем задуматься.

Я это как раз и подразумевал, когда писал про Skype выше. Информация, переданная по закрытому SSL каналу будет в гораздо большей безопасности вне компании, чем отправленная по email. Впрочем, по email можно тоже отсылать PGP сообщения, содержание которых просмотреть будет практически невозможно. В целом, политику безопастности надо рассматривать применительно к конкретному предприятию. Одно дело - банк, и совсем другое - развлекательный комплекс, пусть даже гигантский... Да и как вы себе представляете утечку конфиденциальной информации по телефонной линии? Сидит такой сотрудник и передаёт: "Юстас-Алексу...диктую последние сводки из ставки..."?
Однако, мы несколько отклонились от изначальной темы.

Цитата:

Сообщение от KomatoZo

Для того, что после введения элементарной процедуры можно оплачивать не 20Г в месяц а 8. Проверял.

Неужели ещё кто-то где-то платит за каждый гигабайт?