"Большой Брат" в офисе, за интернет-трафиком следят. Как можно обойти эту систему?
Заранее прошу отвечать пользователям, которые имеют хоть какое-то представление о системном администрировании, работали в этой сфере. Ответы юзеров, просто раздувающих эту байку без каких-либо обоснованных фактов - не приветствую))
Недавно смог устроиться на работу в небольшом офисе. С чем связана работа говорить не буду, но состоит она в заполнении некоторых бумаг и писанине на компьютере. Первые два дня я приходил на работу почти с пустыми руками, рабочий компьютер не давали, а когда спросил когда оформят его, то сказали что не скоро. Поэтому решил приносить с собой свой лэптоп. Нашел свободный кабель ethernet от свича, подключил к компу, после чего обнаружил наличие у сего офиса 100-мегабитного интернета (как позже выяснилось - на оптике).
Делал свою работу, но за полтора часа до окончания рабочего дня заканчивал всю порученную писанину, поэтому заходил в интернет, лазил в фб, вк, ютюб...
Недавно произошло неприятное событие: дома повредился кабель, интернет стал плохо работать. Времени выяснять где обрыв пошел и восстанавливать все это дело - не было. А мне как раз надо было качнуть один файл через торрент (точнее уже качал, но завис на 30 процентах). Что я решил сделать? Естественно решил завершить это дело на работе. Знаю, для кого-то поступил я не самым честным способом. Но раз есть оптика, то почему бы не занять линию?)
Поставил на закачку, дело пошло, довольно быстро. Но через полтора часа все это опять зависло на 75 процентах. Начал выяснять в чем дело... Оказалось, что раздающие пиры недоступны, сайт трекера тоже (остальной интернет работал). Я понял в чем дело, видимо сисадмин просек меня и решил помешать моему нахальству. Но это меня не остановило... Я решил поискать различные открытые прокси в интернете, но увы, скорость они малую выдают. Тогда решил пустить все это дело через Тор. Открыл браузер, а в настройках прокси-соединения вбил локалхост:9050. И все заработало!
Чуть позже ко мне подошел менеджер с какой-то просьбой, касающейся работы, я ему начал показывать какой-то документ на компе, но случайно спалил окно mTorrentа. Спалив это дело, ругать не стал, но строго попросил вырубить и на ухо предупредил мол "не стоит тут ничего скачивать. этот интернет для нужд фирмы. все действия в интернете отслеживает системный администратор, он знает кто на каких сайтах сидит, кто что читает, он же может пожать жалобу на пользователя директору."
Я прекратил пользоваться интернетом, просто сидел с мобилки через подключение 3G. А торрентик я докачал дома. И буквально сегодня мне во время перерыва говорит коллега ту же байку мол "сисадмин - большой брат, не советую даже заходить в социалки, т.к. он все мониторит."
Вот собственно с этого бомбануло и пишу сюда. Я знаю, что в сети у них стоит какой-то VPN "Cyberoam", с фаерволлом. Я понимаю что с помощью него можно вычислить с какого хоста на какой сервер обращаются. Но можно ли при этом узнать что человек пишет, с кем общается? Может ли системный администратор просматривать все подробности моего поведения в интернете? Если да, то каким образом идет обход HTTPS протокола? Может они как-то проводят махинации с сертификатами? Или все это байки, которые были пущены среди ламеров, чтобы все занимались своим делом?
И еще вопрос: Хочу задействовать Тор для скрытия своих действий. Они не в ущерб кому-то, но я люблю приватность. По идее он все содержимое шифрует. Но может ли он как-то палиться внутри сети? (через какие-нибудь порты там или хз).
Если вы смогли принести свой ноутбук из дома, воткнуть его в произвольную розетку и получить доступ к ресурсам сети и выйти в интернет, то можете не бояться такого "админа" - это не админ.
InfernoCrazy: не вижу сложностей. Подключился и попал в отдельную подсеть до момента пока в ад не пропишут. Сервисы все смотрят в интернет. Так что завернуть в отдельную подсеть не напряжно.
Но можно ли при этом узнать что человек пишет, с кем общается?
Он может перехватывать весь ваш трафик и читать его. Но если трафик https. то он зашифрован и ничего прочитать не получится. Можно конечно попытаться устроить перехват https но только при условии, что вы не следите за сертификатами.
Но может ли он как-то палиться внутри сети?
Смотря что вы подразумеваете под словом "палится" - если речь о перехвате трафика, то нет. Если речь о определении факта использования TOR - запросто.
АртемЪ: Я думаю что подмена сертификата идет именно на VPN, который специально настроили на это. А центр сертификации отвечает что он действителен, потому что им владеет Cyberoam. Т.е. трафик от сайта идет до VPN-узла, там он расшифровывается так, будто я сижу с него. Дальше он мониторится в расшифрованном виде, затем опять шифруется новым сертификатом и отсылается юзеру. Юзер ничего не видит, думая что он сидит через защищенное соединение. Правда как в этом случае браузер не палит подмену сертификата на сервер, мне не известно... Может запросы на сервер сертификации тоже подменяются на фейковый?
Error 502: Какая разница какие там VPN и кто там чем владеет?
И нет никаких запросов на сервер центра сертификации.
Если у вас на компьютере в корневых доверенных находится сертификат центра - все сертификаты выданные этим центром будут считаться доверенными.
Если нет такового - не будут.
Т.е если вы сами себе не ставите пачки левых сертификатов в доверенные, ничего не сделаешь.
OnYourLips: браузер выдаст предупреждение о том что доверенный центр сертификации ... установленный под видом прилетевшего обновления Адоб ридер ... подтверждает свойже сертификат?)
Сергей: Ну внедрить сертификат в целевой компьютер это задача крайне сложная, и выходит за рамки обсуждения.
Проще не сертификат под видом обновления внедрить, а просто взять кусок арматуры, приложить пару раз по башке пользователя, он сам все раскажет.
АртемЪ: а ведь могут же. Прикиньте ... шли торги на лярд рубликов, а наш Вася кочан торренты. Чем поставил раком канал. Админ был на заявке у Главного ... и тендер просрали. Бобо же будет потом!)
Сергей: возможно вы правы, но дело в том что фирма не занимается торгами) Там по сути интернет малую роль играет. Основное - это локальные ресурсы. а они всегда доступны. Я и не против, чтобы мониторили сетевую активность, на то он и сисадмин. Но мониторить просматриваемый мною контент - это уже перебор. Чем-то по логике напоминает гильотину. Техническое средство, специально созданное для быстрого отрубания головы)
Error 502: хотите мое мнение относительно личной жизни пользователей в интернете?) (как сисадмина). Да всем НАСРАТЬ что вы там делаете. Если вы не мешаете другим ... не продаёте родину(или секреты фирмы) ... и ваша продуктивность не падает. То есть вы хороший работник ... вы устраивает коллектив как человек ... и знаете меру! Можете хоть порнуху на рабочем месте смотреть после этого. Вас не существует для сисадмина. А вот если вы обращаете своими "действиями(в сети)" на себя внимание ... обидки только на себя после этого.
Ставите VPN-клиент себе на комп с шифрованием, сертификаты ставите. Вуаля, весь трафик всех приложений с вашего компа зашифрован. Админ будет видеть зашифрованные трафик до конкретного сервера но что внутри его знать не будет. Конечно сервер можно заблокировать и весь ваш VPN накроется медным тазом.
Поясню. Чисто теоретически, сисадмин, имея доступ ко всем сетевым устройствам, может чекнуть вашу сетевую активность. Но. Я думаю, он этого делать не будет. Это не так уж просто. Так что максимум, он просто будет блочить самых нахальных.
Кстати, насчет VPN не знаю, как вам надо, что бы он палился, но торрент хорошо видно. Сканил как-то я раз подсеть своего провайдера nmap'ом и обнаружил, что он вполне неплохо открывает дополнительный порт, который распознается nmap'ом.
Я бы предположил, что контора платит за трафик и ваш торрент тупо выжрал дневную норму и мониторилка прислала админу аларм. Дальше закрыть торрент - дело пары кликов или двух строчек в шелле. Влезать внутрь переписки во вконтактике скорее всего админу будет лень - это вам еще CA подсовывать нужно, MITM организовывать, отлаживать это всё. Разве что руководство пропилось на готовое решение, которое автоматизирует "вот это всё" тоже до пары кликов.
На мой взгляд самый простой способ - vpn over ssh.
Берем любую vps за бугром (что бы уж сразу и на pornhub и linkedin ходить без проблем). Разворачиваем там любой доступный linux, получаем ssh из коробки.
После чего достаточно подключитсья к серверу при помощи команды: ssh -D 3456 user_name@hostname
и мы имеем шифрованный тоннель на vps, в который можно отпраивть любой трафик, как через сокс прокси.
К примеру в firefox в настрйоках сети достаточно прописать прокси 127.0.0.1 и указанный нами порт 3456 и весь трафик пойдет через этот ssh туннель. Плюс в том, что большой брат даже не узнает тип траффика, т.к. все это будет ssh на 22 порту.
Запрет установки сторонних программ в папку юзера. Запрет на запуск неразрешенных программ. Запрет на прокси. Активирование ГПО для фокси. Запрет на использование соединений кроме доменной сети. Закрытие всех портов на брандмауэре как чистосимаолический шаг после всего остального)
Можно и более хитромудрые вещи городить. Вплоть до один вилан на порт .... или dhcp61опция. Которые добавят геморроя для страждущих получить халяву. Туда же добавим хитрые трюки по блокированию разных сетевых приблудных для раздачи инета. И вот уже гонора у свежеиспеченного сотрудника поубавилось).
А когда в логи посыпятся попытки все это обойти .... урезать ему интернет до "подай заявку что тебе нужен именно этот сайт для работы". В бумажном виде в приемную!).
Уважаемый Фёдор Феоктистович ... у нас в фирме появился сотрудник который пытался установить зашифрованное соединение с забугорный сайтом в рабочее время. Подключал стороне сетевое оборудование дл раздачи сети ... тем самым ставя под угрозу безопасность внутреннего контура. Прошу в дальнейшем рассматривать все необходимые заявки, по нужным ему сайтам, лично вами или назначить ответственное лицо.
Так же следует упомянуть что данный сотрудник систематически излишне загружает канал фирмы скачками. С динамических портов!) Что приводит к невозможности бухгалтерии сдавать отчетность. По этой причине отдел ит ему урезал скорость до 512 кб доступа во внешку!)
Есть так же подозрение ... основанное на логе днс ... и правильных настройках гпо ... хотя были попытки переназначить днс на тот который в впн ... что данный индивидуум балуется фотками с маленькими мальчиками).
А теперь я вам расскажу как у меня. У меня люди в рабочее время могут легко играть в танки ... качать все что им вздумается. Сидеть в соцсетях. До той поры пока они не мешают другим! Все ознакомлены с "окнами" "объемами" и многие даже дома интернет выключили ... он им тупо надоедает на работе. Если человек потеряет колею ... директор примет решение о наказаниии. Самоконтроль рулит!) И общение с людьми! Если самоконтроль ослабевает ... я могу подтянуть гайки в области ширины канала. Человек пару дней посидит на 512 ... он даже не звонит мне и потом снова начинает себя контролировать.
Автор вопроса интересуется, как бы втихаря подсосать интернета у работодателя - у него же не убудет, правда?
Со всей ответственностью заявляю: не надо так делать.
И дело не в том, что у конторы интернета убудет.
Да не убудет, конечно!
Это вопрос личной гигиены.
Втыкаться личным ноутбуком непойми в какую сеть - то же самое, что и спать непойми с кем без презерватива. Для обоих участников, кстати.
Админ сети тоже хорош, конечно: то ли ленив, то ли недалёк, ибо включенный без санкции левый ноутбук в сеть войти не должен был бы. Кстати, средства для контроля трафика сотрудников у него-то есть, но он ими, судя по всему, не пользуется.
Мои рекомендации автору вопроса:
- купить 3G/LTE-свисток для торрентов
- купить планшет/смартфон для соцсетей, и на работе (все ж свои, всё понимаем ) ) держать его в ящике стола
- на рабочем месте дождаться выдачи _рабочего_ компьютера, и с него заниматься только работой
3G/LTE-свисток - плохая связь, высокие тарифы, по себе знаю. мне за домашний платить хватает)
Планшет/смартфон - то же самое. смарт кстати есть, использую иногда.
дождаться выдачи _рабочего_ компьютера - можно конечно, но мне же не впадлу свой таскать. к тому же тут уже обсуждалось о возможной подмене сертификатов SSL, что усугубляет обстановку.
хорошо, что мне тогда делать остальные полтора часа без дела? мне кажется, сударь, вы невнимательно прочитали мой пост или даже не поняли о чем говорю. я не из тех людей, которым дают задание, а они сидят в вк, перелистывая иногда в word, делая вид, что они работают. мне в конце концов платят деньги за работу, я ее просто выполняю. из этого могу сделать вывод, что вы тоже работали системным администратором, вам на шею тоже садились такие раздолбаи, но теперь вы срываетесь на мне, думая что я такой же. впрочем, без оффтопа, выше я дал ответ.
Господа, предлагаю отбросить эмоции, и включить логику ;)
Итак, исходя из личного опыта:
1. Работодатель обязуется обеспечить работника необходимыми для работы инструментами - в данном случае, ПК. Взамен, работодатель вправе требовать, чтобы эти инструменты использовались исключительно для рабочих целей, для чего вправе контролировать их использование.
Верно? "Вот Вам молоток, но потрудитесь махать им только на рабочем месте".
2. Ещё раз: работодатель _обязан_ обеспечить работника необходимыми инструментами, и приучать работодателя к иному подходу считаю крайне безответственным шагом.
Поскольку ноутбук был уже продемонстрирован, предлагаю придерживаться тактики "Ааааа! Ноутбук сломался, работать не могу! Где мой рабочий компьютер?"
3. Подключение личного ноутбука к сети предприятия нецелесообразно и опасно для обеих сторон. Помните: заразить можете не только Вы, но и, наоборот, Вас!
4. Возможность бесконтрольного подключения к сети предприятия сторонних устройств говорит о низкой компетентности ИТ-отдела, что косвенно свидетельствует о повышенной опасности заразиться Вам самим, потеряв личную информацию: фотографии, реквизиты доступа к социальным сетям и пр.
5. Про полтора часа в день в соцсетях.
Из наблюдаемого лично: пусть на данный момент руководство смотрит на сидение сотрудников в соцсетях сквозь пальцы.
Однако, при сокращении штата - да хоть при распределении премий -руководство, зачастую, смотрит не на профессионализм работника, а на формальные признаки, например, соблюдение трудовой дисциплины.
В таком случае, ИТ-отделу даётся команда: посмотреть, кто куда ходит по интернету, и отчёт по top-10 нарушителей отправить директору.
Если кратко, ищется не причина для увольнения, а повод.
Видел лично, хотя и немного со стороны.
Поэтому: на рабочем ПК только работа, всё личное - на планшете/смартфоне. Повода не давайте.
6. Использование на рабочем месте Tor/VPN.
Я писал про "не давать повода?"
Озвучить реакцию руководства?
"Ладно, эти лентяи в соцсетях сидят. А этот от кого таится? Что и кому он сливает?"
Поэтому:
1. Руководство не балуем и к хорошему не приучаем
2. Повода не даём
я могу сказать вот что: руководство думает, что у них свое государство и свои законы, имеют право на тотальный контроль. по мне как это вообще подпадает под вмешательство в частную жизнь. если видите такую фирму - не устраивайтесь на нее. к сожалению я и сам немного разочарован в них, где я работаю, выдают необоснованные требования, не дают найти общий язык. туда - не заходи. сюда - не заходи. без причины и объяснений. баран послушается пастуха и не пойдет. как в армии. моих коллег держат за "никого". а я вот думаю - зачем мне это, я же не за это деньги получаю?)) у меня просто нету другого выхода сейчас, повсюду безработица либо платят копейки. но все равно эти деньги не могут заставить меня стать бараном как и многие) мне должны платить за работу которую я выполняю по закону, а не за моральное рабство. если дело касается преступлений, то этим обычно занимается отдельный орган, всем он известен. но не фирма. кого это устраивает - пусть продается. я же со временем свалю оттуда (не только из-за мониторящегося интернета). ну не понравилось, бывает же.
1. Принадлежит фирме:
1.1. Стол
1.2. Стул
1.3. Компьютер
1.4. Выданный на работе служебный сотовый телефон
1.5. 8 часов Вашего времени в рабочий день
1.6. Всё, что Вы сделали с использованием пп. 1.1-1.5
2. Вы сами зачем-то дали ему контролировать:
2.1. Список и содержимое сайтов, на которые Вы ходите с использованием пп. 1.1-1.5
2.2. Личный номер телефона, используемый Вами вместо рабочего
2.3. Время сверх рабочего, на которое Вас однажды попросили задержаться, и которое почему-то вошло в норму
Вывод: не хотите слежки - отделяйте личное от рабочего:
1. Не звоните со служебного телефона по личным вопросам
2. Уходя с работы, оставляйте служебный телефон на столе
3. Принадлежащее фирме (пп. 1.1-1.5) используйте только для работы
Dark Hole: я не безопасник, но пример могу придумать.
Расшаренные папки в сети наверняка есть?
А давайте-ка вспомним про целое семейство дряни, которая подменяет реальные папки своим экзешником с иконкой "папка"!
У всех хватит внимания заметить, что это на самом деле не папка?
И ведь всё это может годами жить в сети предприятия.
2 Dark Hole :
Если в интернете сидеть - это одно дело.
А автор вопроса, как он пишет, на личном ноутбуке работает - в отличие от ;)
Хочу напомнить, что работа за ПК, в подавляющем большинстве случаев, представляет из себя не сидение в интернете, а изменение множества .doc и .xls-файлов, лежащих в сети в расшаренных папках.
Ах, да!
Ещё часто для нормальной работы надо установить непойми кем и как ломаные Офис и 1C.
Error 502: "вообще подпадает под вмешательство в частную жизнь" - не подпадает. Почитайте-ка прецедент, когда английская по-моему контора нагнула сотрудника, сидевшего в каком-то мессенджере. Работодатель еслиф че имеет право контролировать, как используются выданные им инструменты для работы, в число которых, как совершенно справедливо заметил Ярослав - входит стол, стул, компьютер, телефон (иногда осциллограф, паяльник, стенды etc.). То, что Вам сразу не выдали рабочего компа, продудонили факт подключения личного ноута - это конечно профессионализма админу не добавляет, но Вам тут уже много сказали - заразиться можно и ОТ сети. Ну и не забывайте, что СМП, если вдруг она есть, уже слила себе все, до чего смогла дотянуться :)
Заблуждение следующее "я продаю свои навыки работодателю". Вы продали своё время как спеца!!!! ВРЕМЯ!!! Посмотрите на сметы! Там фигурируют человеко-часы. Все преференции вы должны были обговорить до момента продажи! Error 502: Если вам не обещали свободный инет ... а вы на этом не настаивали ... вы дважды вор! Вы воруете у предприятия интернет сверхдозволенного для работы и вы воруете человеко-часы! Нет никакой личной жизни ... если вы не обговорили это при устройстве на работу или вам это не поломается по закону! Точка!) остальное от лукавого!
Сергей: а почему не наоборот, по закону же? Скорее всего, нигде не было пунктов "Нельзя использовать свободный интернет сети" или "нельзя вести переписку на рабочем месте". А личные переписки - личная жизнь "по-закону". Спалитесь за чтением их - все, закон не на вашей стороне.
Ярослав:
1. В принципе, да, так можно заразиться... но... если он открывает только нужные файлы - заражение неизбежно.
2. Если ставит кривой 1С - то это от подключения к сети?) Да?)
Dark Hole: какая такая личная жизнь в рабочее время?) закон Ее не гарантирует). А системный администратор легко может лишить всего. Ему даже не понадобится что-то читать. Он просто логи покажет. Куда выходили. Сколько вы времени тратите на воровство времени у работодателя. Все ваши ухищрения вмиг раскусят. Запретят юзать впн и тор на шлюзе. Запретят юзать нттпс. Оставят только нттп. Дадут на подпись бумагу о запрете на личную жизнь в рабочее время и изучение Любой переписки. Либо подпишите либо попрут с работы).
Сергей:
1. Одно дело, показать что ты делал - в принципе, ничего незаконного нет. Другое дело - если твою перписку прочитают - то это уже вторжение в личную жизнь.
2. На счет логов - бред. Админ не может "просто" показать логи неспециалистам. И есть хорошее правило - валить все на трояны/вирусы/взлом. Тем более, сколько вы времени - э... а вы точно сисадмин?
3. Не дали такой бумаги - значит, этот вопрос не урегулирован, все зависит от договора, что требует работодатель. Так что не надо мне тут
причем обращу внимание на одну деталь. вы проходите посадку на самолет. всем по большому счету ...рать на вашу личную свободу. вас могут досмотреть с микроскопом .. в ту самую дырочку! так и в фирме. есть масса приказов директора и норм действующих там. незнание не освобождает вас от ответственности за их нарушение )
Сергей: неа. Можно досмотреть, но раздевание в этот не входит. По сути, вас только сканируют.
Масса приказов не было в вопросе. Значит, не будем на эту тему фантазиировать
Dark Hole: а этот умный от вас в вк писал?) а изъятый до приезда следователей ноутбук с логами тоже кто-то другой в присутствии ваших коллег использовал?) а политику безопасности по фирме вы читали?) все это мало волнует работодателя. Достаточно запроса сверху от директора в отдел ит.
Вы просто не понимаите пока. Нормальные люди не воруют у работодателя, а зарабатывают столько ... чтоб позволить широкополосный интернет. И качают дома все что хотят. А серьезные фирмы дешифруют трафик и блокируют впн. Ну в несерьезных иногда тоже. Все зависит от степени гикнотости админа)
Воровать можно по 2 причинам!) Это болезнь или ваша работа. В остальных случаях лучше дойти в отдел ит и навести дружественные мосты. Вам все расскажут)
Лично я всегда считал что интернет является инструментом развития мозгов. Особенно для людей в возрасте. И вред от его ограничения, в долговременном планировании, больше чем польза. Но скачка фильмов ... это наглость!)
Как администратор - могу дать только такой совет. Или работайте по установленным правилам, или не работайте там совсем. Если вы будете обходить систему - тем самым вы привлечете к себе внимание, и если возникнут какие то вопросы и проблемы - вы будете одним из первых подозреваемых. Если вы все шифруете - аналогично. На работе - работать.
Что вы так боитесь что прочитают переписку? Корпоративные тайны компании отправляете? :)
Лет 10 назад у нас был случай, когда на работе массово начали устанавливать Наську, известную под названием "убийца сетей", использовали в основном для обсуждения руководства, назначения места пьянок итп. Скорость сети из за нее упала в несколько раз. Так наши админы скачали логи разговоров и дали почитать начальству которое фигурировало в переписке, после этого Наську никто больше не ставил.
Мораль с этого такая. Не занимайтесь на работе фигней, у вас хороший админ попался, что вас предупредил, а не побежал к руководству с докладом о нарушении информационной безопасности.
Я думаю вы невнимательно прочитали))) Я же написал ниже "Они не в ущерб кому-то, но я люблю приватность." Просто я параноик, не хочу чтобы обо мне и моих интересах (даже если они легальные) знал кто-то лишний. Я знаю, что на это можно ответить типа: "Если Вам не нравится, то увольняйтесь оттуда, Вас никто не заставляет там работать". Сказать это легко. Но на деле работу найти сейчас трудно, а эту я еле нашел, мне просто повезло. Поэтому я ищу выход мимо обоих лагерей: безработных и "надзирателей". Могу еще свисток купить, но качество связи у них и тарифы оставляют желать лучшего)
Error 502: знаете, лучше купить свисток или раздавать инет с телефона. Если уж лезть куда-то с работы не по работе, так со своего оборудования и по своему каналу.
Error 502: про права можно говорить если вы сами заплатили бы за этот интернет, а не подключились к бесплатному кабелю, пользуетесь в рабочее время и при этом про права говорите.
Error 502: подойдите и честно признайтесь, так мол и так, не знал, хотел мелкую штукуёвину докачать, а потом узнал и тут же перестал. "Админ тоже человек!" Заодним и познакомитесь и узнаете, хотя бы поверхностно, каков он.
Может. Я не в курсе, как там у вас построена сеть, как организован мониторинг юзеров, но я точно могу сказать, что есть возможность мониторинга всего, что происходит на рабочем компе - вплоть до нажатий клавиш (поэтому не стоит с него ходить в личные ящики) и скринов экрана. И никакой https Вас не спасет, никакие торы не закроют - только внимание к себе привлечете. Погуглите на досуге "Стахановец" :)
То, что Вы воткнули ноут в свободную розетку и через десять-пятнадцать минут никто не прибежал и не спросил - это что такое нарисовалось в сети, это конечно, отрицательно характеризует местного админа. Но не слишком обольщайтесь - например у нас на любую внезапно возникшую в сети тачку будет автоматически установлен агент СМП. Который исправно будет сливать все на сервер - ну как только до него достучится :)
Обойти - ну, наверное можно. Если знать о сети больше. Но предпринимая любые такие действия, Вы только помогаете местному админу :) найти незакрытые дыры, причем благодарности за это не ждите (хотя я всегда таких "инициативных" благодарю - у меня может не найтись времени проверить - а можно ли извернуться вот так)
ЗЫ: Любопытно, что больше всего о приватности и трудовом кодексе беспокоятся бездельники. Люди, которые ходят на работу работать - обычно на ней работают.
ЗЗЫ: Специально для ТС, чтобы он вдруг не посчитал меня "юзером, раздувающим байку" - админом я проработал с 1990 по 2013 год :) да и сейчас "почти админ", с отличием на одну буковку :)
Ответ вполне ясен, хотя не раскрыл некоторых деталей, но уже неважно. По поводу "З.Ы." - работаю в 30 километрах от города, каждый день еду в половине шестого утра на автобусе с автовокзала, проводу рабочий день до 7 вечера, после чего возвращаюсь домой к девяти вечера, а через час уже сплю как убитый до следующего утра. Сам рабочий день - не из легких, но к концу за полтора часа вся эта херотень заканчивается, а с работы пораньше я не отпрашиваюсь. Вот и думаю как бы мне провести оставшееся время. Выходной только по воскресениям, и то надо иногда возмещать, если на неделе попался гостраур или госпраздник. Кто после этого лентяй то? Не, есть даже люди почти круглосуточно работающие: сосед всю неделю работал на местной ТЭС, но по мне как это задротство только в ущерб психике и здоровью. Так и стало, у него диабет сейчас к 40...
По поводу З.Ы.Ы - я хочу работать в области ИТ, но из-за другого образования работу найти не могу, пытаюсь учиться сам всему. Так что белая зависть присутствует)
Error 502: Как провести оставшееся время - чтением профильных ресурсов, изучением практик. Виртуалку поднять и упражняться с ней. М-да, жестко у вас с работой... У меня тоже было время - полтора часа на работу, два часа с работы на дорогу. Потом квартиру снял недалеко. А по поводу "лентяя" - это было не о Вас. Был у нас такой крендель - бездельник, просидевший два месяца ничего не делая, но грамотно надувший начальство...
Dark Hole: Практика. Голимая практика. Два с половиной года как работает :) Хотя конечно есть известные допущения и в теории во всех случаях 100% конечно не сработает
"у нас на любую внезапно возникшую в сети тачку будет автоматически установлен агент СМП " - а расскажите мне как такое делается ? Вот принес я домашний ноут и воткнул в сеть. GPO организации на него не распространяется, прав админа на нем кроме меня ни у кого, как на него поставится агент ?
Т.е. просто подключившись к вашей сети я словлю MITM? Вы утверждаете, что владеете 0-day дырой в течении нескольких лет, причём такой, что за неё многие страны отвалили-бы круглую сумму, причём страны СНГ-первые кандидаты, и всё ещё работаете?
fpir: этим владеют все). Там 2 этапа. Директор подписывает указ и идёт подмена сертификата. Все просто. Можно ничего не менять, а вести лог набора текста с клавы. Все просто)
Всё просто, если сис.админ является администратором компьютера пользователя. Если нет-он такой-же злобный хакер из интернета. С чего-бы моему браузеру доверять его сертификату? И это только про https речь. А Тор, например, вообще не признаёт сертификаты. И даже для виндового файрвола "сеть предприятия"-это условно-доверенная сеть, хотя я могу поставить и "общественная". И что такого можно прислать по DHCP, что сразу сломает все защиты, ладно мои, умных дядек. Есть дыра в дефолтно настроенном на винде IP6, но мы-же сейчас обсуждаем "любое устройство", а значит и мак, и линукс, и винду, на которой IP6 отключен на интерфейсах, и включается по необходимости.
fpir: я вам скажу проще! Вам деньги кто платит?) правильно!!! Ваш босс. Скажет вам босс не сидеть в вк и сердить чере links ... так и будет! Или пойдёте искать другую работу. Так что ваши размышления на тему вашей же крутизны Из области коня в вакууме!
Заметьте, выше есть комментарии, подобные Вашим, и я там не задавал вопросов, ибо всё так. Меня интересует как "есть возможность мониторинга всего, что происходит на рабочем компе", если "решил приносить с собой свой лэптоп"? У админа есть возможность мониторить сетевую активность, потому, что он админ сети, но не "всего, что происходит на рабочем компе", потому, что он не админ компа. Можно различить типы трафика, если не применяется уж очень продвинутое шифрование. Но как расшифровать сам шифрованный трафик, мне-бы очень хотелось знать. И как я предположил выше, не только мне это интересно. Или всё сильно проще и "ставлю RadminSrv, через GPO и не читаю вводных условий вопроса на тостере"?
Написано
Валентин
@vvpoloskin Куратор тега Компьютерные сети
Инженер связи
Легко. Погуглите в стороны transparent proxy и подмена корневого ssl сертификата, в корпоративной среде это делается очень просто. Это ещё вас на тонкие клиенты не посадили типа vdi/rdp, там вообще тупо скриншоты пользовательской активности в рандомное время делать можно.
Если контент закрыт, как админ видит, что трафик ушел на vk.com? Трафик ушел на какой-то IP, а слово vk.com присутствует только в хедерах HTTP, которые зашифрованы.
Первое, что меня удивило впрочем не только меня но и многих выше это то, что вы так просто пришли со своим устройством и получили доступ к сети конторы включая интернет.
Второе, категорически вам не советую делать что либо не так, как все.
Может лично админ вам ничего и не скажет. Но при малейшей проблеме будут на вас все списывать. Мол появился умник, вероятно он все и испортил.
Но если сильно хочется, то настройка VPN через шифрование. Но админ если не глупый то сможет отловить "левый" трафик и просто его заблокировать.
В чём фишка настройки сети при которой новый компьютер не может получить интернет от неё? Каждый одобрять вручную? Каким способом по mac-адресу? А если компания 200 человек?
Имхо - все проще. На все компы компании ставится софт который следит за действиями пользователя, например Стахановец. И дальше уже все равно через что вы там и куда выходите - все что вы делайте, пишете или читаете доступно работодателю. ТО что первоначально смогли подключить свой ноут - конечно упущение IT-службы, но поверьте они тоже не просто так деньги получают
Neoline: спокойствие )) Идею понял, вопрос только в том, что не заподозрят ли админы что человек не заходит в систему вообще и установленная программа с этого компа вообще ничего не собирает
Neoline: грузится будет с родного винта, потому что свой вы не запихнете - корпус опломбирован. За вскрытие пломбы отрывают руки по самый яйца. )
Захотите загрузится с внешнего? Вряд ли - возможность эта отключена в биос и сам он под паролем.
DrunkMaster: само собой такое поведение тоже считается не нормальным и система мониторинга о нем расскажет. Только этого не будет - не выйдет грузится со своего винта - выше уже рассказал почему.
Neoline: а если получить по почкам от начальника охраны? Почки сразу отвалятся у вас? ... если человек прошёл 2 горячих точки, кмс по боевому самбо и весит 98 кг!
Neoline: я вижу вы сами давно потеряли нить обсуждения и ударились в фантазиии. Причём больные. Наверное это норма для вашего возраста. Но по секрету ... все это висит на подотчете. И за каждую железку спросят. Поэтому завязывайте. Или ответьте на вопрос о начальнике и почках.
Neoline: подрастите сначала). Станьте начальником отдела. Узнайте что сами у себя люди не воруют нынче. Что такое подотчёт. Опломбирование и ревизия ежегодная. И потом все вопросы отпадут)
Neoline: подкалывает Бухгалтерия каждый год. Трясут подотчет. Все как часы!) вернитесь на землю. Когда человеку платят ... он тупо делает свою работу! Без всяких выводов "начальник дурак".
Работал в конторе админом. Начальник отдела по лузерски организовал безопасность сети. Защищать сеть от посторонних при помощи DCHP-сервера! ))))
Наши возражения о том, что это бред слышать не хотел. Но нас это как бы не напрягало, то мы просто молча раз посмеялись и все
На всех компах удаленно устанавливался сканер от стаффкопа, который собирал статистику по работе пользователей. Вот именно по ним и шел сбор отчетов. Позже наняли девочку(после того как нас не удалось сагитировать занятся "безопасностью"), которая сидела и смотрела, кто с кем переписывается, кто шлет подозрительные сообщения в почте или файлы передает, кто порнушку или картинки смотрит или в рабочее время читает эро-рассказы, пароли от личной почты, соцсетей и пр.. И отправляла все данные генеральному директору.
Не было данного ББ только на админских компах.
При этом проксю ставить не хотел.
P.S. бежал с той шаражки года два назад.
Опять же нормальный софт собирает такую статистику сам. По ключевикам например. По запросам в браузерах и т.д. На вакансии девочки можно хорошо сэкономить )
Avrroot: там и так нормально все собирает. Просто её обязали смотреть еще скрины каждого из 150 пользователей ежедневно. (У гены там реально паранойя).
Простой
