Мониторинг посещений сайтов сотрудниками офиса. SQUID или есть альтернативы?

Прошу совета в вопросе, который параллельно изучаю и все больше путаюсь.
Цель: мониторинг посещений сайтов сотрудниками офиса, выявление бездельников :) В дальнейшем может быть захотят блокировать доступ к определенным ресурсам определенным лицам, но пока я могу это сделать средствами Mikrotik'a, т.к. количество рабочих мест около 40, но оно растет.
Далее, скоро переедем в домен. Насколько я понимаю SQUID может писать в логи имя учетной записи домена, но только не в прозрачном режиме, что есть плохо.
Для шлюза могу завести виртуалку(желательно), либо физическую машину.
В SQUID пугает настройка работы с HTTPS, судя по всем известной статье на Хабре все это как-то хлипко и странно работает, по крайней мере у меня сложилось такое впечатление.
Суть вопроса: на данный момент это единственный способ вести нормальный учет или есть более простые альтернативы? Бегло изучил коммерческие шлюзы на основе Linux - ничего не приглянулось... Ideco впечатлил, но их модель работы по подписке совсем не устраивает.
  • Вопрос задан
  • 7554 просмотра
Пригласить эксперта
Ответы на вопрос 5
@SuNbka
«Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов (х86, х64 — универсальная инструкция)
Ответ написан
gremlintv2
@gremlintv2
Может быть Pfsense приглянется ИМХО: как для шлюза там немало функционала (squid, squid guard. clamav, возможность реализации различных VPN, захват трафика и пр. и все это из вебморды - включая установку дополнительных пакетов на базе последней фряхи). У меня на xen завелся с полпинка, думаю на KVM тоже не должно проблем возникнуть. Правда требует минимум гиг ОЗУ, ну на то они свистоперделки чтобы память кушать.
Ответ написан
Мониторинг посещений сайтов сотрудниками офиса. SQUID или есть альтернативы?
Административные проблемы не должны решаться техническим путём! Если руководитель не может организовать рабочий процесс, не в состоянии наладить обратную связь, то может быть дело не в сотрудниках, а в руководстве и самих бизнес процессах. Всё просто: перекроете проводной интернет, будут сидеть со смартфонов и планшетов, ошиваться в курилке, шариться по территории, или сиськи мять на рабочем месте.
Аналогично - технические проблемы не решаются административным путём (по крайней мере на прямую). Если сервер лежит или еле ворочается, надо техническому специалисту им заниматься. А выговоры, угрозы штрафов, крики load average в норму не приведут.
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Внимание! Изменился адрес почты!
В организации все внедряется достаточно просто, если соблюдено первое и главное правило - Принцип Первого Руководителя

Мониторинг посещаемости тырнета сотрудниками есть одно из основных мероприятий по контролю за (не)целевым расходованием рабочего времени. На самом деле делается все просто, как полено.

1. Развертывается CA (совсем не обязательно на винде, лучше даже на линухе)
2. СA выпускает сертфиикаты для прокси
3. Сертификат CA ставится всем юзерам в доверенные с помощью GPO. Это ключевой момент.
4. Настройки прокси прописываются всем через GPO
5. Если нужны группы доступа (а они непременно будут нужны) - делаются группы, манов по этому делу много, кстати я вскоре собираюсь написать подробную статью про это.
6. После того, как статистика пошла, ее нужно чем-то обрабатывать - squid выдает только сырой лог. Я использую некий велосипед, запиленный давно-давно из форка sarg.

Причем тут Принцип Первого Руководителя? Придется вносить изменения в настройки юзерских компов и не всех обрадует, что пропал вконтактик :)
Ответ написан
Комментировать
jamakasi666
@jamakasi666 Куратор тега Linux
Просто IT'шник.
В целом сквид, и да, придется гемороиться на счет https.
Касательно:
В SQUID пугает настройка работы с HTTPS, судя по всем известной статье на Хабре все это как-то хлипко и странно работает, по крайней мере у меня сложилось такое впечатление.

Оно работает и самый большой косяк в виде самоподписанных сертефикатов у вас можно будет решить достаточно бескровно, когда поднимете домен то заодно и поднимите свой ЦС которому доменные пользователи будут доверять, опять же политиками разрулите.
В прозрачном режиме конечно можно заморочиться но лучше прикрутить доступ через домен.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы