|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Alexei K. 2:5020/400 14 Oct 2004 17:45:51 To : Sergey Kudriavtsev Subject : Re: firewall блокирование некоторых команд HTTP, FTP? -------------------------------------------------------------------------------- Hello, Sergey! You wrote to Alexei K. on Tue, 12 Oct 2004 14:23:44 +0400: SK> 11 Окт 04 07:31, you wrote to me: AK>>>> Чем настраивается firewall, который может блокировать AK>>>> некоторые команды протоколов HTTP, HTTPS, FTP AK>>>> (главным образом нужно блокировать слив данных во вне, AK>>>> например POST HTTP)? SK>>> 8-[ ] SK>>> А как твои пользователи будут работать? Они что - будут только статику SK>>> смотреть? Hет, конечно, можно и http://google.com/?q=чего-то_там и ему SK>>> подобные запросы, но функциональность у этого метода явно ограниченная SK>>> и не всякий сайт удастся нормально посетить... И зачем вообще такое SK>>> надо? AK>> Что касается http, https хотелось бы запрещать закачку на некоторые AK>> сайты. Что касается ftp установить запрет закачки на все сайты by AK>> default. AK>> Для чего: AK>> Блокировать несанкционированный слив данных. AK>> Hа некоторых компах были обнаружены "жучки" (ActiveX для IE), котрые AK>> молча сливали инфу. SK> А не проще ли бороться с этим на локальных машинах? Если на них _такая_ SK> важная инфа или с них к этой инфе есть доступ. Потому как не выход это - SK> доступ запрещать, когда он нужен для легальной деятельности. А тем, кто SK> пытается нарушить требования безопасности - по башке за такое давать SK> административно. Если у пользователя стоит Тырнет, то тут ничем не поможешь. Слить инфу по тырнету есть масса удобным способов. Меня беспокоит, что под Линух нет софта, а под Windows есть. К примеру ISS (www.iss.net) предоставляет ряд сердств для сканирования трафика на уровне протокола SMTP, HTTP, FTP. MS ISA (http://www.microsoft.com/isaserver/) может фильтровать на уровне протокола HTTP. В мире Линуха никого эти проблемы не волнуют? SK> И что ты сделаешь в случае https? Будешь 128-битный ключ взламывать для SK> каждого соединения? https сайтов не так много. Поэтому by default доступ ко всем https запретить. При попытке обращения к https должно выдаваться сообщение типа: "Обратитесь к админу Васе Пупкину тел.: ... e-mail: ..." With best regards, Alexei K.. E-mail: kzua@kzua.udm.ru --- ifmail v.2.15dev5.3 * Origin: Communication Company MARK-ITT (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор Архивное /ru.linux/8886ae0142fc.html, оценка из 5, голосов 10
|