Temat: blokować, czy kontrolować??

Dawid Rogaczewski:

Jarek Żeliński:

nikt tu nie neguje (chyba) ogólnej potrzeby istnienia firewall'a... (co by to nie miało tu znaczyć)...

Ale tutaj nie jest mowa o firewallu, który będzie blokował wszystko co nie będzie dopisane na białą listę zaufanych witryn, raczej mówimy o proxy, które będzie raczej odfiltrowywać to co nie powinno wpadać do naszej lokalnej sieci.

też tak sądziłem....

Co do monitorowania, to należy monitorować cały ruch na zewnątrz, nie musimyu odrazu lecieć z tym do managmentu, ale jak wpadnie CBŚ to przynajmniej da się wyśledzić podejrzanego i firma nie będzie miała kłopotów.

:)

Temat: blokować, czy kontrolować??

ha, to zastanowmy sie wiec czy blokujemy - wylacznie w kontekscie proxy; bierzemy squida na warsztat i po kolei:

w kontekscie squida mozemy:
a) nie uzywac, na uj mi proxy
b) wycinac komunikacje z poszczegolnymi domenami, np. ciezkieporno.com
c) wycinac komunikacje po stringach, np. blokwac ruch/wywolanie ktory w stringu bedzie mial '.exe'
d) blokowac dodawanie zalacznikow do maili obslugiwanych przez web
e) blokowac p2p
f) blokowac skype/gg, inne
g) blokowac niektore strony jak fb/gl, inne

no i prosz, po kolei - kto bedac odpowiedzialnym za lacze internetowe i bezpieczenstwo sieci bedzie korzystal z ktorych podpunktow? moze ktos nie bedzie z zadnego? moze ktos ze wszystkich?

zeby nie bylo ze ja odpowiedzi unikam - tam gdzie lezy to w mojej gestii jade ze wszystkim (poza 'a' :) ); do rozwazenia w swietle potrzeb firmy pozostawie komunikatory, do dyskusji jest tez lista stron do blokowania, poza tymi wyjatkami - wszystkie pybkty bym zastosowal; jezeli ktos uwaza ze to wplynie negatywnie na produktywnosc pracownikow lub nie wplynie na bezpieczenstwo sieci/firmy - smialo, podyskutujmy :)Tomasz Serwański edytował(a) ten post dnia 02.03.12 o godzinie 18:00

Temat: blokować, czy kontrolować??

tam gdzie lezy to w mojej gestii jade ze wszystkim (poza 'a' :) );

a ja pytam "sponsora" co chce osiągnąć i ostrzegam o ryzykach...

Temat: blokować, czy kontrolować??

Bartøsz W.:
Bezsprzecznie zgadzam się z wypowiedzią wyżej - logować: na wszelki wypadek.

"Na wszelki wypadek" to nawet ksiądz nosi jajka :-)
Z drugiej strony, jak to mawiał towarzysz Stalin: "wierzyć znaczy kontrolować".

[edit]
oczywiście pracownicy powinni wiedzieć (i podpisać że zapoznali się z oświadczeniem) że ich poczynania w sieci są logowane, inaczej jest to nieetyczne i nielegalne.
Sama świadomość bycia monitorowanym wystarcza, nie trzeba blokować. Dominik Głowacki edytował(a) ten post dnia 03.03.12 o godzinie 09:36

Temat: blokować, czy kontrolować??

Tomku, nikt nie kwestionuje chyba potrzeby ograniczania i kontroli ruchu sieciowego, raczej ważne są cele w jakich należy to robić.
Ochrona sieci i systemu informatycznego firmy jest zawsze na pierwszym miejscu.

Temat: blokować, czy kontrolować??

Jarek Żeliński:

tam gdzie lezy to w mojej gestii jade ze wszystkim (poza 'a' :) );

a ja pytam "sponsora" co chce osiągnąć i ostrzegam o ryzykach...

skoro juz mam role tego zlego w dyskusji.. :)

nie wiem jak Twoje, ale moje doswiadczenia mowia ze pytanie jak nazwales 'sponsora' (z zalozenia kogos decyzyjnego i nietechnicznego) o celowoc ograniczania czegokolwiek to odwlekanie decyzji do pierwszej wpadki.. mozna to porownac do sytuacji w ktorej swiatly admin przekonuje szefa ze potrzeba zainwestowac w backupy; nietechniczny szef nie wylozy pieniedzy dopoki.. co sie stanie? :)

z zabezpieczeniami sieci (takze filtrowaniem) informowanie i czekanie na decyzje to proszenie sie o klopoty po ktorych kto bedzie winien i kto bedzie sprzatal?.. :) stad nadal, idealy idealami, wolnosc obywatelska wolnoscia obywatelska, rownosc i braterstwo rownoscia, ale - ja przynajmniej - wchodzac do firmy bez proxy i ciecia nie informuje i nie czekam ale wycinam i informuje..

Temat: blokować, czy kontrolować??

nie wiem jak Twoje, ale moje doswiadczenia mowia ze pytanie jak nazwales 'sponsora' (z zalozenia kogos decyzyjnego i nietechnicznego) o celowoc ograniczania czegokolwiek to odwlekanie decyzji do pierwszej wpadki.. mozna to porownac do sytuacji w ktorej swiatly admin przekonuje szefa ze potrzeba zainwestowac w backupy; nietechniczny szef nie wylozy pieniedzy dopoki.. co sie stanie? :)

osobiście uważam, że menedżera trzeba uczyć zaufania i decyzyjności... ;)

z zabezpieczeniami sieci (takze filtrowaniem) informowanie i czekanie na decyzje to proszenie sie o klopoty po ktorych kto bedzie winien i kto bedzie sprzatal?.. :) stad nadal, idealy idealami, wolnosc obywatelska wolnoscia obywatelska, rownosc i braterstwo rownoscia, ale - ja przynajmniej - wchodzac do firmy bez proxy i ciecia nie informuje i nie czekam ale wycinam i informuje..

rozdzielam role decydenta od wykonawcy... ja nigdy nie przekraczam granicy rekomendacji, decyduje menedżer... bez tego nigdy się nie nauczą :)

Temat: blokować, czy kontrolować??

Jarek Żeliński:
osobiście uważam, że menedżera trzeba uczyć zaufania i decyzyjności... ;)

a, skoro filozofujemy.. :) sytuacja prawdziwa, sprzed powiedmy 10 lat w firmie zajmujacej sie duza produkcja; era dyskietek, baz danych w .dbf i wfw311

[1]
- A: w czerwcowy piatek, na cotygodniowych spotkaniach nowy admin idzie do szefa mowi: nie mamy backupow i nie mamy antywirusa, trzeba kupic
- S: e?.. nie dzis przyjdz w piatek
w kolejny piatek:
- A: wiec przygotowalem, trzeba kupic to i to za tyle i tyle..
- S: e, widzisz, budzetowanie robimy od wrzesnia to sie ustali co i ile
do sierpnia, mimo wielokrotnych nieowocnych monitow nie dalo sie srodkow wyciagnac ani na antywirusa ani na backup, do firmy przyszedl synek ksiegowej z dyskietka z ulubiona gra; dzien pozniej okazalo sie ze polowe .dbf zezarl wirus; w piatek admin zostal obarczony zadaniem usuniecia za wszelka cene problemow z wirusami i ksiegowoscia ktora narzeka ze zniknely dokumenty; przez kolejny tydzien admin poinstalowal na wszystkich komputerach triale antywirusa, usunal scierwo, ksiegowosc przepisala z papieru do komputera co zginelo, w kolejny piatek admin dostal oficjalny opeer ze zaniedbal i dopuscil; w kolejny piatek, jak juz ciezko zszokowany doszedl do siebie poszedl do szefa i mowi:
[goto 1]

wiec jeszcze raz - chetnie bede przelozonych uczyl decyzyjnosci i zaufania, ale niechetnie w takich dziedzinach gdzie ich brak decyzyjnosci mi przysporzy klopotow i obarczania wina.. doswiadczenie uczy ze przelozony nigdy nie jest winien, nigdy nie uslyszales ze '..to twoja wina bo nie dosc wyraznie zaakcentowales koniecznosc i potrzebe..' ? :)

i koniec chyba, zboczylismy z tematu.. :)Tomasz Serwański edytował(a) ten post dnia 02.03.12 o godzinie 23:29

Temat: blokować, czy kontrolować??

Tomasz Serwański:

Jarek Żeliński:

tam gdzie lezy to w mojej gestii jade ze wszystkim (poza 'a' :) );

a ja pytam "sponsora" co chce osiągnąć i ostrzegam o ryzykach...

skoro juz mam role tego zlego w dyskusji.. :)

nie wiem jak Twoje, ale moje doswiadczenia mowia ze pytanie jak nazwales 'sponsora' (z zalozenia kogos decyzyjnego i nietechnicznego) o celowoc ograniczania czegokolwiek to odwlekanie decyzji do pierwszej wpadki.. mozna to porownac do sytuacji w ktorej swiatly admin przekonuje szefa ze potrzeba zainwestowac w backupy; nietechniczny szef nie wylozy pieniedzy dopoki.. co sie stanie? :)

z zabezpieczeniami sieci (takze filtrowaniem) informowanie i czekanie na decyzje to proszenie sie o klopoty po ktorych kto bedzie winien i kto bedzie sprzatal?.. :) stad nadal, idealy idealami, wolnosc obywatelska wolnoscia obywatelska, rownosc i braterstwo rownoscia, ale - ja przynajmniej - wchodzac do firmy bez proxy i ciecia nie informuje i nie czekam ale wycinam i informuje..

Przedstawiasz na piśmie wszystkie zagrożenia i wskazane zabezpieczenia, zarząd/decyzyjni sie podpisują pod decyzja na tak lub nie. Musisz mieć zawsze dupochron, w jedna bądź w druga stronę.

Temat: blokować, czy kontrolować??

Jarek Żeliński:

nie wiem jak Twoje, ale moje doswiadczenia mowia ze pytanie jak nazwales 'sponsora' (z zalozenia kogos decyzyjnego i nietechnicznego) o celowoc ograniczania czegokolwiek to odwlekanie decyzji do pierwszej wpadki.. mozna to porownac do sytuacji w ktorej swiatly admin przekonuje szefa ze potrzeba zainwestowac w backupy; nietechniczny szef nie wylozy pieniedzy dopoki.. co sie stanie? :)

osobiście uważam, że menedżera trzeba uczyć zaufania i decyzyjności... ;)

Pod warunkiem że za brak decyzyjności bądź złą odpowie tenże manadźer, na pismie decyzja o zastosowaniu bądź nie zalecanych środków bezpieczeństwa, decyzja przedłożona zarządowi firmy.

z zabezpieczeniami sieci (takze filtrowaniem) informowanie i czekanie na decyzje to proszenie sie o klopoty po ktorych kto bedzie winien i kto bedzie sprzatal?.. :) stad nadal, idealy idealami, wolnosc obywatelska wolnoscia obywatelska, rownosc i braterstwo rownoscia, ale - ja przynajmniej - wchodzac do firmy bez proxy i ciecia nie informuje i nie czekam ale wycinam i informuje..

rozdzielam role decydenta od wykonawcy... ja nigdy nie przekraczam granicy rekomendacji, decyduje menedżer... bez tego nigdy się nie nauczą :)

naucza się o ile odpowiedzą za brak, lub błędne decyzje - podkładka na piśmie zawsze, przedłożona wyżej.

Temat: blokować, czy kontrolować??

Brniemy w opary absurdu. Zaczęło się od pytania "blokować dostęp do określonych witryn, czy kontrolować/logować strony przeglądane w czesie pracy przez userów" a przeszliśmy przez firewall'e, antywirusy, backupy, i nie wiem co jeszcze. Gdzieś między wierszami wynikło jakoby brak filtrowania URL równał się brakowi jakichkolwiek zabezpieczeń (!!!), że nie filtrując URL'i admini pozwalają na panoszenie się wirusów, trojanów, etc. Czego jeszcze się dowiemy? Panowie, wolnego, zobaczcie pytanie jakie rozpoczęło dyskusje i trzymajcie się wątku. Blokowanie nk, fb czy goldenline a kontrola co też płynie po tym porcie 80, czy to rzeczywiście jest HTTP (inspekcja w warstwie siódmej), blokowanie JS czy ActiveX, a nawet blokowanie niepożądanych metod HTTP, kontrola antywirusowa i tak dalej to dwie całkiem różne sprawy i nie wrzucajcie tego do jednego worka.

To że ktoś nie uważa wycinania serwisów społecznościowych za właściwą metodę zarządzania zespołem i (de)motywacji, to że ktoś uważa, że lepszy jest zadaniowy system rozliczania pracowników z powierzonych zadań (chcą w pracy przeglądać fb czy czytać interie a pracować w domu - wolna wola), ... nie czyni zeń nieodpowiedzialnego admina który puszcza wszystko na żywioł. Wręcz przeciwnie bym powiedział, większe jest zagrożenie ze strony naiwnego admina wierzącego że jak wytnie niepożądane serwisy to zabezpieczy go to przed wszelkimi zagrożeniami.

Temat: blokować, czy kontrolować??

- A: w czerwcowy piatek, na cotygodniowych spotkaniach nowy admin idzie do szefa mowi: nie mamy backupow i nie mamy antywirusa, trzeba kupic
- S: e?.. nie dzis przyjdz w piatek

błąd admina: powinien szefowi pokazać dokument o treści:
"nie mamy backupów ani antyvirusa, na 99% grozi nam problem w sieci z powodu wirusów, naprawa takich szkód i straty to koszty rzędu ZZZ tys. w skali roku, nie mamy także kopii zapasowych, kary i inne koszty utraty danych to straty rzędu NNN tys. w skali roku, zakup antywirusa to koszt XXX a systemu backup to koszt YYY. Proszę o decyzję"

w kolejny piatek admin dostal oficjalny opeer ze zaniedbal i dopuscil; w kolejny piatek, jak juz ciezko zszokowany doszedl do siebie poszedl do szefa i mowi:

a ja z uporem maniaka twierdzę, że dał ciała admin (menedżer nie miał pojęcia czym ryzykuje)
j.w.

wiec jeszcze raz - chetnie bede przelozonych uczyl decyzyjnosci i zaufania, ale niechetnie w takich dziedzinach gdzie ich brak decyzyjnosci mi przysporzy klopotow i obarczania wina.. doswiadczenie uczy ze przelozony nigdy nie jest winien, nigdy nie uslyszales ze '..to twoja wina bo nie dosc wyraznie zaakcentowales koniecznosc i potrzebe..' ? :)

i koniec chyba, zboczylismy z tematu.. :)

nie zboczyliśmy, branie wszystkiego na siebie:
- uczy menedżerów że problem nie istnieje
- jest totalna samowolą w cudzej firmie

na koniec: nie ma obowiązku pracy z palantami... jak Ci się szef nie podoba to go go zmień :) albo żyj z nim z wzajemnym szacunkiem...

z całym szacunkiem dla wielu z Was ("ludzi IT"): często walczę u klientów z samowolą adminów i innych służb IT, którzy uważają, nie muszą nikomu mówić co robią bo "wiedzą lepiej"... potem jest problem, bo w firmie dzieje się coś co nie zawsze zgodne z jej celami a bywa, że z prawem. Z przykrością powiem, ze wielu z nich po protu szkodzi firmom w imię własnego spokoju a nie raz i własnego interesu... nie jest niczym rzadkim dla mnie usłyszeć w kuluarach od tychże adminów i innych lokalnych programistów, że "IT czegoś nie chce bo to nie w ich interesie"... a tym interesem jest niestety nie raz ICH interes a nie interes firmy, dzięki której mają swoje wynagrodzenie...Jarek Żeliński edytował(a) ten post dnia 03.03.12 o godzinie 09:14

Temat: blokować, czy kontrolować??

Krzysztof Kania:
Wręcz przeciwnie bym powiedział, większe jest zagrożenie ze strony naiwnego admina wierzącego że jak wytnie niepożądane serwisy to zabezpieczy go to przed wszelkimi zagrożeniami.

Przed wszystkimi to się nie da nigdy tego zrobić, ale na pewno zwiększy bezpieczeństwo w firmie.

Cały czas tutaj widzę każdy twierdzi że jak ktoś zechce to da radę obejść zabezpieczenia, ale dyskutujemy tu w gronie osób często nazywanych "informatykami". Niech firma liczy sto osób, z tego 10 osób to informatycy co bez problemu poradzą sobie z obejściem zabezpieczeń, pewnie jeszcze z 15 osób wyczyta w internecie jak ominąć dane zabezpieczenie, ale i tak 75 osób w firmie nie będzie miała dostępu do serwisu.

Temat: blokować, czy kontrolować??

może pytanie z innej strony: skoro wielu ludzi doskonale radzi sobie z własnym komputerem w domu, a syf ma komputerze w pracy to o czym to świadczy?

Temat: blokować, czy kontrolować??

Jarek Żeliński:
może pytanie z innej strony: skoro wielu ludzi doskonale radzi sobie z własnym komputerem w domu, a syf ma komputerze w pracy to o czym to świadczy?

Oj tutaj to bym podyskutował, ileż to ludzi nie ma nawet antywirusa zainstalowanego, nie mówiąc o aktualizacjach Windowsa. P0prostu "normalni" ludzie nawet nie wiedzą że mają coś nie tak z komputerem i wychodzą z założenia wyświetla strony to znaczy że działa, a że w tle śmiga 20 procesów zbierających wszystkie wprowadzone dane to już inna sprawa.

Temat: blokować, czy kontrolować??

No jest jeszcze kwestia niebezpiecznych linków od Googla :-) wiadomo security transparent to exclusiv na razie. Fajną rzecz widziałem w oddziale Zagranicznej firmy, mianowicie na koniec miesiaca wszyscy bez wyjatku dostawali wykaz stron z których korzystali i ile to kosztowało chlebodawcę :-). Instalowałem tam bramy AV i z ciekawości zapytałem jak się temat sprawdza ...tendencja malejąca ale magazyny w innej lokalizacji to niestety blokady ( porno, proxy, wynalazki, USB ). Jedynie pełny dostęp do wszystkiego miał dział windykacji i rozrachunków z klientem :-D ( nie do porno rzecz jasna i innych wynalazków). Bardzo fajną zasadę mieli dla pracowników mobilnych Only VPN i na zewnatrz i wewnątrz ...bezwzględnie i na wieki :-D...i żadnych wyjątków.

Jarek Żeliński:

Piotr B.:
Krótko i Węzłowato :-)

Paweł Ratajczak:
Lepsza prewencja niż zapobieganie. Z doświadczenia wiem iż ograniczenie dostępu jest czystą sprawą bez zahaczania o przepisy prawa o których wspomniał mój przedmówca.

wszytko zależy, po pierwsze od tego "kogo" nadzorujemy (pracownik samodzielny czy nie), po drugie od tego jaką "kulturę nadzoru" praktykujemy, jedni na drzwiach piszą "proszę nie wchodzić" inni okręcają drzwi drutem kolczastym i podłączają do prądu....

dodam dla odmiany od siebie, że podczas swojej pracy na tak różnych stronach znajdują przydatne mi w różnych momentach informacje, że opisanie regułą "które to są" graniczy z cudem... (np. jak zawieram umowę wpisuję do Google nazwiska członków zespołu projektowego, i chce zobaczyć co i gdzie wypisują, to istotne czynniki ryzyka ;))) więc np. odcięcie mi GL, FB czy NK to porażka

co do zaś prewencji to owszem, blokada w pracy np. torrentów itp. serwisów łamiących prawa autorskie jak najbardziej ...

Temat: blokować, czy kontrolować??

Dawid Rogaczewski:

Przed wszystkimi to się nie da nigdy tego zrobić

Kwestia pieniędzy/narzędzi i podejścia - blokujemy wszystko, pozwalamy na wybrane. Kupujemy usługę kategoryzacji na przykład od Websense (korzystamy z ich applianace'a lub konfigurujemy URL filtering na routerze Cisco), wybieramy że zezwalamy na strony biznesowe i z wiadomościami, serwisy społecznościowe powiedzmy odblokowujemy po 15, reszta zablokowana.

Podobnie działa to w rozwiązaniu Zscaler - teoretycznie jest nawet o tyle ciekawsze że nie ważne gdzie jest użytkownik mobilny - jego ruch zawsze przechodzi przez chmurę Zscaler i jest filtrowany (od razu odeprę zarzut że nie działa w Polsce - mają u nas w kraju trzy DC bo jedna z firm kupiła licencje dla 600-set użytkowników). W rozwiązaniu Zscaler poza kategoriami (coś koło 90) obliczany jest jeszcze wskaźnik "reputacji" - jeśli na stronie zostanie znaleziony "syf" wskaźnik leci w dół. No i system jest "pseudo inteligentny" - to znaczy strony które nie zostały skategoryzowane ani przeskanowane a użytkownik je wywołuje zostają skierowane do analizy - skanowania przez skanery AV i kategoryzacji przez "ludziów".

Dało się?

Temat: blokować, czy kontrolować??

Jarek Żeliński:

- A: w czerwcowy piatek, na cotygodniowych spotkaniach nowy admin idzie do szefa mowi: nie mamy backupow i nie mamy antywirusa, trzeba kupic
- S: e?.. nie dzis przyjdz w piatek

błąd admina: powinien szefowi pokazać dokument o treści:
"nie mamy backupów ani antyvirusa, na 99% grozi nam problem w sieci z powodu wirusów, naprawa takich szkód i straty to koszty rzędu ZZZ tys. w skali roku, nie mamy także kopii zapasowych, kary i inne koszty utraty danych to straty rzędu NNN tys. w skali roku, zakup antywirusa to koszt XXX a systemu backup to koszt YYY. Proszę o decyzję"

"Wychowanie przez fakturę", od razu trzeba zabezpieczyć że w razie problemów wynikających z zaniedbania kadry manadżerskiej/pseudooszczędności odpowiednia suma znajdzie się na naszym koncie za pracę dodatkową.

Temat: blokować, czy kontrolować??

Dawid Rogaczewski:

Jarek Żeliński:
może pytanie z innej strony: skoro wielu ludzi doskonale radzi sobie z własnym komputerem w domu, a syf ma komputerze w pracy to o czym to świadczy?

Oj tutaj to bym podyskutował, ileż to ludzi nie ma nawet antywirusa zainstalowanego, nie mówiąc o aktualizacjach Windowsa. P0prostu "normalni" ludzie nawet nie wiedzą że mają coś nie tak z komputerem i wychodzą z założenia wyświetla strony to znaczy że działa, a że w tle śmiga 20 procesów zbierających wszystkie wprowadzone dane to już inna sprawa.

miałem raczej na myśli backupy (lub ich świadomy brak) i czas pracy vs. czas zabawy ;)

Temat: blokować, czy kontrolować??

"Wychowanie przez fakturę", od razu trzeba zabezpieczyć że w razie problemów wynikających z zaniedbania kadry manadżerskiej/pseudooszczędności odpowiednia suma znajdzie się na naszym koncie za pracę dodatkową.

i tu powiem coś w "pewnych kręgach"niepopularnego: bardzo dobrym wyjściem jest zawarcie umowy na administracje z dobrym SLA, uczy pokory obie strony. Wtedy od razu pytanie "czy blokować" zamienia się na "co blokować i dlaczego".