Stane256 sri 22.1.2020 13:46

pozz,

ovako imam pitanje

Zaposlen sam i radim za računalom koji je logično spojen na mrežu i internet. E sad ne dopušta pregled svih internetskih stranica, tipa facebook, instagram,forum itdd..

e sad me zanima dal je moguće pregledavati i te stranice preko kompa te zaobići tu neku njihovu zaštitu? da li je VPN dovoljan ili treba još nešto?

nije da bi visio po fejsu cijeli dan nego za potrebe posla mi treba nekad neke stranice a nece mi otvorit..

bunker sri 22.1.2020 13:53


@stane256

Pa ako ti to treba za potrebe posla, izvijesti svog neposrednog rukovoditelja, a on će poduzeti potrebne korake koji će rezultirati time da možeš obavljati svoj posao bez ograničenja...

😀

Čitatelj sri 22.1.2020 13:53

Obicno je to regulirano grupama u AD-u, kojima su dodjeljena prava na Firewallu.

 

Ako ne znas o cemu pricam, ne zamaraj se. Na poslu si radi posla, ne radi facebooka.

Posavjetuj se sa osobljem ili sistemcima, sto je u firmi dozvoljeno, a sto ne.

 

VPN ti nece pomoci, jer firewall mu nebi smio dopustiti izlazak van dodjeljene mreze.

Jovanka sri 22.1.2020 18:16
Čitatelj kaže...

 VPN ti nece pomoci, jer firewall mu nebi smio dopustiti izlazak van dodjeljene mreze.

 

Mozes li objasniti gornju recenicu?

 

Iole ozbiljniji VPN provider ima vise nego nekoliko protokola i portova za spajanje na server;  čovjek očigledno ima Internet pristup samo je filtriran, ako moze doci do Interneta, te ako moze ostvariti https konekciju (SSL) u browseru (da pobanaliziram), najcesce VPN ce raditi ukoliko VPN provider ima podrsku.

 

Ne mogu se sjetiti da sam nabasao na firewall zadnjih 5 godina gdje nisam mogao izaci van, a imao sam lokalni admin acc i internet pristup. https://prnt.sc/qrdov6

 

Čitatelj sri 22.1.2020 18:40

Fino, prvo stavis na Firewallu pravilo da odredjena aplikacija odnosno VPN client ne smije van.

Recimo blokirao sam za radnike u nabavi i prodaji, da nebi cijele dane streamali mjuzu bezveze.

 

Isto tako su blokirani jos mnogi servis, popis je velik, al Spotify cu uzeti za primjer, jer recimo

programerima nije blokiran ni Spotify ni Youtube.

 

A druga stvar, korisnik na racunalu koji radi uredske poslove nije lokalni admin,

i ne moze samostalno instalirati i deinstalirati aplikacije - to bi bio veliki sigurnosni propust u svakoj firmi,

kao i pravno propust - jer odredjene "free" aplikacije nisu free u komercijalne svrhe, i ne zelimo krsiti autorska prava.

 

I sad kako ce obicni korisnik progurati VPN preko hardwareskog firewalla, u kojem su svi VPN klijenti blokirani u inbound i outbound pravilima?

 

Inace, koristim Barracuda Firewall, domaci proizvod, radi savrseno, iznimno fleksibilan.

Jovanka čet 23.1.2020 16:41

Kao što sam napisao u svom odgovoru, sve moje napisano važi za dostupan Internet pristup i Admin acc. Vjerovao ili ne, postoje situacije u kojima jednostavno nije moguce maknuti admin access sa računala usera, i generalno pravilo koje mi se pojavljivalo u praksi je da što subjekt ima više zaposlenih, to je lista exceptiona veća. Dati ću ti najblantantniji primjer koji trenutno imam u produkciji; imam najmanje 50tak korisnika koji po uputi klijenata moraju koristiti 3 različita VPN rješenja + nase interno rjesenje (znaci sve skupa 3 različita proizvođača, što top enterprise igraci što OpenVPN za free rješenja). Isto tako imam 10-20 korisnika koji moraju koristiti app koji ZAHTJEVA admin acc., itd, itd...

 

Vidim da koristis "app aware fw", iskreno ti želim sreću da poblokiras SVE VPN klijente koji postoje; jer ukoliko mora postojati pristup Internetu, SSL preko porta 443 sigurno nećeš.

 

PS Kazes "Svi VPN klijenti blokirani"; da li bi ti bio problem pogledati u app definiciji na FWu, koliko je to klijenata u brojkama, živo me zanima

 

Čitatelj čet 23.1.2020 17:44

Ne mora ti AD user biti lokalni admin da bi pokretao odredjenu aplikaciju elevated sa admin credentialsima.

 

Napravis si batch da ti tu aplikaciju pokrece sa AD adminom, ili napravis generalnog AD korisnika

sa ogrenicenim mreznim ovlastima, postavis ga kao lokalnog admina i napravis si batch

da ti se aplikacija koja zahtjeva admin ovlasti pokrece s njim, dok je bilo koji drugi AD user ulogiran.

 

Glupo je da radi jedne aplikacije imas takvu rupu, da moras imati korisnika kao lokalnog admina.

Pa gdje ces stici kad ti 1500 ljudi pocne raditi sranja, da radis 24/7/365 neces stici pokrpati njihove gluposti,

i restoreati backup OS-ova.

 

Trenutno su blokirani 63 VPN-a, uglavnom najveci igraci koji su dostupni svima. Po potrebi se lako doda.

Jedini VPN koji je dozvoljen je lokalni VPN od Barracude, da se korisnici mogu preko RDP-a

od kuce spojiti na svoje radne masine i odraditi Home Office. I u tom slucaju se spajaju

samo preko laptopa iz firme, na kojima isto tako nisu lokalni admini - sve masine

koje ne pripadaju domeni nemaju dozvolu pristupiti mrezi.

 

Uostalom, Vectra detektira sve sumnjive radnje i pokusaja koji se dese unutar mreze i izvana,

prate sve adrese i portove, tako da nema igranja i sale.

 

Al sve je to nebitno za gornjeg korisnika - zeli nesto, i zeli to iza ledja firme.

To je u svakoj firmi black flag za trenutni otkaz. Sav software i ovlasti

moraju proci kroz ruke admina, te voditelja odjela. Nikako na svoju ruku.