Re: анонимайзеры и выход в инет - есть выход?
21.04.2009 20:15, Alexander GQ Gerasiov пишет: > Tue, 21 Apr 2009 13:50:30 +0300 > Peter Pentchev wrote: > >> On Tue, Apr 21, 2009 at 01:57:30PM +0400, Sapytsky Ilya wrote: >>> я сюда написАл сюда от того, что мне надоело тратить час в день на >>> эту фигню... >> Что бы не делал, не остановишь достаточно умных людей, у которых есть >> внешний сервак и которые знают как поставить stunnel + dante. >> Порт 443 не заблокируешь, так stunnel и на порте 443 может работать >> как front-end для dante. > Порт 443 можно терминировать на локальный прокси с автогенерируемым > сертификатом, подписанным CA, стоящим на всех машинах в офисе. > > Гемморойно, но технически вполне реализуемо. Более того, кто-то из > вендоров такую железку делал. То ли Cisco, то ли Juniper. Aladdin еще с их webssl вспоминается. > Это, кстати, вполне себе еще один повод не считать https панацеей. Это если не смотреть на сертификат сервера. Правда в случае наличия правильного CA смотреть будут далеко не все. Но эти же люди и так жалуются на FF3 что он их что-то спрашивать начал при посещении сайтов с самоподписанными сертификатами ли сертификатами от неизвестных CA. -- With MBR Max CCSA/CCSE -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: анонимайзеры и выход в инет - есть выход?
21.04.2009 21:45, Murat D. Kadirov пишет: > 21:37 Tue 21 Apr, Alexander GQ Gerasiov wrote: >> Когда к нам приходит коннект, мы смотрим, куда он направлен (до >> ната/редиректа), подключаемся к удаленному узлу, получаем с него >> сертификат, выдираем оттуда subject, вставляем в свой >> сертификат-заготовку, подписываем его локальным CA, после чего >> заворачиваем TCP сессию клиента на наш локальный прокси с заданным >> сертификатом. Клиент ни о чем не догадывается. Можно еще локальный CA >> назвать VeryVerySign. Для правдоподобности. Естественно, что всё это >> прокатывает только с подконтрольной сетью, где мы можем внедрить свои >> сертификаты. У остальных пользователей будет выскакивать "Unknown CA". > > Мм.. это вроде последняя демонстрация нападения на сертификаты не помню > кто демонитрировал на какой-то конфе по безопасносте с месяц тому назад, > не? Последняя - это скорее всего более сложный вариант, основанный на найденной возможности довольно быстро находить/строить коллизии в md5 и, соответственно, сделать поддельный сертификат, который будет валиден с точки зрения любого браузера без внедрения своего CA. Но это уже даже близко не реалтаймовый путь, да и работает только с теми кто еще использует md5. -- With MBR Max CCSA/CCSE -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: анонимайзеры и выход в инет - есть выход?
В Втр, 21/04/2009 в 12:59 +0400, Sapytsky Ilya пишет: > Добрый день! > Есть ли где в инете список анонимных прокси и анонимайзеров? > Расказываю ситуацию: есть контора, в которой доступ к вебу через > прокси. Банерорезку использую squirm и есть немалый файл с запретами. > Появились "умные" люди, которые обходят запрет и ходят везде. > есть ли где пополняемый список анонимайзеров, ну порносайтов, банеров > для запретов? > Административные меры есть, но пока применять их не охота, ибо пока не > очень достают... Если начальство установило лимит на трафик, может логичнее посылать пользователя к начальству с рапортом об увеличении месячного лимита и обьяснением почему лимита не хватает? С приложением распечатки статистики интернетхождений? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: анонимайзеры и выход в инет - есть выход?
Peter Pentchev пишет: On Tue, Apr 21, 2009 at 01:57:30PM +0400, Sapytsky Ilya wrote: я сюда написАл сюда от того, что мне надоело тратить час в день на эту фигню... Что бы не делал, не остановишь достаточно умных людей, у которых есть внешний сервак и которые знают как поставить stunnel + dante. Порт 443 не заблокируешь, так stunnel и на порте 443 может работать как front-end для dante. Такие люди не будут отсиживать 40 часов в неделю на работе за халявным интернетом. -- -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: анонимайзеры и выход в инет - есть выход?
On Tue, Apr 21, 2009 at 01:57:30PM +0400, Sapytsky Ilya wrote: > я сюда написАл сюда от того, что мне надоело тратить час в день на эту > фигню... Что бы не делал, не остановишь достаточно умных людей, у которых есть внешний сервак и которые знают как поставить stunnel + dante. Порт 443 не заблокируешь, так stunnel и на порте 443 может работать как front-end для dante. Всего лучшего, Петр -- Peter Pentchev r...@ringlet.netr...@space.bgr...@freebsd.org PGP key:http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 The rest of this sentence is written in Thailand, on pgpx6MfL83EhB.pgp Description: PGP signature
анонимайзеры и выход в инет - есть выход?
Добрый день! Есть ли где в инете список анонимных прокси и анонимайзеров? Расказываю ситуацию: есть контора, в которой доступ к вебу через прокси. Банерорезку использую squirm и есть немалый файл с запретами. Появились "умные" люди, которые обходят запрет и ходят везде. есть ли где пополняемый список анонимайзеров, ну порносайтов, банеров для запретов? Административные меры есть, но пока применять их не охота, ибо пока не очень достают... Спасибо!