作者 主題: 小企業利用自架 DNS + OpenDNS 管理公司員工可上網站  (閱讀 6074 次)

0 會員 與 1 訪客 正在閱讀本文。

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
很多公司都會有管理政策, 不想讓員工用公司內的電腦上 MSN , Facebook 等,
如果要買一台 L7 Filter 大概 5,6 位數的經費跑不掉, 可是公司內才不到 10 個人,
難到就沒有更經濟的作法嗎?

有啊, 不過 MIS/IT 人員要善用工具.

工具:
1. IP 分享器一台(至少有 port 過濾功能)
2. 內部 DNS 主機一台(以 Pentium !!! 等級 + 512M 架 Linux 即可, 這台順便當 NAS )

原理:
1. 上網最重要的是有 IP , 並透過 DNS 查詢到該網路主機的 IP .
2. 既然如此, 只要 DNS 回報無此 IP , Client 就無法向該主機連線了.

基本型實作:
1. 以 Linux 架設一台 DNS 主機(IP 為 192.168.1.1 )(技術部份省略), 並設定 Forwarder 到 ISP 的 DNS 主機(舉例: 中華電信為 168.95.1.1).
2. 將 IP 分享器設定: 只有 192.168.1.1 可以對外連線到 DNS .
3. 公司內的其他電腦, DNS 指向 192.168.1.1
這樣就可以做到在 DNS 主機上控管可以查詢的資料, 比如在 DNS 主機上設定:
檢視原始檔複製到剪貼簿列印關於
www.facebook.com A 127.0.0.1 

這樣公司內的電腦就連不上 www.facebook.com 了.

進階型實作:
不過各種色情(劃線)社群網站很多啊, 還有 Plurk, Twitter, 微博, balabala, 每一種都要去知道 Domain Name , 再一一列清單會不會太累了? 那就借用其他公司的服務吧. 有間 OpenDNS 公司有提供家用版的鎖定功能. (詳細說明請自行搜尋)
只要先申請好 OpenDNS 帳號, 設定一組 IP (通常是 WAN 端的 IP ), 再把公司內部的 DNS 主機, Forwarder 指向 OpenDNS , 這樣公司 DNS 內沒有防堵的, OpenDNS 上面會有第二層防堵, 就省事多啦.

不過這些都只是技術應用啦, 完整的管理還需要收服人心, 說服員工做事至少到及格程度, 不然大家都改帶智慧型手機上網, 這方法就無效了....
冷笑話: 我的 IP 是 127.0.0.1

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
L7 層 的監控設備 不太會用來 FILTER 這種類型的封包.

大部份都是拿來做為 異常封包的檢查和過濾.

DNS 的封包 是走 Broadcast 架構 , 可以隋意更改 AP 端的設定 , 擋不住熱情的員工出去上網.


最省錢實惠的方式

是把 SRC IP ,  SRC PORT , DST IP , DST PORT 下 ACL BLOCK 起來.

或是架設 PROXY SERVER 把 內網所有對外的封包全部 BLOCK 起來 只開放這台 PROXY SERVER 出去.

然後在 PROXY SERVER 上下 ACL 來過濾不想出去和進來的封包.

目前 安全層級比較高的單位會用 第二種方式.

例如 : 總X府 , 台X電  , 軍X .........

« 上次編輯: 2012-09-03 21:49 由 FIEND »
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

FIEND

  • 鑽研的研究生
  • *****
  • 文章數: 700
    • 檢視個人資料
    • http://bbs.ecstart.com
L7 層 的監控設備 不太會用來 FILTER 這種類型的封包.

大部份都是拿來做為 異常封包的檢查和過濾.

DNS 的封包 是走 Broadcast 架構 , 可以隋意更改 AP 端的設定 , 擋不住熱情的員工出去上網.


最省錢實惠的方式

是把 SRC IP ,  SRC PORT , DST IP , DST PORT 下 ACL BLOCK 起來.

或是架設 PROXY SERVER 把 內網所有對外的封包全部 BLOCK 起來 只開放這台 PROXY SERVER 出去.

然後在 PROXY SERVER 上下 ACL 來過濾不想出去和進來的封包.

目前 安全層級比較高的單位會用 第二種方式.

例如 : 總X府 , 台X電  , 軍X .........

如果沒有錢買可以下 L3 層 ACL 的設備 , 其實 有支援 L3 ACL 的設備 5000~30萬 不等 而己.

可以 用 LINUX 架 NAT , 直接在 NAT 裡 下 ACL 來阻止 不想放出去和進來的封包.

這樣做比較可以做到 阻止 不想要進和出的 封包.




如果有人走跳板出去

我的做法是背後放一台 PORT MIRROR 的 Analysis 設備在監控 跳板行為 .

我以前寫過一支攻擊程式.

會在走跳板的行為上 , 發出 EVENT .

然後我會開始在區網 利用 DNS 封包的特性 , 搶 遠端 DNS SERVER 的回應封包 , 在區網裡給假的封包 , 攻擊這個用跳板的用戶 , 讓它無法使用這個服務.

一般來說 區網搶遠端 DNS 的封包太容易了.

所以這樣攻擊 違法用戶 , 還可以在他的電腦上 警告他不要玩.



« 上次編輯: 2012-09-03 22:28 由 FIEND »
你累了嗎? 這樣不行 , 人要比 LINUX 兇 @@ " ......

西歪街

  • 鑽研的研究生
  • *****
  • 文章數: 696
  • 性別: 男
    • 檢視個人資料
L3就可以了(默)

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17406
    • 檢視個人資料
    • http://www.study-area.org
transparent proxy 如何?