iT邦幫忙

0

請問該如何查出公司內有裝無界或自由門的狀況?

eliza 2009-12-18 14:17:4413509 瀏覽

我問了很多先進,但好像都沒特別簡單的做法(我們單位,有做很多管制,但還是被穿進來)

12
raytracy
iT邦大神 1 級 ‧ 2009-12-19 13:28:09
最佳解答

要查哪些電腦有裝:

  1. 請從 Gateway 上用 Sniffer 抓封包, 過濾出 port 8567 或 9666, 有使用這些 port 的電腦, 就可能裝了上述軟體.
  2. 在用戶端安裝 Symantec 企業版防毒軟體, 他會辨識出上述軟體, 認定為病毒

要封住這些通路:

  1. Gateway 防火牆規則: 內->外 全部禁止通行
  2. 內部架設 DNS, Gateway 防火牆只准這台 DNS 的 port 53 聯外
  3. 內部架設 Proxy, Gateway 防火牆只准這台的 Port 80, 443 聯外
  4. 用戶端的 DNS 指向上面自建的 DNS, 瀏覽器設 Proxy 指向上面的 Proxy
  5. 內架的 Proxy 上面, 只開放公司允許的網站, 其他全部禁止通行
看更多先前的回應...收起先前的回應...
shunyuan iT邦研究生 1 級 ‧ 2009-12-20 00:38:04 檢舉

我很好奇,為何要偵測員工有無使用自由門?我不懂資訊安全,我是外行。

eliza iT邦新手 5 級 ‧ 2009-12-20 15:43:22 檢舉

因為我們懷疑有資料透過這種方式,被帶出去,而且有些耳語(信件)。
此外,防毒我們有2種(cline端 and getway)品牌,好像都不行,其他的我週一問我的學長試試看,總之,謝。

可以上網就出的去,
網域+網路設備禁止服務,通常可以達成你要的設定

還有電子郵件也是依各外流管道。

art777 iT邦新手 5 級 ‧ 2009-12-21 11:38:23 檢舉

**要查哪些電腦有裝:

  1. 請從 Gateway 上用 Sniffer 抓封包, 過濾出 port 8567 或 9666, 有使用這些 port 的電腦, 就可能裝了上述軟體.**

無界的確在local 端會開這些通訊port 但那是要給瀏覽器當作proxy用的通訊埠,如果你在Gateway端去sniffer應該是抓不到這些封包.
因為他連到他外面的server 的 soure port 應該會是跟一般電腦連出去的 port 一樣是經由電腦自己產生出來的不固定port
簡單說 port 9666 是無界 local 的 list port

2. 在用戶端安裝 Symantec 企業版防毒軟體, 他會辨識出上述軟體, 認定為病毒
如果是我只要改一下 process 名稱 (u98.exe ->explorer.exe )

**要封住這些通路:

  1. Gateway 防火牆規則: 內->外 全部禁止通行
  2. 內部架設 DNS, Gateway 防火牆只准這台 DNS 的 port 53 聯外
  3. 內部架設 Proxy, Gateway 防火牆只准這台的 Port 80, 443 聯外
  4. 用戶端的 DNS 指向上面自建的 DNS, 瀏覽器設 Proxy 指向上面的 Proxy
  5. 內架的 Proxy 上面, 只開放公司允許的網站, 其他全部禁止通行**

一般比較嚴謹的單位 1~4的項目都有作 但第五項在執行上應該有難度
如果說 "只開放公司允許的網站, 其他全部禁止通行"的話 那乾脆直接在
Firewall 上設定就好了根本也不用proxy Server.

10
com8831535
iT邦新手 3 級 ‧ 2009-12-22 11:28:42

不知道你是否有考慮使用"硬體式網路記錄器"??
這一家"新軟系統-網路記錄器IR950"我想應該可以符合你的需求!!!
http://www.nusoft.com.tw/tw/product\_info/product\_ir/more-ir950.shtml
裡面有內建VPN軟體管制機制...如:無界...等等,而且阻擋機制會不定時自動更新。
重點是...
1.採用Web管理介面,無須安裝任何軟體,管理員可在任何時間地點連線進管理介面檢視記錄
2.具有繁體中文、簡體中文、英文等三種語言的操作介面,簡單易用。並提供各項系統資訊、各類流量統計,均以智慧化圖形顯示,使管理者易於分析判斷。
3.IR950適用於50人以內的中小型企業。並提供韌體、分析引擎、特徵碼永久免費更新服務

而且你所需要的功能"判斷公司裡面誰在使用VPN軟體?"
這項功能需求IR950可以幫你輕鬆完成!!!
只要你開設"應用程式管制機制"之後...
除了公司使用者無法使用無界等VPN軟體以外
在"IM/應用程式日誌"此項記錄裡,
還會有報表列出誰(UserName+MAC+IP)曾經嘗試連線VPN軟體!!!

有興趣可以至IR系列機種的Demo機網頁操作看看(帳/密:guest)
http://114.32.109.246:8888/

8
steven0513
iT邦新手 5 級 ‧ 2009-12-23 21:56:15

可以参網路考應用層的管理工具喔!像無界或自由門這種tunnel是一般工具擋不住的,除改版的速度超快之外,它利用https走Prot 80,妳根本防不勝防,妳可以去参考這個研討會http://www.broadweb.com.tw/ythnew.htm,就會懂一些了。

8
art777
iT邦新手 5 級 ‧ 2009-12-24 15:48:33

Dear com8831535,
好像有點廣告嫌疑 哈~~
不過不知道您是否有真正研究過無界,
無界算是一個很刁鑽的軟體,您就想大陸資訊長城都很難擋了.
無界使用 一般 CA 加密的方式,有些甚至連CA 都加密,所以根本很難去判斷是一般CA 還是無界的
解決方式:
1.443不用
2.解開CA 再作特徵判斷(不一定解的開來 我試過了)
3.使用特殊的機制來判斷加密連線
而些使用管控應用軟體process名稱的機制 只要改一下名稱就破功啦!!
目前市面上我只看到一兩款可以真正阻擋無界的設備,不過在這邊我不方便

andrewlai iT邦新手 5 級 ‧ 2009-12-24 17:02:48 檢舉

Dear art777~
我們家就是用新軟的IR網路記錄器耶!的確可以擋阿~
如何阻擋我是不曉得拉~
不過您提到的改變process的應用軟體我們也嘗試過,真的也還都可以擋咧~真是超屌!
我是不知道您是否有真正使用過新軟家的產品~
新軟家的東西我們是用了很多也用了很久~
我不敢說他們家的東西有多好用,但實際上有好多同業的朋友都有在推薦呢!
評價很好喔!甚至也有幫很多國內外經銷商做OEM、ODM~

PS.我不是廣告商~也不是經銷商喔~哈哈~只是覺得好用~~^O^

andrewlai iT邦新手 5 級 ‧ 2009-12-24 17:05:35 檢舉

再提一點~
他們家的阻擋方法並不是針對名稱或port號等那種可以隨便更改的東西~
而是針對各種應用程式的特徵碼~

我要發表回答

立即登入回答