On Thu, Aug 26, 2010 at 12:47:48PM +0200, Fabio Muzzi wrote:
>
> Media azienda (una sede, 150 desktop). Dopo aver iniziato con la
> navigazione aperta, visto che nessuno rispettava le regole scritte
> (navigazione libera in orario di pausa, senza commettere crimini o
> danneggiare i computer) siamo passati ad uno squid trasparente con un
> antivirus e delle blacklist. Per popolare le blacklist abbiamo usato le
> statistiche di squid: ogni giorno, per mesi e mesi, abbiamo guardato
> ogni giorno la top ten dei siti visistati il giorno prima, verificato
> che NESSUNO di quelli era un sito di lavoro, e blacklistati tutti.
>
> Dopo alcuni mesi di questa tiritera nella top ten hanno cominciato a
> comparire siti di lavoro, assieme con una serie impressionante di siti
> che fanno da proxy (e` incredibile come della gente che il giorno prima
> non sa come si fa a stampare su una stampante diversa da quella di
> default il giorno dopo impara cosa e` un proxy, cosa e` https, come
> impostare un proxy, eccetera). La crescita della blacklist e` cosi`
> continuata, cosi` come il blocco delle porte usate dai proxy pubblici su
> internet. In pratica il sysadmin corre dietro ai modi che gli utenti
> stanno continuando a trovare per aggirare i blocchi.
>
>
Esatto, condivido questo approccio, che è quello che mi diceva il mio
amico che avviene dove lavora lui e mi sembra il più logico.
Entrando nel tecnico:
- cosa usato per fare statistiche "top ten"
- cosa usato per fare filtering (intendo come modulo per squid,
squidguard tipo? gestione via web o a manazza su file di conf)
per rilevare invece il traffico usato da proxy su porta non standard
come lo verifichi?
M.
|