Mitarbeiterzugriff auf öffentliche Cloud blockieren

29

Lassen Sie mich zunächst feststellen, dass dies nicht meine Idee ist und ich nicht diskutieren möchte, ob eine solche Maßnahme sinnvoll ist.

Gibt es jedoch für ein Unternehmen eine Möglichkeit, Mitarbeiter daran zu hindern, auf öffentliche Cloud-Dienste zuzugreifen? Insbesondere sollten sie keine Dateien an eine beliebige Stelle im Web hochladen können.

Das Blockieren von HTTPS könnte eine erste, einfache, aber sehr radikale Lösung sein. Die Verwendung einer schwarzen Liste von IP-Adressen würde ebenfalls nicht ausreichen. Wahrscheinlich wird eine Art Software benötigt, um den Datenverkehr auf Inhaltsebene zu filtern. Ein Proxy kann hilfreich sein, um HTTPS-Datenverkehr filtern zu können.

Das sind meine bisherigen Gedanken. Was denkst du? Irgendwelche Ideen?

marsze
quelle
2
Einer unserer Kunden (wir erledigen andere Aufgaben für sie) tunnelt den gesamten Datenverkehr über einen Proxy, der von bluecoat.com überwacht wird. Viele Websites (Dateispeicher, Spiele, Hacking, Medien ...) sind blockiert. Ich hasse es wirklich ...
Reeno
45
Ich verstehe, warum Sie sagen, dass Sie nicht darüber diskutieren wollen, sondern dass dies einen der größten Teile der Berufsbeschreibung eines guten Systemadministrators auslöst: der Macht die Wahrheit zu sagen. Manchmal ist eine Idee auf den ersten Blick dumm; In anderen Fällen ist es keine schlechte Idee, aber es ist eine soziale / geschäftliche Idee und nicht am besten für eine technische Lösung geeignet. In beiden Fällen ist es das einzig richtige für einen Sysadmin, sich umzudrehen und " nein " zu sagen .
MadHatter unterstützt Monica
4
@ MadHatter Abgesehen von dieser anfänglichen Intuition, die wir teilen, versuche ich, zumindest das darzustellen, was technisch möglich wäre. Ansonsten stimme ich zu.
Marsze
8
Ist dies nicht der Zweck von Verwaltungs- und Nutzungsrichtlinien?
user9517 unterstützt GoFundMonica 10.02.14
6
Möglich: Ihre Computer sind niemals mit dem Internet verbunden. Sie dürfen keine Kamera (natürlich auch kein Mobiltelefon) oder kein Aufnahmegerät (z. B. einen Stift) im Büro haben. Das Büro hat kein Fenster, durch das Sie es öffnen oder hindurchsehen könnten. Außerdem müssen Ihre Benutzer jedes Mal, wenn sie das Büro verlassen, vollständig durchsucht und aus dem Speicher gelöscht werden, damit sie sich etwas merken und es später ins Internet stellen können!
njzk2

Antworten:

71

Grundsätzlich haben Sie hier drei Möglichkeiten.

1. Trennen Sie Ihr Büro / Ihre Benutzer vom Internet

  • Wenn sie nicht in die "Public Cloud" gelangen können, können sie nichts in sie hochladen.

2. Erstellen Sie eine Blacklist mit bestimmten Diensten, auf die Benutzer zugreifen können.

  • Dies wird absolut gewaltig sein, wenn es auch nur aus der Ferne effektiv sein soll.
    • Technisch versierte Benutzer werden immer einen Weg finden, um das Problem zu umgehen - ich kann von überall auf der Welt über eine Internetverbindung eine Verbindung zu meinem Computer herstellen, also ... viel Glück, dass ich blockiert werde.

3. Mach etwas Vernünftigeres / erkenne die Grenzen der Technologie.

  • Dies ist nicht Ihre Idee, aber wenn Sie dem Management die Fallstricke und die Kosten für die Implementierung einer solchen Lösung aufzeigen, sind sie offener für bessere Ansätze.

    • Manchmal ist dies eine Konformitätssache oder "nur für den Anschein", und sie sind damit zufrieden, nur die beliebtesten Dienste zu blockieren
    • Manchmal verstehen sie wirklich nicht, wie verrückt ihre Bitte ist, und Sie müssen sie in Begriffen erklären, die sie verstehen können.
      • Ich hatte einmal einen Kunden, als ich für einen Computersicherheitsanbieter arbeitete, der wollte, dass wir einen Weg finden, um Mitarbeiter davon abzuhalten, vertrauliche Informationen an unseren AV-Agenten weiterzuleiten. Ich holte mein Smartphone heraus, machte ein Bild von meinem Bildschirm und fragte ihn, wie er das möglicherweise verhindern könne, oder schrieb die Informationen sogar auf ein Stück Papier.
      • Verwenden Sie die Nachrichten und die jüngsten Ereignisse in Ihrer Erklärung - wenn die Armee Manning nicht aufhalten konnte und die NSA Snowden nicht aufhalten konnte, warum glauben Sie dann, dass wir es schaffen können und wie viel Geld wird es Ihrer Meinung nach kosten, es auch nur zu versuchen?
HopelessN00b
quelle
11
Gute Antwort. Die Anfrage kann wirklich nicht außerhalb von 2.a bearbeitet werden - mit einer WHITELIST. Und dann Leute anheuern, um es zu verwalten;) Weil Mann, es wird eine Menge Arbeit sein. Möglicherweise weniger als eine schwarze Liste. Und trotzdem nichts erreichen (nette Idee mit dem Smartphone). Surreale Bitte.
TomTom
1
@TomTom Ja, ich habe über die Whitelist nachgedacht, aber überall, wo ich jemals gesehen habe, ist die Whitelist der Teile des Internets, auf die sie zugreifen möchten, weitaus größer als die schwarze Liste der Dienste, vor denen sie irrationalerweise Angst haben oder die sie nicht wollen Zugriff.
HopelessN00b
1
Ich denke es kommt darauf an. Zum Beispiel in meiner Firma wäre die Whitelist nur vielleicht 300 Artikel. Erforderlich für Unternehmen. Eine schwarze Liste fängt an, alles zu handhaben. Die Whitelist, die Sie gewinnen (immer gültig, beginnt mit 0 Einträgen) - die Blacklist, von der Sie nicht einmal wissen, wo Sie anfangen sollen. Aber im Allgemeinen sind das vergebliche Versuche.
TomTom
3
IMHO, das Blockieren der 10 offensichtlichsten Sites würde wahrscheinlich 95% dessen erreichen, wonach das Management strebt. Niemand kümmert sich um die wenigen Nerds, die um den Block tunneln.
Steve Bennett
3
@SteveBennett Auch wenn dies wahrscheinlich zutrifft, ist es nicht sicher anzunehmen, dass sich das Management nicht um die 5% und / oder die Personen kümmert, die das System umgehen können und werden. Wenn die technischen Ressourcen das Management nicht über die Systembeschränkungen informieren, sind es die technischen Ressourcen, deren Köpfe rollen, wenn jemand die gesamte IP des Unternehmens auf BitTorrent hochlädt (oder ein Ereignis, das das Management auf dieses Problem aufmerksam macht).
HopelessN00b
30

Es gibt natürlich keine Möglichkeit, es vollständig zu blockieren, es sei denn, das Unternehmensnetzwerk wurde vom Internet getrennt.

Wenn Sie wirklich etwas wollen, das die meiste Zeit funktionieren soll, während es größtenteils transparent ist, müssen Sie Pakete tief schnüffeln . Richten Sie einen Man-in-the-Middle-SSL / TLS-Proxy sowie einen für unverschlüsselte Kommunikation ein und blockieren Sie den gesamten Datenverkehr, der keinen dieser Daten durchläuft.

  • Blockieren Sie HTTP-PUT-Anforderungen
  • Blockieren Sie alle HTTP-POST-Anforderungen, bei denen der Inhaltstyp nicht application / x-www-form-urlencoded oder multipart / form-data ist
  • Entfernen Sie für HTTP-POST-Anforderungen vom Typ Multipart / Formulardaten Felder mit der inhaltlichen Disposition "Datei" (lassen Sie jedoch andere Felder durch).
  • Blockieren Sie den FTP-, BitTorrent- und SMTP-Verkehr
  • Blockieren Sie den gesamten Datenverkehr zu den wichtigsten Webmail-Diensten und zu den wichtigsten öffentlichen Dateispeicherorten.

Wie Sie sehen, ist dies ein massives und schmerzhaftes Unterfangen. Es ist auch alles andere als unverwundbar : Ich denke an mehrere Problemumgehungen, während ich dies schreibe, von denen einige nicht behoben werden können, ohne die Webverbindungen Ihrer Benutzer grundlegend zu unterbrechen, und es wird wahrscheinlich Kommentare geben, die viel mehr zeigen, als ich es nicht getan habe Denk an. Es sollte jedoch den meisten Datenverkehr durchlassen und gleichzeitig die einfachsten Möglichkeiten herausfiltern, um das Hochladen von Dateien zu verhindern.

Das Fazit ist, dass dies mehr Ärger ist, als es wert ist.

Die beste Antwort wäre, eine Art Verhandlung mit Ihren Vorgesetzten aufzunehmen: Finden Sie heraus, was sie wirklich wollen (wahrscheinlich entweder Schutz von Geschäftsgeheimnissen oder Verhinderung von Haftung), und erklären Sie, warum diese nicht praktikablen technischen Maßnahmen sie nicht zu dem bringen, was sie wollen. Dann können Sie Lösungen für ihre Probleme erarbeiten, die keine nicht umsetzbaren technologischen Maßnahmen beinhalten.

Machen Sie sich in diesen Diskussionen keine Gedanken über die Ideologie. Sie müssen sich nur darauf konzentrieren, was funktionieren wird und was nicht . Sie werden dort alle Argumente finden, die Sie brauchen, und obwohl dies Sie und Ihre Chefs zweifellos frustrieren wird, vermeidet es, Werturteile gegen sie zu fällen (was vielleicht verdient ist, aber nur dazu führt, dass die Gespräche zusammenbrechen, und das ist schlecht ).

Der Löffeligste
quelle
4
+1 für einige nützliche Implementierungsvorschläge und für die Darstellung einer Sicht auf dieses Thema aus einer breiteren Perspektive!
Marsze
26

Was HopelessN00b gesagt hat. Ich wollte nur hinzufügen, dass:

Ich habe eine Freundin mit einem Job bei einer Regierungsbehörde, bei der sie kein Handy mit einer Kamera ins Büro bringen darf. Normalerweise sagt sie: "Ich darf kein Handy mit Kamera besitzen", weil, na ja. Wenn sie ihre Zelle nicht mitnehmen kann, warum sollte sie eine besitzen? Sie hat Probleme, Handys ohne Kamera zu finden.

Ich habe für andere hochsichere Orte gearbeitet, die dieses Problem über den administrativen Faschismus "lösen" würden :

  • Eine offizielle Richtlinie, nach der der Zugriff auf Ihre persönlichen E-Mails von Ihrem Arbeitsplatz aus strafbar ist.
  • Eine offizielle Richtlinie, nach der der Zugriff auf einen Cloud-Dienst von Ihrer Workstation aus strafbar ist.
  • Eine offizielle Richtlinie besagt, dass das Anschließen eines USB-Sticks, eines iPods oder eines Mobiltelefons an eine Workstation eine Straftat darstellt.
  • Eine offizielle Richtlinie, nach der der Zugriff auf soziale Medien von Ihrer Workstation aus strafbar ist.
  • Eine offizielle Richtlinie besagt, dass die Installation von nicht autorisierter Software auf Ihrer Workstation eine Straftat darstellt.
  • Eine offizielle Richtlinie, nach der der Zugriff auf Ihr persönliches Online-Banking von Ihrer Workstation aus strafbar ist.
  • Eine epische Unternehmens-Firewall / Proxy, die viele / die meisten dieser Websites blockiert hat. Wenn Sie beispielsweise versuchen, auf facebook.com zuzugreifen, wird ein Bildschirm mit der Meldung "Diese Website wurde von ETRM blockiert" angezeigt. Gelegentlich blockierten sie Dinge wie Stack Overflow auch als "Hacking".
  • Bei einigen "Verstößen" wird eine E-Mail an Ihr gesamtes Team gesendet, die besagt, dass Sie auf eine nicht autorisierte Website zugegriffen haben (im Gegensatz zum diesmaligen Schießen). ("Katherine Villyard hat um 15:21 Uhr auf http://icanhas.cheezburger.com/ zugegriffen !")
  • Erzwingen Sie, dass alle neuen Mitarbeiter den Kurs "Sicherheitspolitik" belegen, in dem diese Regeln erläutert werden, und zwingen Sie die Mitarbeiter, regelmäßig Auffrischungskurse zu diesen Regeln zu absolvieren. Und dann nimm an einem Quiz teil.

Orte, die sich auf den Verwaltungsfaschismus stützen, versuchen meiner Erfahrung nach im Allgemeinen nur flüchtig, diese Regeln mit technischen Mitteln zu sichern. Zum Beispiel sagen sie, dass sie Sie feuern, wenn Sie ein USB-Stick anschließen, aber sie deaktivieren USB nicht. Sie blockieren Facebook über http, aber nicht über https. Und, wie HopelessN00b hervorhob, wissen und verspotten versierte Benutzer dies.

Katherine Villyard
quelle
2
Es gibt technische Lösungen, auf die Sie sich verlassen können, um USB-Geräte zu deaktivieren (jeder AV-Agent, den ich seit Jahren gesehen habe, kann dies ziemlich effektiv tun) oder den Zugriff auf [einige] genau definierte Kategorien von Websites zu blockieren. Das Problem für das OP ist, dass "öffentliche Cloud" / "Orte, an denen Benutzer Daten hochladen können" keine genau definierte Kategorie ist (und es auch nicht so bald sein wird), sodass er nicht einmal einen Webfilter als Lösung für das vorschlagen kann Problem ... er muss eine benutzerdefinierte schwarze Liste erstellen oder das Management überzeugen, um die Vernunft zu erkennen.
HopelessN00b
Ich weiß und stimme zu. Ich habe diese Liste auf keinen Fall vorgelegt, um sie als Maßnahme zu unterstützen. :)
Katherine Villyard
9
Technisch gesehen umfasst die öffentliche Cloud jeden Hoster, da es trivial ist, eine Website zu mieten und eine Datei hochzuladen. Autsch. Unlösbares Problem.
TomTom
Viele Jahre lang durften Angestellte am Arbeitsplatz meines Vaters im Büro keine Telefone mit einer Kamera tragen. Schließlich ging das Unternehmen zu einer Richtlinie über, die es erlaubte, Firmentelefone (zu der Zeit Brombeeren, jetzt Iphones), aber keine persönlichen Telefone, zuzulassen.
Brian S
Viele Smartphones verwenden eine modulare Kamera, die mit wenig Aufwand entfernt werden kann. Es ist nicht etwas, das Sie wiederholt tun möchten, da es möglicherweise seltsame Werkzeuge erfordert, um sicher zu sein, aber es würde die Verwendung eines zeitgemäßen, nützlichen Mobilteils in einem eingeschränkten Bereich ermöglichen.
Pekka
19

Eigentlich gibt es eine einfache Lösung, vorausgesetzt, Sie erwarten nicht, dass Ihr internes Netzwerk gleichzeitig mit dem Internet in Berührung kommt.

Ihre PCs müssen lediglich vollständig vom Zugriff auf das Internet ausgeschlossen sein. Alle USB-Anschlüsse blockiert usw.

Um ins Internet zu gelangen, müssen die Benutzer entweder einen anderen Computer verwenden - der mit einem anderen Netzwerk verbunden ist - oder sich über RDP mit einem Terminalserver verbinden, der über einen Internetzugang verfügt. Sie deaktivieren die Zwischenablage über RDP und keine Windows-Freigabe. Auf diese Weise können Benutzer keine Dateien auf die Internet-Terminalserver kopieren und somit keine Dateien senden.

Damit bleiben E-Mails ... das ist Ihre größte Lücke, wenn Sie E-Mails auf den internen PCs zulassen.

ETL
quelle
3
Hört sich schnippisch an, aber leider ist das die Wahrheit. Ziemlich der einzige Weg, dies zu lösen.
TomTom
2
Wir haben diese Lösung (Internet und E-Mail nur über Terminalserver) bereits für Teile unseres Unternehmens implementiert. Für die Softwareentwickler wäre es jedoch offensichtlich sehr mühsam, überhaupt keinen Internetzugang zu haben ...
März,
@ Marsze - Ich habe gesehen, dass es mit einem Whitelist-Proxy gelöst wurde, bei dem die wenigen Dinge, die die Programmierer direkt auf ihrer Box benötigen (wie Maven Repo), über Proxy zugelassen werden.
ETL
1
Das hinterlässt einen Stift und ein Papier oder einfach eine Erinnerung.
njzk2
1
@marsze Ich habe in einer Firma mit getrennten Netzwerken gearbeitet, die den Entwicklern zwei Maschinen zur Verfügung gestellt hat. Ein leistungsfähiger Server für Entwicklungsarbeiten, der mit dem internen Netzwerk verbunden ist, und ein anderer (Thin Client oder alte Clunker-Box), der mit einem Netzwerk verbunden ist, das über einen Internetzugang verfügt. Eine effektive, wenn auch vereinfachte und teurere Lösung.
HopelessN00b
5

Sie kennen den alten Witz, dass Sie, wenn Sie und ein Halbling von einem wütenden Drachen verfolgt werden, nicht schneller laufen müssen als der Drache, sondern nur schneller sein müssen als der Halbling? Unter der Annahme, dass nicht böswillige Benutzer * den Zugriff auf die öffentliche Cloud nicht einschränken müssen, reicht es aus, die Benutzerfreundlichkeit der öffentlichen Cloud zu verringern, als die der Unternehmenslösung für den nicht schreibtischgebundenen Datenzugriff . Durch die ordnungsgemäße Implementierung wird das Risiko von nicht böswilligen Lecks erheblich reduziert und ist mit einem Bruchteil der Kosten realisierbar.

In den meisten Fällen sollte eine einfache schwarze Liste ausreichen. Legen Sie Google Drive, Dropbox und die Apple Cloud darauf. Blockieren Sie auch den Datenverkehr zu Amazon AWS - die meisten dieser Start-ups, die einen weiteren Cloud-Service erstellen, erstellen kein eigenes Rechenzentrum. Sie haben soeben die Anzahl der Mitarbeiter, die wissen, wie sie in die Public Cloud gelangen, von 90% auf 15% gesenkt (sehr grobe Zahlen, je nach Branche unterschiedlich). Erklären Sie anhand einer geeigneten Fehlermeldung, warum öffentliche Clouds verboten sind, was den Eindruck einer mutwilligen Zensur mindert (leider wird es immer Benutzer geben, die nicht bereit sind, dies zu verstehen).

Die restlichen 15% können Anbieter erreichen, die nicht auf der schwarzen Liste stehen, aber sie werden sich wahrscheinlich nicht darum kümmern. Google Drive und Co unterliegen stark positiven Netzwerkeffekten (der wirtschaftlichen Art, nicht der technischen Art). Jeder nutzt die gleichen 2-3 Dienste, so dass sie überall eingebaut werden. Benutzer erstellen bequeme, optimierte Workflows, die diese Dienste enthalten. Wenn der alternative Cloud-Anbieter nicht in einen solchen Workflow integriert werden kann, haben die Benutzer keinen Anreiz, ihn zu verwenden. Und ich hoffe, dass Sie eine Unternehmenslösung für die grundlegendste Verwendung einer Cloud haben, z. B. das Speichern von Dateien an einem zentralen Ort, der von einem physischen Standort außerhalb des Campus aus erreichbar ist (mit VPN, wenn Sicherheit erforderlich ist).

Fügen Sie dieser Lösung eine Menge Mess- und Analysefunktionen hinzu. (Dies wird immer benötigt, wenn Benutzer betroffen sind). Entnehmen Sie Datenverkehrsproben, insbesondere, wenn verdächtige Muster vorliegen (Upstream-Datenverkehr in Bursts, die groß genug sind, um Dokumente hochzuladen, die an dieselbe Domain gerichtet sind). Sehen Sie sich die identifizierten verdächtigen Domänen genau an. Wenn Sie feststellen, dass es sich um einen Cloud-Anbieter handelt, finden Sie heraus, warumBenutzer verwenden es, sprechen mit dem Management über die Bereitstellung einer Alternative mit gleicher Benutzerfreundlichkeit und informieren den anstößigen Benutzer über die Alternative. Es wäre großartig, wenn Ihre Unternehmenskultur es Ihnen ermöglicht, gefangene Benutzer sanft umzuerziehen, ohne dass Sie zum ersten Mal Disziplinarmaßnahmen ergreifen. Dann werden sie sich nicht besonders schwer vor Ihnen verstecken müssen, und Sie können leicht Abweichungen erkennen und mit der Situation umgehen auf eine Weise, die das Sicherheitsrisiko verringert, dem Benutzer jedoch ermöglicht, seine Arbeit effizient zu erledigen.

Ein vernünftiger Manager ** wird verstehen, dass diese schwarze Liste zu Produktivitätsverlusten führen wird. Die Benutzer hatten einen Grund, die öffentliche Cloud zu nutzen - sie sind motiviert, produktiv zu sein, und der bequeme Workflow steigerte ihre Produktivität (einschließlich der Menge an unbezahlten Überstunden, zu denen sie bereit sind). Es ist Aufgabe eines Managers, den Kompromiss zwischen Produktivitätsverlust und Sicherheitsrisiken zu bewerten und Ihnen mitzuteilen, ob er bereit ist, die Situation unverändert zu lassen, die schwarze Liste umzusetzen oder geheimdienstwürdige Maßnahmen zu ergreifen sehr unpraktisch und bieten immer noch keine 100% ige Sicherheit).


[*] Ich weiß, dass Menschen, deren Job die Sicherheit ist, zuerst an kriminelle Absichten denken. Tatsächlich ist ein entschlossener Krimineller viel schwerer aufzuhalten und kann viel schlimmer Schaden anrichten als ein nicht böswilliger Benutzer. In Wirklichkeit gibt es jedoch nur wenige Organisationen, die infiltriert werden. Die meisten Sicherheitsprobleme hängen mit der Dummheit wohlmeinender Benutzer zusammen, die die Konsequenzen ihrer Handlungen nicht erkennen. Und weil es so viele von ihnen gibt, sollte die Bedrohung, die sie darstellen, genauso ernst genommen werden wie der gefährlichere, aber viel seltenere Spion.

[**] Ich bin mir bewusst, dass, wenn Ihre Chefs diese Forderung bereits gestellt haben, die Wahrscheinlichkeit besteht, dass sie nicht der vernünftige Typ sind. Wenn sie vernünftig, aber falsch sind, ist das großartig. Wenn sie unvernünftig und hartnäckig sind, ist dies unglücklich, aber Sie müssen einen Weg finden, mit ihnen zu verhandeln. Solch eine Teillösung anzubieten, auch wenn man sie nicht dazu bringen kann, sie zu akzeptieren, kann ein guter strategischer Schachzug sein - richtig präsentiert, zeigt es ihnen, dass Sie "auf ihrer Seite" sind, ihre Bedenken ernst nehmen und bereit sind zu suchen nach Alternativen zu technisch nicht umsetzbaren Anforderungen.

rumtscho
quelle
4

Ihr Management bittet Sie, die Büchse der Pandora zu schließen.

Grundsätzlich können Sie das Hochladen von Dokumentation für alle bekannten möglichen Mechanismen verhindern, Sie können jedoch nicht verhindern, dass Zero-Day-Exploits (oder das Ihnen entsprechende) verwendet werden.

Allerdings kann eine authentifizierende Firewall zur Identifizierung des Benutzers und der Workstation implementiert werden, um den Zugriff mit der von Ihnen gewünschten ACL einzuschränken. Sie können einen Reputationsservice einbinden, wie in einigen anderen Antworten beschrieben, um die Verwaltung des Prozesses zu erleichtern.

Die eigentliche Frage ist, ob es um Sicherheit oder um Kontrolle geht . Wenn es das erste ist, müssen Sie die Kostenschwelle verstehen, die Ihre Manager zu zahlen bereit sind. Wenn es das zweite ist, wird wahrscheinlich ein großes sichtbares Theater ausreichen, um sie von Ihrer Leistung zu überzeugen, mit kleinen Ausnahmen.

Pekka
quelle
3

Sie benötigen ein Inhaltsfiltergerät oder einen Dienst wie BlueCoat Secure Web Gateway oder eine Firewall mit Inhaltsfilterung wie eine Palo Alto-Firewall. Produkte wie dieses verfügen über umfassende Kategoriefilter, die Online-Speicher umfassen.

BlueCoat bietet sogar einen Cloud-basierten Dienst, bei dem Sie die Benutzer Ihres Laptops dazu zwingen können, eine Verbindung über einen Proxy-Dienst herzustellen, der lokal auf ihrem Computer ausgeführt wird, aber die Regeln für die Inhaltsfilterung von einer zentralen Quelle bezieht.

langer Hals
quelle
2
  • Schwarze Liste

Erstellen Sie eine Liste von Sites, auf die die Benutzer nicht zugreifen können.

Pro: Bestimmten Dienst blockieren.

Nachteile: Eine große Liste, manchmal kann es die Leistung der Firewall des Systems beeinträchtigen (normalerweise!). Manchmal könnte es umgangen werden.

  • WhiteList

Anstatt sich auf eine große Liste von Websites mit schwarzer Liste zu stützen, verwenden einige Unternehmen eine Whitelist, auf die Benutzer nur auf Websites mit weißer Liste zugreifen können.

Pro: einfach zu handhaben.

Nachteile: Es schadet der Produktivität.

  • Blockieren Sie die Größe der gesendeten Informationen (POST / GET).

Einige Firewalls erlauben es, die Größe der gesendeten Informationen zu blockieren, was das Senden einiger Dateien unmöglich macht.

Pro: Einfach zu verwalten.

Nachteile: Einige Benutzer könnten dies umgehen, indem sie Dateien in kleinen Blöcken senden. Einige Websites könnten beschädigt werden, z. B. senden einige Winforms-Websites von Java und Visual Studio regelmäßig viele Informationen.

  • Nicht-HTTP-Verbindungen blockieren

Pro: einfach zu konfigurieren.

Nachteile: Es könnte aktuelle Systeme beschädigen.

Nach meiner Erfahrung habe ich für eine Bank gearbeitet. Die Administratoren blockierten den Zugriff auf den USB-Treiber und einige eingeschränkte Sites (Blacklist). Ich habe jedoch eine PHP-Datei in einem kostenlosen Webhosting erstellt und kann meine Dateien problemlos hochladen (über eine reguläre Website). Dafür habe ich 5 Minuten gebraucht.

Ich stimme einigen Kommentaren zu, es ist einfach und effektiver, Regeln für die Personalabteilung anzuwenden.

Magallane
quelle
Eine neue Idee war ein kombinierter Ansatz: eine Blacklist für HTTP, eine Whitelist für HTTPS. Bei den anderen Lösungen gilt es immer zu testen, was implementiert werden kann, ohne vorhandene Systeme zu beschädigen, da dies von Fall zu Fall unterschiedlich ist.
Marsze