Ошибка резидента.

[reytsman]

Многие условно правильно согласны с тезисом:

Гуглоамазоны относительно немногочисленны и вынуждены кое-как соблюдать видимость приличия. А вот мелких шакальчиков, готовых за лишние 0.001 цента затрахать тебя ковровыми "холодными звонками" и прочей лабудой - миллионы. Ну и какой-то процент от них реальные неадекваты, если вспомнить историю "Центра американского английского" например, там упорно шедшего к успеху бизнесмена утихомирила только удачная подача в черепушку.

И это правильно. Но вот шакальчики, могут только "затрахать", а вот другие ребята могут оставить без работы. Вот вам второй камент, про нашу реальность от наших читателей.
Только что получил новую IT Policy компании: "Browsing or downloading any material that could be offensive, discriminatory, illegal or pornographic"

Так что на рабочем компе твиттер, жж, дрим и фейсбук лучше не смотреть. Не говоря уже о том что б всякие Фокс Ньюз и Гейтвейта открывать.

Так, что "добровольно и с песней"

Comments

[qvb]

>>>А ssh чем плох? Кто в здравом уме и твердой памяти его блочить-то будет.

В параноидальных конторах где блочат outbound RDP - там и ssh будет обычно закрыт.

Плюс SSH работающий через стандартный порт вызывает нездоровый интерес, поскольку сразу ясно что это такое. То же самое и с RDP.
А если в обертке SSL - то это выглядит как просто веб браузинг или прослушивание музыки через https.

Не говоря уже о том что поскольку в подавляющем большинстве контор используется винда, то для запуска веб браузинга через ssh нужно что-то вроде putty + Xming, плюс линукс хост на другой стороне. Тогда как RDP клиент в винде есть (почти) всегда.

[pan_netnet]

SSH блочат... Это ж любимый протокол админов. Куды они без него. И куды корпоративная сеть без админов? Не понимаю, как можно резать ssh... Ретроград и фашызд я)))))))

[qvb]

>>>SSH блочат... Это ж любимый протокол админов. Куды они без него.

Речь идет о простых офисных пейзанах а не об админах. Понятно что админы под ограничения обычно не подпадают - для них это все рабочие инструменты.

А вот простому офисному пейзанину SSH как бы без надобности, как впрочем и RDP (если VDI в конторе не используется).

[pan_netnet]

Стоп. А как на практике заблочить ssh?
Можно запретить все порты кроме 80 и 443, но тогда ssh-сервер можно повесить на 443 и проблема решена.
Можно поставить dpi, но это... скажем так затратно. И ради чего такой игрушкой обзаводит компани?

[reytsman]

Мне это дискуссия начинает напоминать старую историю... про хитрых товарищей, которые pdf привязали к первой машине на которой его открываешь и разрешили распечатку одной копии (если я правильно помню).
Мой шеф человек далёкий на тот момент от компьютеров, он тупо распечатал файл и отсканировал распечатку обратно в pdf.

Так и тут. Вся эта мышиная возня обнаруживается двумя тупыми действиями первое сканирование портов, что у нас куда идёт и не качают ли торренты. А вторая, это сброс списка запущенного софта (или вообще тупо просто установленного) с удалённых машин после чего сразу всё становиться понятно.

[pan_netnet]

Вот!!! Единствкнный рабочий вариант мотиторить установленный софт.

[qvb]

Как я сказал выше, SSH на стандартном порту вызывает нездоровое любопытство, да и закрыт порт 22 часто.

Но даже если SSH работает на нестандартном порту - то он элементарно ловится по определенной последовательности установления коннекшн, точно так же как и SSL. Детектировать такие вещи вовсе не дорого, потому что отслеживается только последовательность установления сессии, анализировать весь траффик не требуется.

Но SSL используется и для стандартных ежедневных вещей которые любой юзер делает (веб браузить, музыку слушать), тогда как SSH нет.

[pan_netnet]

Таки спасибо за просвещение.

Как понимаю ваш вариант rdp-сервер на условном дом. компе с поддержкой ssl,висящий на 443 порте.
Либо, что еще лучше, свой нет ввиде смарта.
?

[qvb]

Да, именно так.

В идеале - свой лэптоп/таблет со своей сим картой, как паллиатив - RDP через SSL.