如题,大家有做企业IT的吗?一般用什么方法禁用dropbox这些网盘?防火墙封IP,上管理工具,还是其他好的办法呢?
1
wzxjohn 2015-03-11 16:39:12 +08:00
说的好像不翻墙前两个能用一样。。。
|
3
zealic 2015-03-11 16:47:57 +08:00
BAN IP,但是你举得挡的住真正的码农?
只要你的防火墙不禁 443,怎么都能出去的。 |
5
66450146 2015-03-11 16:52:13 +08:00
瘦客户端+远程桌面+域账号+组策略
前提是你的员工在这种环境下还能开心工作…… |
7
66450146 2015-03-11 16:58:52 +08:00
@marguin 非码农的企业这么干的挺多的,跟各种 OA 系统都能紧密结合,非常方便,极大节约 IT 工作量,一定要说缺点的话就是软件费用感人
码农之类的话还是放开一点吧,多用条款而不是技术手段去封禁 |
9
Meteoral 2015-03-11 17:34:00 +08:00
自己做DNS服务器,内部只能从这个服务器解析域名,然后在DNS服务器上屏蔽掉*pan.baidu.com*
但是程序员同样可以有别的办法绕过…… |
11
cnZary 2015-03-11 17:37:33 +08:00
sstp...绕过..
|
12
Septembers 2015-03-11 17:56:44 +08:00
IDS
|
13
abelyao 2015-03-11 18:04:55 +08:00
域名白名单机制,需要上什么网站,可以申请添加,全部把关一遍
|
14
zent00 2015-03-11 18:18:33 +08:00 via Android
能上 Dropbox 的人你确定能拦得住?
|
15
qianlicao353 2015-03-11 18:20:57 +08:00
劫持53端口
|
16
Dongdong36 2015-03-11 18:51:04 +08:00
拔网线,,,
|
17
hjc4869 2015-03-11 19:02:25 +08:00 via iPhone
要求员工只能使用明文协议,并且既然是企业,每台电脑里应该都有企业根证书吧。。劫持一下https即可,或者是SNI,碰到dropbox关键字直接connection reset就可以了
|
20
Mush 2015-03-11 19:15:20 +08:00
换工作?
|
22
15ir 2015-03-11 20:16:19 +08:00 via iPhone
看样子是防止文件上传网盘? (逃...
|
23
zwy100e72 2015-03-11 23:22:37 +08:00 1
我能想到的是用7层网关(代理服务器)
dns广播里设置自动代理,客户端组策略 结合路由器只允许代理服务器对外访问 |
24
bydmm 2015-03-12 01:12:30 +08:00 via iPhone
vpn和ss 你感觉你挡得住哪种
|
25
randyzhao 2015-03-12 01:20:41 +08:00
防不住的啊...
楼主到底是想防止员工带资料走? 还是嫌拖累网速? |
26
sinxccc 2015-03-12 01:28:29 +08:00 1
企业 IT 当然是技术和行政两手上,光靠技术限制的话 IT 得累死……
|
27
knightluffy 2015-03-12 08:51:32 +08:00
让领导知道你拦过了就好了,得罪人做肾?
|
28
marguin OP 主要是要防止员工将公司资料传到网盘上带走。是呀,对台式机也许还有些效果;对于笔记本回家还拦得住吗?
仅从技术角度来看,客户端和网络层都得上工具才能治理得像个样子。 @randyzhao 大晚上不睡觉,您这是米国的时间呀 |
29
marguin OP @knightluffy 太感人了,你说的在理
|
30
marguin OP @sinxccc 行政上的管理太虚了,尤其是缺乏可见性。技术手段给行政手段加个外衣,领导问起来好交差,而且必要的时候也能拉出个单子,让领导看看成绩吗;同时也给领导个抓手,恩威并施方才能尽显他的英雄本色
|
32
yuankui 2015-03-12 09:51:20 +08:00
原来是你!!
|
33
Actrace 2015-03-12 10:02:55 +08:00 1
最好的办法就是封网,类似银行或者公安系统那样的安全级别。
其次是只允许HTTP类明文协议,这样就可监控。 DNS那个招是没用的,只要有加密的数据可以出去,其他都是浮云。 |
34
huson 2015-03-12 10:03:22 +08:00
qq 旺旺 WEB空间,FTP等等 任何可以上传资料的地方都可以上传,我觉得还是直接断网吧。。
|
35
xiaogui 2015-03-12 10:11:05 +08:00
挺简单的,网线剪了。
|
36
qifei 2015-03-12 10:13:16 +08:00
断电最安全
|
37
JamesR 2015-03-12 11:12:26 +08:00
企业一般不会禁 Wifi 吧,就算禁用了,我带个无线路由器带根插上就行了,一点都不起眼,然后电脑上鼠标右键设置共享文件夹,然后手机 ES 文件浏览器输入登录密码复制下就行了,几分钟拷贝走你机密文件,呵呵。
|
38
randyzhao 2015-03-12 11:53:08 +08:00 1
@marguin 这个倒是没有绝对能防的住 讲个偏门的 我在 linode 上用 owncloud 搭一个网盘. 那怎么都防不了啊.
我们现在做法就是直接在路由里封域名. 然后给领导开白名单. 这招对非开发基本是100%有效. 对开发来说, 就看自己想不想越过这层障碍了. 想干坏事的, 怎么都防不住呢. 正如楼上说的, 领导看到你做了, 就行了. 做的太绝也没必要. 真的不是米国时间啊, 代码汪的日常而已. |
39
chenliang0571 2015-03-12 12:14:40 +08:00 via Android 1
我们公司是这么做的:
1. 所有设备上网必须通过公司的代理服务器 2. 禁止sock5/4连接,禁止ssh到外网 3. 访问未经服务器收录的网站需要点击一个类似用户协议的按钮,表示访问此网站不违反公司协议。 |
40
tvvocold 2015-03-12 13:15:27 +08:00
@chenliang0571 为什么要这么做? 安全?
|
41
bestsanmao 2015-03-12 13:19:10 +08:00
@zealic 只要不封外网,怎么都能出去
|
42
heian0224 2015-03-12 14:11:03 +08:00 1
与其花大力气在网关、DNS上,不如花时间告诉员工那些文件的重要性。。这么不信任码农吗?
|
43
marguin OP @heian0224 这个其实很难,很复杂,首先没有一个人能够说清楚的。作为企业的IT管理者,不信任往往是工作的出发点,不然怎么做到 due diligence?
|
45
marguin OP @karjarjam
@xiaogui @Dongdong36 说禁网的各位,其实很多国有大企业就是这么干的,但是邮件什么的还是有网关出去的,其他的一律封掉。从管理的角度来讲简单了,但是人家国企不愁卖,对于中小企业如果断网就基本是作死的做法。给点技术上的建议吧。 |
46
knightlhs 2015-03-12 16:08:13 +08:00
基本上从企业协议的角度出发 你有机会
如果从技术角度出发 你觉得顺畅使用dropbox的人 你得付出多大成本能封杀? |
47
chairuosen 2015-03-12 16:13:04 +08:00
技术上的建议就是封网封USB口
|
48
RemRain 2015-03-12 19:11:17 +08:00
进门搜身,禁止携带金属物件、纸制品等、洗澡换上特定工作服后允许进入办公区,办公区封锁网络、屏蔽信号、遮光等;出门没收一切物品,洗澡换衣后允许离开。防止技术人员用手机直接对着资料拍照带走,或者抄到本子、手上。
|
49
402645707 2015-03-12 22:41:32 +08:00 via Android
@RemRain FBI的资料库的确是这样的,遮光是在干嘛,google表示只是机房要开手电而已
直接手机开热点 |
51
nbndco 2015-03-12 23:13:15 +08:00 via iPhone
完全没懂在干嘛,既然能上网,想传哪里传哪里,为什么非要传你想封的几个网盘上?
|
52
pandada8 2015-03-12 23:15:37 +08:00
赶紧辞职
|
53
mortal 2015-03-13 07:28:48 +08:00 via iPad 1
我们企业是必须走自己的 http 代理服务器才能上网,封域名。
简单的代理转换加 ss 就搞定了。如楼上很多所说,从技术角度要完全封死,虽然不是不可能,但代价太高昂。LZ 做做样子,能拦住小白用户即可。 |
54
xieyudi1990 2015-03-13 07:59:09 +08:00 via iPhone
听说有专门的公司卖解决方案, 在员工的文件系统上做手脚, 拷贝或者上传后文件都是加密过的, 只能在本地打开.
从网络上封, 那就有tg相同的纠结: 不能封死, 对于正常的流量要留空子. 既然有空子, 总有人会去钻. 就算你从软件硬件方面封锁, 你还是得让员工能用本地的软硬件访问文件, 这就是留了空子. 比如, 显示器总能工作吧, 那好, 有人用显示器来传数据. 还有通过声卡产生脉冲来传数据. |
55
invite 2015-03-13 13:49:55 +08:00
上流量监管,对异常流量一律封堵。
|
56
marguin OP @xieyudi1990 你说的都是真正的Hacker能够做的出来的。
我没有期望那么高,能够防止内网有线、无线用户直接用浏览器、手机App就把文件传到Dropbox或者百度网盘也就知足了。 |
57
marguin OP 《IBM的BYOD历险记》http://www.ctocio.com/hotnews/6444.html
IBM应该是网络设备和客户端DLP一起上来做的解决方案,听上去很高大上的方法。可是,效果应该不是太好 |