V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yangzzu
V2EX  ›  程序员

公司让报 ip 和 mac 地址,估计是要安装监控

  •  
  •   yangzzu · 2016-08-16 14:40:29 +08:00 · 14422 次点击
    这是一个创建于 3021 天前的主题,其中的信息可能已经有所发展或是发生改变。
    请问如何反监控?
    69 条回复    2018-01-22 23:00:48 +08:00
    lslqtz
        1
    lslqtz  
       2016-08-16 14:48:13 +08:00 via iPhone
    全链接 ikev2
    foo2bar
        2
    foo2bar  
       2016-08-16 14:52:16 +08:00   ❤️ 1
    国内 vps 架设 vpn 全程 ikev2
    artandlol
        3
    artandlol  
       2016-08-16 14:59:25 +08:00
    你们的受害妄想症又发作了。。。。。
    方便资产管理吧

    监控确实是有
    但限制多 监控的东西少
    ranran
        4
    ranran  
       2016-08-16 15:15:53 +08:00
    所有 http 协议走 ss https 协议不管
    cmlz
        5
    cmlz  
       2016-08-16 15:18:00 +08:00 via Android
    也许就是在路由做个 ARP 绑定,防你乱改 IP 造成领导电脑时不时提示 IP 冲突。
    nilai
        6
    nilai  
       2016-08-16 15:46:04 +08:00
    有人用过网路岗么, 好东西。
    zhouzhe8013
        7
    zhouzhe8013  
       2016-08-16 15:49:13 +08:00
    也许只是绑定 IP 限速啥的..
    别想多了...
    laoertongzhi
        8
    laoertongzhi  
       2016-08-16 16:06:17 +08:00
    真是……,你到底是有多缺爱?

    你出门会不会担心有人要驾车撞你啊?你喝水会不会担心有人投毒啊?
    demoxu
        9
    demoxu  
       2016-08-16 16:07:30 +08:00   ❤️ 1
    这个纯粹是为了限速吧,方便领导上网。
    监控?这成本可不低啊
    Hodor
        10
    Hodor  
       2016-08-16 16:21:28 +08:00
    控就控呗。。。
    tyhunter
        11
    tyhunter  
       2016-08-16 16:25:48 +08:00
    担心太多了,本地没有 Client 的情况下咋监控。。。。
    4641585
        12
    4641585  
       2016-08-16 16:32:19 +08:00
    @tyhunter

    这话说得,公司里也没网关吗?
    popok
        13
    popok  
       2016-08-16 16:37:36 +08:00
    @tyhunter 网关可以记录啊
    SlipStupig
        14
    SlipStupig  
       2016-08-16 16:42:53 +08:00
    给个 IP 地址和 MAC 地址就能监控,求方法啊!
    annielong
        15
    annielong  
       2016-08-16 16:55:58 +08:00
    流量监控啊,现在随便一个高级防火墙都有这个功能,只要电脑连入网络,所有访问记录都有,网页 qq 淘宝,炒股 视频音频邮件,监控应有尽有,要 ip 和 mac 只是为了方便定位与绑定
    nikoukou
        16
    nikoukou  
       2016-08-16 17:00:23 +08:00
    工作机上网设备隔离即可。
    lihua
        17
    lihua  
       2016-08-16 17:01:14 +08:00
    绑定 IP 地址方便管理。
    zhangfan
        18
    zhangfan  
       2016-08-16 17:02:47 +08:00
    @ranran https 可以看到 URL 吧 虽然看不到内容,但是可以提取 URL 挨个挨个访问 看看都是什么网站
    raysonx
        19
    raysonx  
       2016-08-16 17:05:47 +08:00
    @zhangfan 看不到 URL ,但能看到域名(通过 DNS 查询记录,或者浏览器支持 SNI 的话也会在握手阶段发送明文的主机名,虽然我觉得一般防火墙没有监控 SNI 的功能)
    Andy1999
        20
    Andy1999  
       2016-08-16 17:06:31 +08:00 via iPhone
    @zhangfan 只能看到 SSL Hello 的域名 URL 也是不全的
    ratatata
        21
    ratatata  
       2016-08-16 17:09:40 +08:00
    离职
    virusdefender
        22
    virusdefender  
       2016-08-16 17:10:54 +08:00
    要监控的话,根本不用统计 ip 和 Mac
    zhangfan
        23
    zhangfan  
       2016-08-16 17:21:39 +08:00
    @raysonx @Andy1999
    本地做 host 能否避免 DNS 请求而暴露 URL 呢?
    yalay
        24
    yalay  
       2016-08-16 17:26:58 +08:00
    应该只是 ip 和 mac 绑定,上网需要设定静态 ip ,防止其他人员蹭网而已?
    plprapper
        25
    plprapper  
       2016-08-16 17:29:03 +08:00
    去找找那些做内网监控的软件,看看人家安装的时候需要这些信息吗?
    qzy168
        26
    qzy168  
       2016-08-16 17:39:06 +08:00
    要把 IP 和 mac 绑定吧。要做 DHCP ,固定 IP 分配,到时不能自动获取 IP 了。
    Andy1999
        27
    Andy1999  
       2016-08-16 17:50:26 +08:00 via iPhone
    @zhangfan 没有用
    tinyproxy
        28
    tinyproxy  
       2016-08-16 18:13:47 +08:00   ❤️ 2
    这个也就是网络审查吧,这种都叫监控,你让我老东家那个安全控制情何以堪。
    1. 笔记本硬盘全盘加密,密码最低 16 位,数字、大小写字母、特殊符号都得有,每次开机我都蛋疼死。
    2. 电脑貌似没有管理员权限,太久忘了。
    3. 电脑全盘备份,自动传输到公司的服务器上面,我自己私人的云服务基本不敢用了。
    4. 可能有进程监控,反正同事装个迅雷,第二天就收到 IT 的警告邮件了。
    5. 最 NB 的是,预装了公司的 Root CA ,也就是说就算是 HTTPS 流量,公司也随便查。
    6. 幸运的是,这台笔记本我只用来发邮件。
    zqqian
        29
    zqqian  
       2016-08-16 18:18:22 +08:00
    用远程桌面连接不就可以了。
    直接连接到 VPS 或者家里的电脑。
    根本不知道你在干什么
    livc
        30
    livc  
       2016-08-16 18:21:35 +08:00 via Android
    上班看黄网?
    7654
        31
    7654  
       2016-08-16 18:31:10 +08:00
    我们厂自建 DNS , TMG 代理,域账户管理, IM 中转服务器, CA 证书, office RMS ,行为管理路由器等等
    所有系统自己开发,根本不用外网也能正常办公
    所以办公电脑从来不乱搞,手机 4G 上网
    kevinreadonly
        32
    kevinreadonly  
       2016-08-16 18:36:01 +08:00   ❤️ 1
    @demoxu
    @SlipStupig 你听说过深信服么?(手动滑稽

    L7 上网行为管理设备,啥都能看到。成本也不高,万把块钱,跟一台中端路由器差不多。

    部署类似设备的公司太多了。

    主要是限速,当然能监控,后者很少有管理员有这兴趣罢了。
    watara
        33
    watara  
       2016-08-16 18:40:10 +08:00
    担心啥啊?都是小事啊
    xy19009188
        34
    xy19009188  
       2016-08-16 18:40:43 +08:00
    我凑水深火热,还好公司没 IT 部门
    lan894734188
        35
    lan894734188  
       2016-08-16 18:45:38 +08:00 via Android
    主要是控制未授权设备的接入
    honeycomb
        36
    honeycomb  
       2016-08-16 19:34:00 +08:00 via Android
    随便拿个给企业用的路由器至少都能做 HTTP 的网址监控,高级一些的常用软件的协议也是能看到的
    SlipStupig
        37
    SlipStupig  
       2016-08-16 20:20:21 +08:00
    @kevinreadonly 能监控各毛, UAG 这类设备别吹的那么神审计一些透明还可以,加密就蒙了,至于 IP 地址和 MAC 根本不需要,反正都是网关或者旁路部署,所有流量都能看到
    kevinreadonly
        38
    kevinreadonly  
       2016-08-16 20:45:31 +08:00 via iPhone
    @SlipStupig 可以的。还有每天报表,每个人每天访问了什么网址,微信 /QQ (其他公开协议的就更不在话下了),聊天记录。
    你 DNS 和网关在别人手里,就别提加密了,没用的。
    SlipStupig
        39
    SlipStupig  
       2016-08-16 20:53:34 +08:00
    @kevinreadonly qq 只能看到 qq 号,密码是看不到的, DNS 可以用 CryptDNS 这种你没办法,网关在手里面你最多就是个中间人,你以为中间人可以破解一切密码学吗?
    onice
        40
    onice  
       2016-08-16 21:03:58 +08:00
    深信服的 AC ,一切明文流量都能看。。。据说也能看 QQ 消息,不过要安装他们的客户端。所以,要担心隐私,自建 VPN 比较靠谱。
    另外,你又不在公司里看片,,担心啥?该咋的咋的...
    kevinroot
        41
    kevinroot  
       2016-08-16 22:24:02 +08:00
    反正 ip 和 mac 都是可以改的。
    likuku
        42
    likuku  
       2016-08-16 22:38:37 +08:00
    绑定 IP 地址,便于作资产管理,很正常啊
    ProfFan
        43
    ProfFan  
       2016-08-16 22:51:11 +08:00
    电脑装 VMWare ,网卡改完 MAC 之后设置成虚拟路由器,虚拟机连接外网,做跳板鸡。
    Haku
        44
    Haku  
       2016-08-16 23:19:45 +08:00
    不说别的,如果不是自己电脑,监控就监控呗 = =
    camus
        45
    camus  
       2016-08-16 23:31:03 +08:00
    深信服大部分时间也就上去限限速,报表里看看谁用的流量最多,哪有那闲心去一个个人看网页历史记录
    ferock
        46
    ferock  
       2016-08-16 23:33:54 +08:00 via Android
    @nilai 之前用过,早过时了
    TL
        47
    TL  
       2016-08-17 00:12:18 +08:00 via iPhone
    @ProfFan 如果装了客户端之类,有违规进程直接干掉,在你改 mac 时已经和行为或准入网关之类的联动了,直接掐断外网,隔离内网,在上报审计日志,跟登记资产关联,还有很多组合拳。。
    miao1007
        48
    miao1007  
       2016-08-17 00:21:22 +08:00 via Android
    上网要用代理,自签证书,云主机,所以上班玩手机才是坠吼的
    FONG2
        49
    FONG2  
       2016-08-17 01:15:32 +08:00
    @camus 我大学深信服限一 ip 账号一设备......
    odoooo
        50
    odoooo  
       2016-08-17 01:22:21 +08:00
    手机不要连公司 WiFi !!!!!
    df4VW
        51
    df4VW  
       2016-08-17 02:19:10 +08:00
    @camus 公司半夜还有人在加班。。。
    billwang
        52
    billwang  
       2016-08-17 08:38:12 +08:00
    每个机器终端都安装专用的安全监视客户端,其实是啥你明白的,然后你做的所有事情就都知道了。
    不过那么多电脑根本就没人闲的看你上网干啥
    Nixus
        53
    Nixus  
       2016-08-17 08:58:12 +08:00
    @laoertongzhi 靠,我会!我是不是变态呀?我真的经常会这么想
    Nixus
        54
    Nixus  
       2016-08-17 08:58:55 +08:00
    @demoxu 感觉没啥成本呀,一个聚生网管就可以了
    Nixus
        55
    Nixus  
       2016-08-17 08:59:20 +08:00
    @tyhunter 聚生网管
    Nixus
        56
    Nixus  
       2016-08-17 09:04:29 +08:00
    @7654 好赞!
    xzwc
        57
    xzwc  
       2016-08-17 09:13:23 +08:00
    防止 ARP 欺骗,同时也统计统计流量啥的,看看哪个固定 ip 流量用的过多,方便管理
    knktc
        58
    knktc  
       2016-08-17 09:17:06 +08:00
    想太多了,公司内部没那么多闲工夫看你干了啥,只是出了啥问题事故可以比较方便地进行定位。
    现在才让上报信息,表明 IT 部门事先是没有登记过这些东西的,现在在补救中……
    laoertongzhi
        59
    laoertongzhi  
       2016-08-17 09:40:17 +08:00
    @Nixus

    不是变态,是缺乏安全感,回想下你的成长经历哈。
    yanze0613
        60
    yanze0613  
       2016-08-17 09:41:08 +08:00
    绑定 ip 和 mac 才好划分网段出口之类的吧
    leeyiw
        61
    leeyiw  
       2016-08-17 09:47:07 +08:00
    你想啊,公司要雇多少人来看监控日志呢?
    XV2E
        62
    XV2E  
       2016-08-17 09:53:38 +08:00
    我表示管理过深信服,具体的监控是看不了的,只能说是个上网行为分析。还有就是主要功能就是用来限速。
    XV2E
        63
    XV2E  
       2016-08-17 09:55:08 +08:00
    装虚拟机之类的就算了,思科的路由会根据安全规则限制端口数的。
    XV2E
        64
    XV2E  
       2016-08-17 09:56:33 +08:00
    VPN 、 HTTP 代理之类的也算了,深信服能自动识别出来的,默认是禁止使用。
    palmers
        65
    palmers  
       2016-08-17 09:58:48 +08:00
    物理机使用 linux 基本可以自行过滤掉安装,如果使用客户端进行网络认证限制的话 可以使用虚拟机 然后物理机共享其网络
    liyvhg
        66
    liyvhg  
       2016-08-17 10:01:50 +08:00
    前几天刚刚建议两家企业绑定用户的 IP 和 MAC, 原因是他们公司的服务器和员工是同一个网段, 总有刁民自己手动改自己 de MAC 地址和服务器冲突..
    fejay
        67
    fejay  
       2016-08-17 11:46:41 +08:00
    也可能是进行一些网络控制, 比如: 聊天软件, 楼主想多了
    lizon
        68
    lizon  
       2016-08-17 13:37:56 +08:00
    只要硬件物理所有权在公司,想监控你,你是没有办法的。你能做的,最多就是应用层的通信内容加密
    bclerdx
        69
    bclerdx  
       2018-01-22 23:00:48 +08:00
    @camus 你这是 AC 的,SG 系列的呢?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1088 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 23:34 · PVG 07:34 · LAX 15:34 · JFK 18:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.