Frage Blockieren Sie den Mitarbeiterzugriff auf die öffentliche Cloud


Lassen Sie mich zunächst feststellen, dass dies nicht meine Idee ist und ich nicht darüber diskutieren möchte, ob eine solche Maßnahme sinnvoll ist.

Gibt es für ein Unternehmen jedoch eine Möglichkeit, Mitarbeiter daran zu hindern, auf öffentliche Cloud-Dienste zuzugreifen? Insbesondere sollten sie keine Dateien an einen beliebigen Ort im Web hochladen können.

Blocking HTTPS könnte eine erste, einfache, aber sehr radikale Lösung sein. Die Verwendung einer schwarzen Liste von IP-Adressen würde auch nicht ausreichen. Wahrscheinlich wird irgendeine Art von Software benötigt, um den Verkehr auf einer Inhaltsebene zu filtern. Ein Proxy könnte hilfreich sein, um HTTPS-Verkehr filtern zu können.

Thesen sind meine Gedanken bis jetzt. Was denkst du? Irgendwelche Ideen?


29
2018-02-10 12:04


Ursprung


Einer unserer Kunden (wir machen andere Sachen für sie) tunnelt den gesamten Verkehr durch einen Proxy, der von überwacht wird bluecoat.com Viele Seiten (Dateispeicher, Spiele, Hacking, Medien ...) sind blockiert. Ich hasse es wirklich ... - Reeno
Ich verstehe, warum du sagst, dass du das nicht diskutieren willst, aber dass du über einen der größten Teile der Jobbeschreibung eines guten Sysadmins sprichst: Wahrheit an die Macht sprechen. Manchmal ist eine Idee prima facie blöd; In anderen Fällen ist es keine schlechte Idee, aber es ist eine soziale / geschäftliche Idee und nicht für eine technische Lösung am besten geeignet. In beiden Fällen ist es für einen Systemadministrator die einzig richtige Sache, sich umzudrehen und zu sagen: "Nein". - MadHatter
@MadHatter Abgesehen von dieser anfänglichen Intuition versuche ich zumindest darzustellen, was technisch möglich wäre. Abgesehen davon stimme ich zu. - marsze
Sind das nicht Management und Acceptable Use Policies? - Iain
möglich: ihre Computer sind nie mit dem Internet verbunden, sie dürfen keine Kamera (Handy, natürlich) oder Aufnahmegerät (wie einen Stift) im Büro, Büro, das kein Fenster hat, das man öffnen oder durchsehen kann. Außerdem müssen Ihre Benutzer jedes Mal, wenn sie das Büro verlassen, körperlich durchsucht und gelöscht werden, sonst können sie sich etwas merken und es später ins Internet stellen. - njzk2


Antworten:


Sie haben grundsätzlich drei Möglichkeiten hier.

1. Trennen Sie Ihr Büro / Ihre Benutzer vom Internet

  • Wenn sie nicht zur "öffentlichen Cloud" gelangen, können sie nichts hochladen.

2. Kompilieren Sie eine Blacklist bestimmter Dienste, um die Sie sich Sorgen machen, wenn Benutzer darauf zugreifen.

  • Dies wird absolut massiv sein, wenn es auch nur entfernt effektiv sein soll.
    • Tech-affine Benutzer werden immer in der Lage sein, einen Weg zu finden - ich kann von überall auf der Welt mit einer Internetverbindung eine Verbindung zu meinem Computer herstellen, also ... zum Glück blockiert mich zum Beispiel.

3. Mach etwas vernünftiger / erkenne die Grenzen der Technologie.

  • Das ist nicht Ihre Idee, aber wenn Sie dem Management die Fallstricke und die Kosten für die Implementierung einer solchen Lösung zur Verfügung stellen, werden sie im Allgemeinen für bessere Ansätze offen sein.

    • Manchmal ist dies eine Compliance-Sache, oder "nur für den Schein", und sie sind glücklich damit, nur die beliebtesten Dienste zu blockieren
    • Manchmal verstehen sie wirklich nicht, wie verrückt ihre Bitte ist, und müssen Sie ihnen in Begriffen mitteilen, die sie verstehen können.
      • Ich hatte einmal einen Kunden, als ich für einen Anbieter von Computersicherheit arbeitete, der uns eine Möglichkeit bieten wollte, Mitarbeiter daran zu hindern, vertrauliche Informationen mit unserem AV-Agenten zu verbreiten. Ich zückte mein Smartphone, machte ein Bild von meinem Bildschirm und fragte ihn, wie er das möglicherweise verhindern könnte oder ob er die Informationen sogar auf ein Blatt Papier schreiben könnte.
      • Verwenden Sie die Nachrichten und die jüngsten Ereignisse in Ihrer Erklärung - wenn die Armee Manning nicht stoppen konnte und die NSA Snowden nicht aufhalten konnte, was bringt Sie dazu zu denken, dass wir es schaffen können, und wie viel Geld, denken Sie, wird es sogar kosten?

71
2018-02-10 12:22



Gute Antwort. Die Anfrage kann wirklich nicht außerhalb von 2.a behandelt werden - mit einem WHITELIST. Und dann Leute anstellen, um es zu verwalten;) Weil Mann, es wird eine Menge Arbeit sein. Möglicherweise weniger als eine Blacklist. Und trotzdem nichts erreichen (nette Idee mit dem Smartphone). Surreale Anfrage. - TomTom
@TomTom Ja, ich habe über die Whitelist nachgedacht, aber überall wo ich je gesehen habe, ist die Whitelist der Teile des Internets, auf die sie zugreifen wollen, viel größer als die schwarze Liste der Dienste, vor denen sie irrationale Angst haben / wollen zugreifen. - HopelessN00b
Ich denke, es kommt darauf an. Zum Beispiel in meiner Firma wäre die Whitelist vielleicht nur 300 Artikel. Für das Geschäft erforderlich. Eine Blacklist wird anfangen, alles zu handhaben. Die weiße Liste, die du gewinnst (normalerweise gültig, beginnt mit 0 Einträgen) - die Blacklist, von der du noch nicht einmal weißt, wo du anfangen sollst. Aber im Allgemeinen sind das vergebliche Versuche. - TomTom
IMHO, würde das Blockieren der 10 offensichtlichsten Aufstellungsorte wahrscheinlich 95% dessen erzielen, nach dem Management ist. Niemand kümmert sich um die wenigen Nerds, die um den Block tunneln werden. - Steve Bennett
@SteveBennett Obwohl das wahrscheinlich wahr ist, ist es nicht sicher anzunehmen, dass das Management sich nicht um die 5% kümmert und / oder Leute, die das System umgehen können und werden. Wenn die technischen Ressourcen das Management nicht über die Systemeinschränkungen informieren, handelt es sich um die technischen Ressourcen, deren Köpfe rollen, wenn jemand die gesamte IP des Unternehmens zu BitTorrent hochlädt (oder welcher Vorfall dieses Problem wieder ins Management bringt). - HopelessN00b


Es gibt natürlich keine Möglichkeit, sie vollständig zu blockieren, es sei denn, das Unternehmensnetzwerk wird vom Internet getrennt.

Wenn du Ja wirklich möchte etwas, das funktionieren sollte die meisten die Zeit beim Sein meistens transparent, Sie müssen Pakete tief schnüffeln. Richten Sie einen Man-in-the-Middle-SSL / TLS-Proxy sowie einen für die unverschlüsselte Kommunikation ein und blockieren Sie den gesamten Datenverkehr, der nicht durch eine dieser Verbindungen geht.

  • HTTP-PUT-Anfragen blockieren
  • Blockieren Sie alle HTTP-POST-Anforderungen, bei denen der Inhaltstyp nicht Anwendung / x-www-form-urlencoded oder multipart / form-data ist
  • Bei HTTP-POST-Anfragen vom Typ multipart / form-data streichen Sie Felder mit einer Inhaltsdisposition von "file" aus (lassen Sie jedoch andere Felder durch).
  • Blockieren von FTP-, BitTorrent- und SMTP-Datenverkehr
  • Blockieren Sie den gesamten Datenverkehr für die großen Webmail-Dienste und für die großen öffentlichen Speicherbereiche.

Wie Sie sehen können, ist dies ein massives und schmerzhaftes Unterfangen. Es ist auch weit davon entfernt, unverwundbar zu sein: Ich denke über einige Problemumgehungen nach, während ich dies schreibe, von denen einige nicht behandelt werden können, ohne die Webverbindungen Ihrer Benutzer grundlegend zu brechen, und es wird wahrscheinlich Kommentare geben, die viele mehr zeigen, an die ich nicht gedacht habe. Aber es sollte lassen die meisten Datenverkehr durch und filtert die einfachsten Möglichkeiten, um das Hochladen von Dateien zu verhindern.

Die Quintessenz ist, dass dies mehr Probleme als es wert ist.

Die beste Antwort wäre eine Art von Verhandlungen mit Ihren Chefs: Finden Sie heraus, was sie tun Ja wirklich wollen (wahrscheinlich entweder den Schutz von Geschäftsgeheimnissen oder die Haftungsverhütung), und weisen darauf hin, warum diese nicht durchführbaren technologischen Maßnahmen ihnen nicht das bringen, was sie wollen. Dann können Sie Lösungen für ihre Probleme erarbeiten, die keine unmöglichen technologischen Maßnahmen beinhalten.

Machen Sie sich in diesen Diskussionen keine Gedanken über die Ideologie: Sie müssen sich nur darauf konzentrieren, was funktioniert und was nicht. Sie werden alle Argumente finden, die Sie dort brauchen, und während dies zweifellos sowohl Sie als auch Ihre Chefs frustriert, vermeidet es, Werturteile gegen sie abzugeben (was vielleicht verdient ist, aber nur dazu führen wird, dass Gespräche zusammenbrechen, und das ist schlecht ).


30
2018-02-10 15:59



+1 für einige nützliche Umsetzungsvorschläge und auch für eine breitere Perspektive! - marsze


Was HopelessN00b gesagt hat. Ich wollte nur hinzufügen, dass:

Ich habe eine Freundin, die eine Stelle in einer Regierungsbehörde hat, wo sie kein Handy mit einer Kamera ins Büro bringen darf. Sie formuliert das normalerweise so: "Ich darf kein Handy mit einer Kamera besitzen", weil, naja. Wenn sie ihre Zelle nicht mitnehmen kann, warum sollte sie eine besitzen? Sie hat Probleme, Handys zu finden nicht habe Kameras.

Ich habe für andere Hochsicherheits-Orte gearbeitet, die dieses Problem über "lösen" würden administrativer Faschismus:

  • Eine offizielle Richtlinie, dass der Zugriff auf Ihre persönliche E-Mail-Adresse von Ihrem Arbeitsplatz aus ein Feuerverstoß ist.
  • Eine offizielle Richtlinie, dass der Zugriff auf einen Cloud-Dienst von Ihrer Workstation aus ein Feuerverstoß ist.
  • Eine offizielle Richtlinie, bei der ein USB-Stick, ein iPod oder ein Mobiltelefon in eine Workstation gesteckt wird, ist ein Feuerverstoß.
  • Eine offizielle Richtlinie, dass der Zugriff auf soziale Medien von Ihrem Arbeitsplatz aus ein Feuerverstoß ist.
  • Eine offizielle Richtlinie, die das Installieren von nicht autorisierter Software auf Ihrer Arbeitsstation vornimmt, ist ein Angriffsverstoß.
  • Eine offizielle Richtlinie, dass der Zugriff auf Ihr persönliches Online-Banking von Ihrem Arbeitsplatz aus ein Feuerverstoß ist.
  • Eine epische Unternehmensfirewall / ein Proxy, bei dem viele / die meisten dieser Websites blockiert sind. Bei jedem Versuch, auf facebook.com zuzugreifen, wird beispielsweise ein Bildschirm mit der Meldung "Diese Seite ist von ETRM blockiert" angezeigt. Sie blockierten gelegentlich Dinge wie Stack Overflow als "Hacking".
  • Einige "Verstöße" verdienen eine E-Mail, die an Ihr gesamtes Team gesendet wurde, in der Sie angegeben haben, dass Sie auf eine nicht autorisierte Site zugegriffen haben (im Gegensatz zur Auslösung dieses Mal). ("Katherine Villyard hat zugegriffen http://icanhascheburger.com/ um 15:21 Uhr! ")
  • Alle neuen Mitarbeiter dazu zwingen, eine "Sicherheitsrichtlinien" -Klasse zu nehmen, in der diese Regeln erklärt werden und die Leute gezwungen werden, regelmäßige Auffrischungskurse zu diesen Regeln zu absolvieren. Und nimm dann ein Quiz über sie.

Orte, die auf administrativen Faschismus angewiesen sind, versuchen nach meiner Erfahrung nur oberflächlich, diese Regeln mit technischen Mitteln zu untermauern. Zum Beispiel sagen sie, dass sie dich feuern werden, wenn du einen USB-Stick einsteckst, aber sie deaktivieren USB nicht. Sie blockieren Facebook über http, aber nicht über https. Und wie Hopeless N00b darauf hingewiesen hat, kennen und verstehen schlaue Benutzer das.


26
2018-02-10 14:37



Es gibt tatsächlich technische Lösungen, auf die Sie sich verlassen können, um USB-Geräte zu deaktivieren (jeder AV-Agent, den ich seit Jahren gesehen habe, kann dies ziemlich effektiv tun), oder den Zugang zu [einigen] genau definierten Kategorien von Webseiten blockieren. Das Problem für das OP ist, dass "public cloud" / "Orte, an denen Nutzer Daten hochladen können", keine gut definierte Kategorie ist (und nicht in absehbarer Zeit), daher kann er nicht einmal einen Webfilter als Lösung vorschlagen Problem ... er muss eine benutzerdefinierte Blacklist oder ein convice Management erstellen, um den Grund zu sehen. - HopelessN00b
Ich weiß, und ich stimme zu. Ich habe diese Liste sicherlich nicht vorgelegt, um sie als Maßnahme zu unterstützen. :) - Katherine Villyard
Technisch gesehen schließt die Public Cloud jeden Hoster ein, da es einfach ist, eine Website zu mieten und dort eine Datei hochzuladen. Autsch. Nicht lösbares Problem. - TomTom
Viele Jahre lang durften Angestellte am Arbeitsplatz meines Vaters keine Telefone mit einer Kamera im Büro tragen. Schließlich ging das Unternehmen zu einer Politik über, die Firmentelefone zuließ (Brombeeren zu der Zeit, iPhones jetzt), aber keine persönlichen Telefone. - Brian S
Viele Smartphones verwenden eine modulare Kamera, die mit wenig Aufwand entfernt werden kann. Es ist nicht etwas, was Sie gerne wiederholen würden, da es seltsame Werkzeuge erfordern könnte, um sicher zu sein, aber es würde die Verwendung eines zeitgemäßen, nützlichen Handgeräts in einem eingeschränkten Bereich erlauben. - Pekka


Tatsächlich gibt es eine einfache Lösung, vorausgesetzt Sie erwarten nicht, dass Ihr internes Netzwerk gleichzeitig im Internet verfügbar ist.

Ihre PCs müssen lediglich vollständig vom Zugriff auf das Internet ausgeschlossen werden. Alle USB-Anschlüsse blockiert usw.

Um ins Internet zu gelangen, müssen die Benutzer entweder einen anderen Computer verwenden, der an ein anderes Netzwerk angeschlossen ist, oder über RDP eine Verbindung mit einem Terminalserver herstellen, der über einen Internetzugang verfügt. Sie deaktivieren die Zwischenablage über RDP und keine Windows-Freigabe. Auf diese Weise können Benutzer keine Dateien auf die Internet-Terminalserver kopieren und können daher keine Dateien senden.

Das hinterlässt E-Mails ... das ist Ihr größtes Schlupfloch, wenn Sie E-Mails auf den internen PCs zulassen.


19
2018-02-10 14:34



Ton schnippisch, aber leider ist das die Wahrheit. So ziemlich der einzige Weg, dies zu lösen. - TomTom
Wir haben diese Lösung (Internet und E-Mail nur über Terminalserver) bereits für Teile unseres Unternehmens eingerichtet. Für die Softwareentwickler wäre es jedoch offensichtlich mühsam, keinen Internetzugang zu haben ... - marsze
@marsze - Ich habe gesehen, dass es mit einem Whitelist-Proxy gelöst wurde, wo die wenigen Dinge, die die Programmierer direkt auf ihrer Box brauchen (wie Maven Repo), über Proxy erlaubt sind. - ETL
Das hinterlässt einen Stift und ein Papier oder einfach Erinnerung. - njzk2
@marsze Ich habe bei einem Unternehmen mit getrennten Netzwerken gearbeitet, indem ich den Entwicklern zwei Maschinen gegeben habe. Ein bulliger für die Entwicklungsarbeit, der mit dem internen Nur-Zugriff-Netzwerk verbunden war, und ein weiterer (Thin-Client oder alte Clunker-Box), der mit einem Netzwerk verbunden war, das einen Internetzugang hatte. Eine effektive, wenn auch simple und teurere Lösung. - HopelessN00b


Du kennst diesen alten Witz, dass, wenn du und ein Halbling von einem wütenden Drachen gejagt werden, du nicht schneller rennen musst als der Drache, du musst nur schneller sein als der Halbling? Unter der Annahme, dass nicht böswillige Benutzer * ihren Zugriff auf die öffentliche Cloud nicht beschränken müssen, reicht dies aus, um die Benutzerfreundlichkeit der öffentlichen Cloud gegenüber der Benutzerfreundlichkeit der unternehmensweiten Lösung für den nicht Desk-gebundenen Datenzugriff zu verringern . Richtig implementiert reduziert dies das Risiko von nicht bösartigen Lecks stark und ist mit einem Bruchteil der Kosten machbar.

In den meisten Fällen sollte eine einfache Blacklist ausreichen. Setzen Sie Google Drive, Dropbox und die Apple Cloud darauf. Blockieren Sie außerdem den Datenverkehr zu Amazon AWS - die meisten dieser heißen Startups, die einen weiteren Cloud-Service aufbauen, bauen kein eigenes Rechenzentrum auf. Sie haben gerade die Anzahl der Mitarbeiter reduziert, die von 90% auf 15% in die öffentliche Cloud gelangen (sehr grobe Zahlen, die sich je nach Branche unterscheiden). Verwenden Sie eine geeignete Fehlermeldung, um zu erklären, warum Public Clouds verboten sind, was den Eindruck einer mutwilligen Zensur verringern wird (leider wird es immer Benutzer geben, die nicht verstehen wollen).

Die verbleibenden 15% können immer noch Anbieter erreichen, die nicht auf der schwarzen Liste stehen, aber wahrscheinlich werden sie sich nicht darum kümmern. Google Drive und Co. unterliegen starken positiven Netzwerkeffekten (der wirtschaftlichen, nicht der technischen). Jeder benutzt die gleichen 2-3 Dienste, also werden sie überall eingebaut. Benutzer erstellen bequeme, optimierte Arbeitsabläufe, die diese Dienste umfassen. Kann der alternative Cloud-Anbieter nicht in einen solchen Workflow integriert werden, besteht für die Nutzer kein Anreiz, sie zu nutzen. Und ich hoffe, dass Sie eine Unternehmenslösung für die grundlegendste Nutzung einer Cloud haben, wie das Speichern von Dateien an einem zentralen Ort, erreichbar von einem physischen Standort außerhalb des Campus (mit VPN, wenn Sicherheit benötigt wird).

Fügen Sie dieser Lösung ein gutes Maß an Messungen und Analysen hinzu. (Dies wird immer benötigt, wenn Benutzer betroffen sind). Nehmen Sie Stichproben des Datenverkehrs, vor allem, wenn Sie verdächtige Muster (Upstream-Verkehr in Bursts groß genug, um Dokumente hochladen, gerichtet auf die gleiche Domain). Werfen Sie einen Blick auf die erkannten verdächtigen Domänen und wenn Sie feststellen, dass es sich um einen Cloud-Anbieter handelt, finden Sie es heraus Warum Benutzer verwenden es, sprechen mit dem Management über die Bereitstellung einer Alternative mit gleicher Usability, erziehen den beleidigenden Benutzer über die Alternative. Es wäre großartig, wenn Ihre Unternehmenskultur es Ihnen ermöglicht, gefangene Nutzer sanft zu umschulen, ohne dass Sie disziplinarische Maßnahmen ergreifen - dann werden sie sich nicht besonders schwer vor Ihnen verstecken und Sie werden in der Lage sein, Abweichungen leicht zu erkennen und mit der Situation umzugehen in einer Weise, die das Sicherheitsrisiko verringert, aber dennoch dem Benutzer ermöglicht, seine Arbeit effizient zu erledigen.

Ein vernünftiger Manager ** wird verstehen, dass diese schwarze Liste zu Produktivitätsverlusten führen wird. Die Benutzer hatten einen Grund, die öffentliche Cloud zu nutzen - sie waren motiviert, produktiv zu sein, und der bequeme Workflow erhöhte ihre Produktivität (einschließlich der unbezahlten Überstunden, die sie zu leisten bereit sind). Es ist Aufgabe eines Managers, den Kompromiss zwischen Produktivitätsverlust und Sicherheitsrisiken zu bewerten und Ihnen zu sagen, ob sie bereit sind, die Situation so zu lassen, wie sie ist, um die schwarze Liste zu implementieren oder um geheimdienstliche Maßnahmen zu ergreifen sehr unbequem und bieten immer noch keine 100% ige Sicherheit).


[*] Ich weiß, dass Menschen, deren Job Sicherheit ist, zuerst an kriminelle Absichten denken. Und in der Tat, ein entschlossener Verbrecher ist viel schwieriger aufzuhalten und kann viel schlimmeren Schaden anrichten als ein nicht böswilliger Benutzer. Aber in Wirklichkeit gibt es nur wenige Organisationen, die infiltriert werden. Die meisten Sicherheitsprobleme hängen mit der Dummheit gutmeinender Benutzer zusammen, die die Konsequenzen ihrer Handlungen nicht erkennen. Und weil es so viele von ihnen gibt, sollte die Bedrohung, die sie darstellen, genauso ernst genommen werden wie der gefährlichere, aber viel seltenere Spion.

[**] Ich bin mir bewusst, dass, wenn Ihre Chefs diese Nachfrage bereits haben, die Chancen bestehen, dass sie nicht der vernünftige Typ sind. Wenn sie vernünftig, aber nur fehlgeleitet sind, ist das großartig. Wenn sie unvernünftig und stur sind, ist das bedauerlich, aber Sie müssen einen Weg finden, mit ihnen zu verhandeln. Eine solche Teillösung anzubieten, auch wenn man sie nicht akzeptieren kann, kann ein guter strategischer Schachzug sein - richtig präsentiert, zeigt er ihnen, dass sie "auf ihrer Seite" sind, nehmen ihre Sorgen ernst und sind bereit zu suchen für Alternativen zu technisch undurchführbaren Anforderungen.


5
2018-02-11 11:30





Ihr Management bittet Sie, die Büchse der Pandora zu schließen.

Sie können zwar grundsätzlich das Hochladen von Dokumentationen für alle bekannten möglichen Mechanismen verhindern, Sie können jedoch nicht verhindern, dass Zero-Day-Exploits (oder das Äquivalent zu Ihnen) verwendet werden.

Eine Authentifizierungs-Firewall zum Identifizieren des Benutzers und der Arbeitsstation kann jedoch implementiert werden, um den Zugriff mit der ACL zu beschränken, die Sie wünschen. Sie können einen Reputationsdienst wie in einigen anderen Antworten beschrieben integrieren, um die Verwaltung des Prozesses zu erleichtern.

Die eigentliche Frage ist zu fragen, ob geht es um Sicherheit, oder geht es um Kontrolle? Wenn es das erste ist, dann müssen Sie die Kostenschwelle verstehen, die Ihre Manager bereit sind zu zahlen. Wenn es das zweite ist, dann wird wahrscheinlich ein großes sichtbares Theater ausreichen, um sie davon zu überzeugen, dass Sie geliefert haben, mit kleinen Ausnahmen.


4
2018-02-10 20:54





Sie benötigen ein Inhaltsfiltergerät oder einen Inhaltsdienst, z. B. BlueCoat Secure Web Gateway, oder eine Firewall mit Inhaltsfilterung, z. B. eine Palo Alto-Firewall. Produkte wie diese haben breite Kategorie Filter, die Online-Speicher enthalten.

BlueCoat bietet sogar einen Cloud-basierten Dienst, bei dem Sie Ihre Laptop-Benutzer durch einen Proxy-Dienst zwingen können, der lokal auf ihrem Computer ausgeführt wird, aber Inhaltsfilterungsregeln von einer zentralen Quelle übernimmt.


3
2018-02-10 16:09





  • Schwarze Liste

Erstellen Sie eine Liste von Websites, auf die die Benutzer nicht zugreifen können.

Pro: Block spezifischen Service.

Nachteile: Eine große Liste, manchmal kann es die Leistung der Firewall des Systems verletzen (normalerweise tut es!). Manchmal könnte es umgangen werden.

  • Weiße Liste

Anstatt sich auf eine große Liste von Websites auf der schwarzen Liste zu verlassen, verwenden einige Unternehmen eine Whitelist, bei der Benutzer nur auf die Websites auf der weißen Liste zugreifen können.

Pro: einfach zu verwalten.

Nachteile: Es schmerzt die Produktivität.

  • Blockieren Sie die Größe der gesendeten Informationen (POST / GET).

Einige Firewalls erlauben es, die Größe der gesendeten Informationen zu blockieren, wodurch das Senden einiger Dateien unmöglich wird.

Pro: Einfach zu verwalten.

Nachteile: Einige Benutzer könnten sie umgehen, indem sie Dateien in kleinen Blöcken senden. Es könnte einige Websites beschädigen, zum Beispiel einige Winforms-Websites von Java und Visual Studio senden regelmäßig viele Informationen.

  • Blockieren Sie keine HTTP-Verbindungen.

Pro: einfach zu konfigurieren.

Nachteile: Es könnte aktuelle Systeme brechen.

Nach meiner Erfahrung arbeitete ich für eine Bank. Die Administratoren blockierten den Zugriff auf den USB-Stick und den Zugriff auf einige eingeschränkte Sites (Blacklist). Allerdings habe ich eine PHP-Datei in einem kostenlosen Webhosting erstellt und ich kann meine Dateien problemlos hochladen (über eine normale Website). Ich habe 5 Minuten dafür gebraucht.

Ich stimme einigen Kommentaren zu, ist einfach und effektiver, um eine Personalordnung zu verwenden.


2
2018-02-11 14:53



Eine neuere Idee war ein kombinierter Ansatz: eine Blacklist für HTTP, eine Whitelist für HTTPS. Was die anderen Lösungen angeht: Es wird immer notwendig sein zu testen, was implementiert werden kann, ohne bestehende Systeme zu zerstören, weil dies von Fall zu Fall unterschiedlich ist. - marsze