Samozřejmě je otázkou, kdy má blokování smysl, jaké weby je vhodné blokovat pro koho apod. (příklad: Facebook v marketingovém oddělení). Nicméně když už se k takovému řešení přistoupí, nemělo by se dát obcházet. Takové postupy vedou nejen k tomu, že lidé pak v práci hrají on-line hry. Současně se vytváří i kanál, který IT oddělení nemá pod kontrolou, může představovat další bezpečnostní riziko úniku dat atd.
5 hlavních triků
IP adresa namísto domény
Do adresního řádku prohlížeče se napíše „číselná“ IP adresa namísto domény. Patřičnou číselnou adresu lze zjistit pomocí různých nástrojů pro překlad (např. baremetal.com). Většina současných webových filtrů pracuje na základě názvů domén a takto je lze obejít.
Řešení: nasadit filtr, který posuzuje stránky podle jejich obsahu a chování, nikoliv jen na základě domény/IP adresy.
Paměť vyhledávačů
Google i další vyhledávače umožňují přístup k archivu stránek, jejich starší podobě (v českém Googlu odkaz Archiv ve výpisu výsledků vyhledávání).
Řešení: Web uložený v mezipaměti (cache) vyhledávače nemusí znamenat bezpečnostní riziko nebo nemusí být funkční (dejme tomu pro hraní her). Nejde tedy zase o tak strašný problém, možné řešení je ale stejné jako v předešlém případě – blokovat na základě obsahu, ne adresy.
Šifrovaný přenos pomocí HTTPS
Do adresy lze na začátek připsat k řetězci http písmenko s. Pokud to server umožňuje, bude pak komunikace mezi klientem a serverem šifrována přes SSL a pro firemní monitoring prakticky neviditelná. Obdobnou metodou je přihlásit se k jinému stroji přes SSH a dále pracovat z něj.
Řešení: umístit mezi firemní prostředí a Internet proxy server nebo bránu.
Cizí proxy server
Zaměstnanec se může k Internetu připojovat přes proxy server, který si nastaví ve webovém prohlížeči (Firefox nabízí jejich výběr). Podobný účinek mají i VPN tunely, anonymizéry nebo další nástroje primárně vyvinuté pro ochranu soukromí.
Řešení: příslušné servery zakázat, povolit pouze vlastní proxy server. Některé techniky pro vytváření tunelů pracují na principu P2P sítí a blokují se ovšem obtížně, blacklisty je třeba neustále aktualizovat.
Chytré telefony
K Facebooku či Twitteru lze přistupovat i ze smart phonů, s podobným důsledkem na produktivitu práce, jako kdyby šlo o firemní PC.
Řešení: Pokud je smartphone firemní, lze jeho použití omeziti podobně jako u PC (pomocí různých skupinových zásad, proxy serverů apod.). Pokud visí zaměstnanec po celou pracovní dobu na Twitteru ze svého (např.) iPhonu nebo notebooku, mnoho toho dělat nejde. V prostředí armády či tajné služby lze různě rušit signál mobilních sítí nebo WiFi, pro běžné firmy se takový postup přirozeně nehodí. Zaměstnanec alespoň neohrožuje firemní IT systém. Odhalit ho je nutné jinými než IT prostředky, asi jako kdyby třeba celou pracovní dobu nepřítomně koukal do zdi...
Zdroj: CSO Online
PŘEDPLATNÉ
ČLÁNKY DO MAILU