Jak se zaměstnanci dostávají na zakázané weby

4. 10. 2010

Sdílet

V rámci firemní politiky bývá zaměstnancům zakazován přístup na určité weby – ať už z důvodu bezpečnosti, nebo proto, aby věnovali čas práci a nikoliv svým soukromým záležitostem. Řada lidí se ale blokování pokouší obcházet. Používají často poměrně sofistikované techniky. Jak to dělají a jak na to může zase reagovat firemní IT oddělení?

Samozřejmě je otázkou, kdy má blokování smysl, jaké weby je vhodné blokovat pro koho apod. (příklad: Facebook v marketingovém oddělení). Nicméně když už se k takovému řešení přistoupí, nemělo by se dát obcházet. Takové postupy vedou nejen k tomu, že lidé pak v práci hrají on-line hry. Současně se vytváří i kanál, který IT oddělení nemá pod kontrolou, může představovat další bezpečnostní riziko úniku dat atd.

 

5 hlavních triků

 

IP adresa namísto domény

Do adresního řádku prohlížeče se napíše „číselná“ IP adresa namísto domény. Patřičnou číselnou adresu lze zjistit pomocí různých nástrojů pro překlad (např. baremetal.com). Většina současných webových filtrů pracuje na základě názvů domén a takto je lze obejít.

Řešení: nasadit filtr, který posuzuje stránky podle jejich obsahu a chování, nikoliv jen na základě domény/IP adresy.

 

Paměť vyhledávačů

Google i další vyhledávače umožňují přístup k archivu stránek, jejich starší podobě (v českém Googlu odkaz Archiv ve výpisu výsledků vyhledávání).

Řešení: Web uložený v mezipaměti (cache) vyhledávače nemusí znamenat bezpečnostní riziko nebo nemusí být funkční (dejme tomu pro hraní her). Nejde tedy zase o tak strašný problém, možné řešení je ale stejné jako v předešlém případě – blokovat na základě obsahu, ne adresy.

 

Šifrovaný přenos pomocí HTTPS

Do adresy lze na začátek připsat k řetězci http písmenko s. Pokud to server umožňuje, bude pak komunikace mezi klientem a serverem šifrována přes SSL a pro firemní monitoring prakticky neviditelná. Obdobnou metodou je přihlásit se k jinému stroji přes SSH a dále pracovat z něj.

Řešení: umístit mezi firemní prostředí a Internet proxy server nebo bránu.

 

Cizí proxy server

Zaměstnanec se může k Internetu připojovat přes proxy server, který si nastaví ve webovém prohlížeči (Firefox nabízí jejich výběr). Podobný účinek mají i VPN tunely, anonymizéry nebo další nástroje primárně vyvinuté pro ochranu soukromí.

Řešení: příslušné servery zakázat, povolit pouze vlastní proxy server. Některé techniky pro vytváření tunelů pracují na principu P2P sítí a blokují se ovšem obtížně, blacklisty je třeba neustále aktualizovat.

 

Chytré telefony

K Facebooku či Twitteru lze přistupovat i ze smart phonů, s podobným důsledkem na produktivitu práce, jako kdyby šlo o firemní PC.

Řešení: Pokud je smartphone firemní, lze jeho použití omeziti podobně jako u PC (pomocí různých skupinových zásad, proxy serverů apod.). Pokud visí zaměstnanec po celou pracovní dobu na Twitteru ze svého (např.) iPhonu nebo notebooku, mnoho toho dělat nejde. V prostředí armády či tajné služby lze různě rušit signál mobilních sítí nebo WiFi, pro běžné firmy se takový postup přirozeně nehodí. Zaměstnanec alespoň neohrožuje firemní IT systém. Odhalit ho je nutné jinými než IT prostředky, asi jako kdyby třeba celou pracovní dobu nepřítomně koukal do zdi...

 

ICTS24

Zdroj: CSO Online