[Ask] Chằng lẽ pó tay với ultrasurf

[songhoang]

Xin chào các thầy và các bạn đồng nghiệp !!!!

Công ty mình đang sử dụng mạng workgroup cho khoảng 30 máy tính sử dụng, mình dựng 1 con ISA dùng để cấm nhân viên truy cập web.
Con Isa của mình thì cũng rất đơn giản: cấm toàn bộ, chỉ cho dùng mail công ty và vào 1 số web liên quan tới công việc.
Cấm Yahoo và cho dùng Skype
Mình cấu hình các rule như sau:
1-Máy ISA (máy mình quản lý) đang test nên mình cho ra web full
2-Phân giải DNS (protocol: DNS, SKYPE) protocol SKYPE là mình tạo thêm cho skype port 443.
3-Danh sách cho ra web theo url sets (HTTP, HTTPS)
4-Danh sách gởi nhận mail (SMTP, POP3, SMTPS, POP3S)

Mọi việc rất ok cho tới khi mình gặp Ultrasurf

Câu hỏi là như thế này.
Trường hợp 1: Theo các rule trên , client chỉ cần mở ultra lên là vào web phà phà

Trường hợp 2: Mình bỏ Protocol của skype (port 443) ra, thì ultra chịu chết, không connect tới server của nó được.

Tuy nhiên đối với trường hợp 2 thì sếp không đồng ý vì ông muốn nhân viên trong công ty được dùng skype để trao đổi thông tin.

Vậy các thầy và các bạn đồng nghiệp có cao kiến gì trong vấn đề này xin vui lòng đại khai nhãn giới cho mình.

Các bạn đồng nghiệp muốn giao lưu kinh nghiệm hoặc giao lưu đá bóng giữa các công ty thì cũng có thể liên hệ trực tiếp với mình.

Công ty mình đá bóng sân cỏ hằng tuần thứ bảy lúc 4h-6h chiều tại sân vận động Q.8, đội công ty nào chịu tới đây đá giao lưu, mình sẽ mời đá miễn phí.

Trung Song - 0908.214.096
trungsong@gmail.com

Xin cám ơn vì đã xem topic

[thanhsangdt]

Vấn đề này hay . Mình cũng đang gặp vấn đề này anh em nào có cách khả thi không giúp với

[MrBlackberry]

Đê mai đi ôn tập em sẽ hỏi thầy Tài , vấn đề này em suy nghĩ cũng mấy tháng nay rùi

[cocca]

Cái này bên Draytek cũng thảo luận, bạn tham khảo.
http://forum.draytek.com.vn/showthre...ight=ultrasurf

[300000]

hoàn toàn có thể cấm được ultrasurf nếu bạn dùng phần mềm ISA phiên bản 2006 hoặc phiên bản TMG 2010 , vấn đề ở đây là cấu hình đòi hỏi phức tạp hơn nhiều và trước tiên bạn nên tìm hiểu cái ultrasurf chạy ra net như thế nào đã , sau khi hiểu xong thì bạn chỉ cần chạy thêm chức năng HTTPS inspection là khóa được , nếu như bạn dùng ISA 2006 thì chưa có HTTPS inspection nên phải dùng add in của hãng thứ ba tên ssl decoder của hãng http://www.redline-software.com/eng/products/tk/

sau khi cài xong tool đó thì bạn có thể cấu hình và triển khải cho toàn bộ hệ thống mạng của bạn , nói chung cái này yêu cầu bạn tìm hiểu một chút về certificate thì mới làm dễ hơn còn tự làm theo thì vất vả cho bạn nhiều , với TMG 2010 thì không cần gì chỉ cần kích hoặt chức năng HTTPS inspection là mọi chuyện được giải quyết , mình đã làm cả hai cái đó và đảm bào 100 % chặn được . đấy là công việc của bạn kiếm tiền hàng tháng tự bạn phải biết làm thế nào mình chỉ hướng dẫn cho bạn đến như vậy thôi.

[KissOfDeath]

bạn deny cái application untral đi thì làm gì user có thể open nó lên đc? nếu ko đc, bạn tìm hiểu sem cái untral nó vận hành ntn ? thường thì khi untrall run thì nó sẽ connect to server ( bóp cổ nó là die )

[Vigor2700]

Trích:

Nguyên văn bởi songhoang

Xin chào các thầy và các bạn đồng nghiệp !!!!

Công ty mình đang sử dụng mạng workgroup cho khoảng 30 máy tính sử dụng, mình dựng 1 con ISA dùng để cấm nhân viên truy cập web.
Con Isa của mình thì cũng rất đơn giản: cấm toàn bộ, chỉ cho dùng mail công ty và vào 1 số web liên quan tới công việc.
Cấm Yahoo và cho dùng Skype
Mình cấu hình các rule như sau:
1-Máy ISA (máy mình quản lý) đang test nên mình cho ra web full
2-Phân giải DNS (protocol: DNS, SKYPE) protocol SKYPE là mình tạo thêm cho skype port 443.
3-Danh sách cho ra web theo url sets (HTTP, HTTPS)
4-Danh sách gởi nhận mail (SMTP, POP3, SMTPS, POP3S)

Mọi việc rất ok cho tới khi mình gặp Ultrasurf

Câu hỏi là như thế này.
Trường hợp 1: Theo các rule trên , client chỉ cần mở ultra lên là vào web phà phà

Trường hợp 2: Mình bỏ Protocol của skype (port 443) ra, thì ultra chịu chết, không connect tới server của nó được.

Tuy nhiên đối với trường hợp 2 thì sếp không đồng ý vì ông muốn nhân viên trong công ty được dùng skype để trao đổi thông tin.

Vậy các thầy và các bạn đồng nghiệp có cao kiến gì trong vấn đề này xin vui lòng đại khai nhãn giới cho mình.

Các bạn đồng nghiệp muốn giao lưu kinh nghiệm hoặc giao lưu đá bóng giữa các công ty thì cũng có thể liên hệ trực tiếp với mình.

Công ty mình đá bóng sân cỏ hằng tuần thứ bảy lúc 4h-6h chiều tại sân vận động Q.8, đội công ty nào chịu tới đây đá giao lưu, mình sẽ mời đá miễn phí.

Trung Song - 0908.214.096
trungsong@gmail.com

Xin cám ơn vì đã xem topic

Trích:

Nguyên văn bởi cocca

Cái này bên Draytek cũng thảo luận, bạn tham khảo.
http://forum.draytek.com.vn/showthre...ight=ultrasurf

Nếu bạn đang sở hữu một em DrayTek Vigor thì có thể tham khảo thảo luận ở post trên và chú ý hướng dẫn allow yahoo tại : http://forum.draytek.com.vn/showpost...4&postcount=16

Skype bạn có thể làm tương tự.

Cho đến thời điểm này, đơn giản nhất để chặn Ultrasurf là:
- Deny all
- Allow các port cần thiết
- Riêng port 443 chỉ allow với đích đến là một số IP cụ thể

[300000]

Nếu khóa hết cổng 443 lại thì mỗi lần user muốn vào những trang https thì lại kêu admin mở ra từng cổng hay sao? bạn thử hình dung nếu có khoảng 50 người sử dụng thôi mà làm theo kiểu khóa hết cổng 443 lại thì admin có công việc làm từ sáng đến tối hay sao vậy.

có cách khác làm hoàn toàn không cần block 443 mà vẵn khóa được ultrasurf nếu bạn sử dụng TMS hoặc ISA 2006 còn chỉ nhờ vào máy cái router Draytek thì chỉ cần hơn 15 user vào mạng đồng thời là ngủm củ tỏi không chạy được nữa vì quá tải và quá nóng .những hệ thống lớn thì người ta thường dùng firewall phần cứng chuyên dụng hoặc ISA thì mới có thể phục vụ được công việc một cách ổn định .

[Vigor2700]

Trích:

Nguyên văn bởi 300000

Nếu khóa hết cổng 443 lại thì mỗi lần user muốn vào những trang https thì lại kêu admin mở ra từng cổng hay sao? bạn thử hình dung nếu có khoảng 50 người sử dụng thôi mà làm theo kiểu khóa hết cổng 443 lại thì admin có công việc làm từ sáng đến tối hay sao vậy.

Số lượng nhân viên có nhu cầu sử dụng HTTPS rất nhỏ hoặc số trang web sử dụng HTTPS mà CTY cần truy cập cũng không nhiều => cam đoan khả thi để thực hiện.

Trích:

Nguyên văn bởi 300000

có cách khác làm hoàn toàn không cần block 443 mà vẵn khóa được ultrasurf nếu bạn sử dụng TMS hoặc ISA 2006 còn chỉ nhờ vào máy cái router Draytek thì chỉ cần hơn 15 user vào mạng đồng thời là ngủm củ tỏi không chạy được nữa vì quá tải và quá nóng .những hệ thống lớn thì người ta thường dùng firewall phần cứng chuyên dụng hoặc ISA thì mới có thể phục vụ được công việc một cách ổn định .

- Bạn cho mình hỏi DrayTek Vigor model nào mà chạy không nổi 15 user đồng thời vậy? Nếu được cho mình thông tin liên hệ mình sẽ hỗ trợ tốt nhất cho bạn. DrayTek Vigor có những model chịu tải lên đến 500-1000 User như Vigor3900 vã cũng không có model nào không chạy nổi 15 user dù là dong thấp nhất như Vigor120

- Bạn nói ISA hay TMS hay firewall cứ nào đó chặn được Ultrasurf mà không ảnh hưởng đến HTTPS hay SSL: Bạn có thể kể ra cho anh em trên Nhất Nghệ tham khảo không? Nếu được hướng dẫn sơ qua cách làm mà bạn đã áp dụng. Nếu bạn quá bận không có thời gian thì nói sơ lượt qua cũng được.

- 95% CTY ở Việt Nam là vừa và nhỏ; Nhu cầu bảo mật thì dù lớn dù nhỏ đều cần thiết như nhau nhưng không phải CTY nào cũng có đủ kinh phí cho vấn đề này. DrayTek là một lựa chọn thích hợp. Bạn tin hay không cũng không sao nhưng đã có rất nhiều CTY không phải nhỏ đã chọn DrayTek cho giải pháp của mình (Không tiện nêu tên). Nếu lúc nào đó bạn cần giải pháp bảo mật/VPN với chi phí hợp lý, hãy liên hệ với chúng tôi nhé

Mong tin

[hugo1982]

Trích:

Nguyên văn bởi 300000

Nếu khóa hết cổng 443 lại thì mỗi lần user muốn vào những trang https thì lại kêu admin mở ra từng cổng hay sao? bạn thử hình dung nếu có khoảng 50 người sử dụng thôi mà làm theo kiểu khóa hết cổng 443 lại thì admin có công việc làm từ sáng đến tối hay sao vậy.

có cách khác làm hoàn toàn không cần block 443 mà vẵn khóa được ultrasurf nếu bạn sử dụng TMS hoặc ISA 2006 còn chỉ nhờ vào máy cái router Draytek thì chỉ cần hơn 15 user vào mạng đồng thời là ngủm củ tỏi không chạy được nữa vì quá tải và quá nóng .những hệ thống lớn thì người ta thường dùng firewall phần cứng chuyên dụng hoặc ISA thì mới có thể phục vụ được công việc một cách ổn định .

Ack ack.....cái này nói vậy là không được rồi....Không riêng gì Draytek, mỗi sản phẩm Firewall cứng đều có recommended số lượng user, Performent, Ability của thiết bị.....Quy chung tất cả những sản phẩm của Draytek vậy là k hợp lý đâu bạn....Mình cũng chưa từng biết cách chặn Ultra bằng ISA 2006 hay TMG, nên cũng muốn được học hỏi....