V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
marguin
V2EX  ›  信息安全

企业网络要禁用 dropbox, icloud 或者百度等网盘有哪些方法?

  •  
  •   marguin · 2015-03-11 16:38:04 +08:00 · 11568 次点击
    这是一个创建于 3549 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,大家有做企业IT的吗?一般用什么方法禁用dropbox这些网盘?防火墙封IP,上管理工具,还是其他好的办法呢?

    第 1 条附言  ·  2015-03-18 09:58:28 +08:00
    如果企业内网需要放行微信的文字消息,拦截语音、图片、视频和文件上传,大家能够想到什么好的办法吗?
    57 条回复    2015-03-13 16:38:53 +08:00
    wzxjohn
        1
    wzxjohn  
       2015-03-11 16:39:12 +08:00
    说的好像不翻墙前两个能用一样。。。
    marguin
        2
    marguin  
    OP
       2015-03-11 16:44:59 +08:00
    @wzxjohn 试试HTTPS,联通线路目前还可以用
    zealic
        3
    zealic  
       2015-03-11 16:47:57 +08:00
    BAN IP,但是你举得挡的住真正的码农?

    只要你的防火墙不禁 443,怎么都能出去的。
    marguin
        4
    marguin  
    OP
       2015-03-11 16:49:09 +08:00
    @zealic 是呀,这是难点呀,还有没有好的做法或者工具能够解决呢?
    66450146
        5
    66450146  
       2015-03-11 16:52:13 +08:00
    瘦客户端+远程桌面+域账号+组策略

    前提是你的员工在这种环境下还能开心工作……
    marguin
        6
    marguin  
    OP
       2015-03-11 16:54:45 +08:00
    @66450146 你说的对,每个企业的IT管理员要是都这样做,那真是挺轻松的,但也会被骂死
    66450146
        7
    66450146  
       2015-03-11 16:58:52 +08:00
    @marguin 非码农的企业这么干的挺多的,跟各种 OA 系统都能紧密结合,非常方便,极大节约 IT 工作量,一定要说缺点的话就是软件费用感人

    码农之类的话还是放开一点吧,多用条款而不是技术手段去封禁
    zealic
        8
    zealic  
       2015-03-11 17:15:42 +08:00
    @marguin
    码农就不用防了,得不偿失~
    Meteoral
        9
    Meteoral  
       2015-03-11 17:34:00 +08:00
    自己做DNS服务器,内部只能从这个服务器解析域名,然后在DNS服务器上屏蔽掉*pan.baidu.com*
    但是程序员同样可以有别的办法绕过……
    kslr
        10
    kslr  
       2015-03-11 17:36:49 +08:00
    @Meteoral 在本地网络设置DNS服务器就行了,所以还是没什么好办法
    cnZary
        11
    cnZary  
       2015-03-11 17:37:33 +08:00
    sstp...绕过..
    Septembers
        12
    Septembers  
       2015-03-11 17:56:44 +08:00
    IDS
    abelyao
        13
    abelyao  
       2015-03-11 18:04:55 +08:00
    域名白名单机制,需要上什么网站,可以申请添加,全部把关一遍
    zent00
        14
    zent00  
       2015-03-11 18:18:33 +08:00 via Android
    能上 Dropbox 的人你确定能拦得住?
    qianlicao353
        15
    qianlicao353  
       2015-03-11 18:20:57 +08:00
    劫持53端口
    Dongdong36
        16
    Dongdong36  
       2015-03-11 18:51:04 +08:00
    拔网线,,,
    hjc4869
        17
    hjc4869  
       2015-03-11 19:02:25 +08:00 via iPhone
    要求员工只能使用明文协议,并且既然是企业,每台电脑里应该都有企业根证书吧。。劫持一下https即可,或者是SNI,碰到dropbox关键字直接connection reset就可以了
    marguin
        18
    marguin  
    OP
       2015-03-11 19:12:41 +08:00
    @Meteoral
    还得结合IP地址过滤吧,不然仅域名还是防君子不防小人
    marguin
        19
    marguin  
    OP
       2015-03-11 19:14:17 +08:00
    @abelyao
    有什么工具或产品能够做的那么彻底?貌似运营商机房里都有域名白名单的功能,不知怎么做到的!
    Mush
        20
    Mush  
       2015-03-11 19:15:20 +08:00
    换工作?
    abelyao
        21
    abelyao  
       2015-03-11 19:16:54 +08:00
    @marguin 很多企业级路由不是带有管理界面吗…?
    15ir
        22
    15ir  
       2015-03-11 20:16:19 +08:00 via iPhone
    看样子是防止文件上传网盘? (逃...
    zwy100e72
        23
    zwy100e72  
       2015-03-11 23:22:37 +08:00   ❤️ 1
    我能想到的是用7层网关(代理服务器)
    dns广播里设置自动代理,客户端组策略
    结合路由器只允许代理服务器对外访问
    bydmm
        24
    bydmm  
       2015-03-12 01:12:30 +08:00 via iPhone
    vpn和ss 你感觉你挡得住哪种
    randyzhao
        25
    randyzhao  
       2015-03-12 01:20:41 +08:00
    防不住的啊...
    楼主到底是想防止员工带资料走?
    还是嫌拖累网速?
    sinxccc
        26
    sinxccc  
       2015-03-12 01:28:29 +08:00   ❤️ 1
    企业 IT 当然是技术和行政两手上,光靠技术限制的话 IT 得累死……
    knightluffy
        27
    knightluffy  
       2015-03-12 08:51:32 +08:00
    让领导知道你拦过了就好了,得罪人做肾?
    marguin
        28
    marguin  
    OP
       2015-03-12 09:21:21 +08:00
    主要是要防止员工将公司资料传到网盘上带走。是呀,对台式机也许还有些效果;对于笔记本回家还拦得住吗?
    仅从技术角度来看,客户端和网络层都得上工具才能治理得像个样子。
    @randyzhao 大晚上不睡觉,您这是米国的时间呀
    marguin
        29
    marguin  
    OP
       2015-03-12 09:21:59 +08:00
    @knightluffy 太感人了,你说的在理
    marguin
        30
    marguin  
    OP
       2015-03-12 09:25:51 +08:00
    @sinxccc 行政上的管理太虚了,尤其是缺乏可见性。技术手段给行政手段加个外衣,领导问起来好交差,而且必要的时候也能拉出个单子,让领导看看成绩吗;同时也给领导个抓手,恩威并施方才能尽显他的英雄本色
    EchoChan
        31
    EchoChan  
       2015-03-12 09:40:03 +08:00 via Android
    @marguin 资料不也可以传到邮箱带走?而且除了网盘外还有各种文件传输工具。
    yuankui
        32
    yuankui  
       2015-03-12 09:51:20 +08:00
    原来是你!!
    Actrace
        33
    Actrace  
       2015-03-12 10:02:55 +08:00   ❤️ 1
    最好的办法就是封网,类似银行或者公安系统那样的安全级别。
    其次是只允许HTTP类明文协议,这样就可监控。
    DNS那个招是没用的,只要有加密的数据可以出去,其他都是浮云。
    huson
        34
    huson  
       2015-03-12 10:03:22 +08:00
    qq 旺旺 WEB空间,FTP等等 任何可以上传资料的地方都可以上传,我觉得还是直接断网吧。。
    xiaogui
        35
    xiaogui  
       2015-03-12 10:11:05 +08:00
    挺简单的,网线剪了。
    qifei
        36
    qifei  
       2015-03-12 10:13:16 +08:00
    断电最安全
    JamesR
        37
    JamesR  
       2015-03-12 11:12:26 +08:00
    企业一般不会禁 Wifi 吧,就算禁用了,我带个无线路由器带根插上就行了,一点都不起眼,然后电脑上鼠标右键设置共享文件夹,然后手机 ES 文件浏览器输入登录密码复制下就行了,几分钟拷贝走你机密文件,呵呵。
    randyzhao
        38
    randyzhao  
       2015-03-12 11:53:08 +08:00   ❤️ 1
    @marguin 这个倒是没有绝对能防的住 讲个偏门的 我在 linode 上用 owncloud 搭一个网盘. 那怎么都防不了啊.
    我们现在做法就是直接在路由里封域名. 然后给领导开白名单. 这招对非开发基本是100%有效. 对开发来说, 就看自己想不想越过这层障碍了. 想干坏事的, 怎么都防不住呢.

    正如楼上说的, 领导看到你做了, 就行了. 做的太绝也没必要.

    真的不是米国时间啊, 代码汪的日常而已.
    chenliang0571
        39
    chenliang0571  
       2015-03-12 12:14:40 +08:00 via Android   ❤️ 1
    我们公司是这么做的:
    1. 所有设备上网必须通过公司的代理服务器
    2. 禁止sock5/4连接,禁止ssh到外网
    3. 访问未经服务器收录的网站需要点击一个类似用户协议的按钮,表示访问此网站不违反公司协议。
    tvvocold
        40
    tvvocold  
       2015-03-12 13:15:27 +08:00
    @chenliang0571 为什么要这么做? 安全?
    bestsanmao
        41
    bestsanmao  
       2015-03-12 13:19:10 +08:00
    @zealic 只要不封外网,怎么都能出去
    heian0224
        42
    heian0224  
       2015-03-12 14:11:03 +08:00   ❤️ 1
    与其花大力气在网关、DNS上,不如花时间告诉员工那些文件的重要性。。这么不信任码农吗?
    marguin
        43
    marguin  
    OP
       2015-03-12 14:43:06 +08:00
    @heian0224 这个其实很难,很复杂,首先没有一个人能够说清楚的。作为企业的IT管理者,不信任往往是工作的出发点,不然怎么做到 due diligence?
    karjarjam
        44
    karjarjam  
       2015-03-12 15:22:15 +08:00
    @marguin 那你还得禁掉USB,最好要禁掉所有物理接口
    还不如跟贵公司领导商量下关键电脑不连外网。
    marguin
        45
    marguin  
    OP
       2015-03-12 16:01:57 +08:00
    @karjarjam
    @xiaogui
    @Dongdong36
    说禁网的各位,其实很多国有大企业就是这么干的,但是邮件什么的还是有网关出去的,其他的一律封掉。从管理的角度来讲简单了,但是人家国企不愁卖,对于中小企业如果断网就基本是作死的做法。给点技术上的建议吧。
    knightlhs
        46
    knightlhs  
       2015-03-12 16:08:13 +08:00
    基本上从企业协议的角度出发 你有机会
    如果从技术角度出发 你觉得顺畅使用dropbox的人 你得付出多大成本能封杀?
    chairuosen
        47
    chairuosen  
       2015-03-12 16:13:04 +08:00
    技术上的建议就是封网封USB口
    RemRain
        48
    RemRain  
       2015-03-12 19:11:17 +08:00
    进门搜身,禁止携带金属物件、纸制品等、洗澡换上特定工作服后允许进入办公区,办公区封锁网络、屏蔽信号、遮光等;出门没收一切物品,洗澡换衣后允许离开。防止技术人员用手机直接对着资料拍照带走,或者抄到本子、手上。
    402645707
        49
    402645707  
       2015-03-12 22:41:32 +08:00 via Android
    @RemRain FBI的资料库的确是这样的,遮光是在干嘛,google表示只是机房要开手电而已
    直接手机开热点
    RemRain
        50
    RemRain  
       2015-03-12 22:49:08 +08:00
    @402645707 不遮光的话,窗外有同伙怎么办,站窗子旁,通过肢体语言直接把信息传递出去了
    nbndco
        51
    nbndco  
       2015-03-12 23:13:15 +08:00 via iPhone
    完全没懂在干嘛,既然能上网,想传哪里传哪里,为什么非要传你想封的几个网盘上?
    pandada8
        52
    pandada8  
       2015-03-12 23:15:37 +08:00
    赶紧辞职
    mortal
        53
    mortal  
       2015-03-13 07:28:48 +08:00 via iPad   ❤️ 1
    我们企业是必须走自己的 http 代理服务器才能上网,封域名。

    简单的代理转换加 ss 就搞定了。如楼上很多所说,从技术角度要完全封死,虽然不是不可能,但代价太高昂。LZ 做做样子,能拦住小白用户即可。
    xieyudi1990
        54
    xieyudi1990  
       2015-03-13 07:59:09 +08:00 via iPhone
    听说有专门的公司卖解决方案, 在员工的文件系统上做手脚, 拷贝或者上传后文件都是加密过的, 只能在本地打开.

    从网络上封, 那就有tg相同的纠结: 不能封死, 对于正常的流量要留空子. 既然有空子, 总有人会去钻.

    就算你从软件硬件方面封锁, 你还是得让员工能用本地的软硬件访问文件, 这就是留了空子. 比如, 显示器总能工作吧, 那好, 有人用显示器来传数据. 还有通过声卡产生脉冲来传数据.
    invite
        55
    invite  
       2015-03-13 13:49:55 +08:00
    上流量监管,对异常流量一律封堵。
    marguin
        56
    marguin  
    OP
       2015-03-13 16:30:08 +08:00
    @xieyudi1990 你说的都是真正的Hacker能够做的出来的。
    我没有期望那么高,能够防止内网有线、无线用户直接用浏览器、手机App就把文件传到Dropbox或者百度网盘也就知足了。
    marguin
        57
    marguin  
    OP
       2015-03-13 16:38:53 +08:00
    《IBM的BYOD历险记》http://www.ctocio.com/hotnews/6444.html

    IBM应该是网络设备和客户端DLP一起上来做的解决方案,听上去很高大上的方法。可是,效果应该不是太好
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2962 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 14:58 · PVG 22:58 · LAX 06:58 · JFK 09:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.