Кто-то из руководства предположил, что наш прокси-сервер был взломан кем-то изнутри.
Наш прокси настроен на регистрацию каждого пользователя, когда он выходит в Интернет, но у кого-то есть основания полагать, что хотя бы один человек нашел способ обойти это.
Мой менеджер подошел ко мне и спросил, возможно ли это. Итак, я здесь, чтобы узнать.
Я просмотрел журналы наших прокси-серверов, и там есть одна запись, озаглавленная «анонимно», но я не знаю, как, если кто-то ее использует, и как они вообще могут получить для нее пароль.
Я нашел статью Этично ли взламывать реальные системы? Здесь. Во-первых, у меня нет ничего написанного от него о том, что я могу это сделать, но я хочу вернуться к нему, чтобы сообщить ему, возможно ли это и как кто-то может это сделать.
Кто-нибудь знает, возможно ли это?
Если бы кто-то нашел способ обойти наш прокси-сервер (чтобы он не регистрировался или мог получить доступ к заблокированным веб-сайтам), скорее всего, он сделал бы это через анонимную учетную запись или обошел прокси другим способом?
Есть много способов обойти прокси. Вам никогда не удастся полностью остановить кого-то.
Могу я предложить вам напомнить всем своим сотрудникам, что обход вашей фильтрации является дисциплинарным делом и что с каждым, кого поймают в обходе, будут поступать соответствующие меры. Затем, если вам случится поймать кого-то, глядя на его экран, вы сможете с ним разобраться.
Также имейте в виду, что пользователь может использовать что-то вроде удаленного рабочего стола или VNC и просто подключаться к другой системе. В таких ситуациях веб-прокси не используется, и пользователь сможет получить доступ ко всему, что ему нравится. Хотя это может нарушать политику использования, это также не является откровенно вредоносным.
Наш прокси настроен на регистрацию каждого пользователя, когда он выходит в Интернет, но у кого-то есть основания полагать, что хотя бы один человек нашел способ обойти это.
Возможно, они просто использовали для этого свой собственный прокси. Ваши серверы будут видеть только пользователя, подключающегося к его собственной удаленной системе. (И как человек, который считает, что ведение журнала просматриваемых страниц - зло, я знаю немало способов сделать это.)
Все возможно.
Во-первых, узнайте, хочет ли ваш руководитель, чтобы вы потратили время на изучение этой проблемы. Отправьте электронное письмо, чтобы у вас было письменное подтверждение, что у вас есть разрешение на продолжение.
Какой прокси-сервер использует ваша компания? Вероятно, существуют известные эксплойты, позволяющие обойти это. Можете ли вы отключить «анонимный» аккаунт или отключить анонимный доступ к прокси?
Блокируют ли ваши пограничные брандмауэры HTTP-трафик, исходящий не от прокси? В противном случае обойти прокси так же просто, как не использовать прокси.
Другой способ обойти это - использовать SSL-туннель к внешнему прокси-серверу и просматривать оттуда. Это гораздо труднее обнаружить и предотвратить.
Если это связано с тем, что кто-то заходит на заблокированные вами веб-сайты, возможно, они использовали какой-то туннель, например SSH-туннель.
Этот поиск Google дает вам много способов обойти прокси.
Что касается журналов ... не могу помочь, так как у меня нет всей истории.
Есть много способов обойти прокси.
Любой из сайтов анонимайзеров в Интернете позволит вам обойти черный список прокси, если они сами не находятся в черном списке.
Проще всего было бы что-то вроде PHPПРОКСИ на внешнем сервере. Однако это было бы довольно легко обнаружить в файлах журнала.
Труднее был бы упомянутый выше туннель ssh, но и его труднее найти.
Другой вариант - VPN-соединение с внешним миром. Есть несколько сайтов, которые арендуют VPN-соединения за определенную плату.
"Обход прокси" = / = "взлом прокси".
Да, большинство прокси легко обойти.
В дополнение к тому, что все уже заявили о взломе вашего прокси ...
В зависимости от вашего прокси-сервера эта анонимная запись в файле журнала может быть просто первоначальным запросом от браузера, прежде чем он узнает, что должен предоставить авторизацию прокси.
Если код ответа HTTP для этой записи - 407 (требуется авторизация прокси), то это, вероятно, так, и за ним должен довольно быстро последовать другой аутентифицированный запрос (при условии, что у клиента есть авторизация) для того же ресурса с того же IP-адреса. Если за ним не последовал другой запрос на тот же ресурс с того же IP-адреса, возможно, что клиент просто отказался от сеанса с запросом проверки подлинности прокси.
Во-первых - да, конечно, это возможно. Почему бы не использовать что-то вроде Wireshark, чтобы увидеть, что движется в сети? Пока вы осуществляете мониторинг из соответствующей точки в сети, вы будете видеть, какой трафик проходит в обход прокси-сервера и куда он направляется.