V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
barbery
V2EX  ›  程序员

公司明天要装 IP-guard 了。。。搜索了下,整个人感觉都不好了。。。我终于明白为什么同事下班前把所有的私人东西都删掉了。。。

  •  
  •   barbery ·
    barbery · 2014-10-30 21:59:44 +08:00 · 48191 次点击
    这是一个创建于 3679 天前的主题,其中的信息可能已经有所发展或是发生改变。
    帮您解决
    直观多样的报表辅助制定使用应用程序黑白名单,以防范员工过度访问与工作无关的站点,提升工作效率
    控制用户允许访问的网站范围,并审计规范用户上网行为,减少用户访问非法网站带来病毒或政治/法律风险
    及时发现网络滥用问题并合理分配带宽,防止在线视频、p2p等占用正常业务流量,造成网络拥堵甚至瘫痪
    完整记录QQ、MSN等多种即时聊天工具的聊天内容,并限制文档及图片的外发,以防止有意无意的泄密
    功能详解
    [直观清晰的行为审计]
    上网行为审计
    - 完整记录用户的上网行为,包括访问的站点、使用的程序、QQ\MSN等在线聊天、Email往来、下载流量等等
    - 提供丰富的报表和统计功能,如TOP10的访问站点、流量、应用程序等等,为制定上网行为管理策略提供依据
    - 记录包含QQ、MSN等几乎所有的主流即时通讯工具的聊天记录,以及发送和接收的文件
    在线聊天监管
    - 管理用户能够使用的即时通讯工具
    - 管理用户通过即时通讯工具收发文件
    邮件往来记录与授权
    - 完整记录用户的电子邮件往来
    - 对用户的电子邮件内容收发进行管理,限制收件人、附件传送等
    屏幕监控
    - 实时查看任意一台甚至一组计算机的当前屏幕,并能记录和回放屏幕画面,同时还输出为通用的视频格式文件以供直观审计
    [全面的网络应用管理]
    网站访问授权
    - 允许或禁止单个/类网站的访问,如禁止访问色情暴力、娱乐站点,允许访问工作站点
    - 提供url库机制,将不同类别的网址汇入到网址库中,方便根据类别对某一类网站访问进行统一授权
    - 细分到时段和用户的差异化网站访问授权,如工作日/休息日,上班时间/午休时间等
    上网流量管理
    - 对用户的互联网流量进行分类统计,方便分析上网行为
    - 限制P2P、BT、在线视听、下载等无关流量,防范网络拥堵
    实时报警与阻断
    - 及时阻断严重违规的上网行为,向管理员报警,并对用户弹出警告
    [严格的网络安全管控]
    网络控制
    - 通过端口、IP地址、通信方向等参数限制计算机对内网、互联网等的访问,避免由随意的信息交流带来的风险
    - 检测新计算机进入内网,如有计算机非法接入则自动报警,并阻断非法接入,防止不合规的计算机接入内网
    准入控制
    - 只有合规的计算机才能连入指定访问网站,未合规则根据需要引导至隔离区进行修复,或者完全阻断其访问
    - 与IP-guard其他模块集成应用,避免内网PC脱离IP-guard管控,有效的保证内网安全策略的执行
    109 条回复    2014-10-31 23:18:14 +08:00
    1  2  
    zyue
        1
    zyue  
       2014-10-30 22:25:38 +08:00
    走人吧...
    barbery
        2
    barbery  
    OP
       2014-10-30 22:30:36 +08:00 via Android
    @zyue 哎。。。我就想问问,百度,腾讯那些大公司会那么吊弄这些东西么
    zzNucker
        3
    zzNucker  
       2014-10-30 22:36:46 +08:00   ❤️ 1
    @barbery 不会
    RemRain
        4
    RemRain  
       2014-10-30 22:44:41 +08:00   ❤️ 5
    @barbery @zzNucker
    不会,不信看这个:
    iptux
        5
    iptux  
       2014-10-30 22:48:59 +08:00
    @RemRain 噗,要这些人以后如何做人?
    shenng10
        6
    shenng10  
       2014-10-30 22:52:25 +08:00
    走代理能避开吗
    yylzcom
        7
    yylzcom  
       2014-10-30 22:55:48 +08:00
    @iptux 访问第二类网站这么多的人说明不嫖不约炮无对象的三好男人,必然成为抢手货
    访问第一类网站多的人肯定是HR department的
    0.o
    wuxqing
        8
    wuxqing  
       2014-10-30 22:56:10 +08:00
    看了下只支持windows,可以使用mac或linux绕过去吧
    Mrun
        9
    Mrun  
       2014-10-30 23:02:49 +08:00
    @shenng10 绕不开的,这些不是破解通信加密,而是直接类似于木马似的植入PC,你的任何操作哦读有监控
    ziyuan
        10
    ziyuan  
       2014-10-30 23:04:26 +08:00   ❤️ 2
    自己带本本或pad
    zro
        11
    zro  
       2014-10-30 23:07:43 +08:00
    看了前面一小段,发现自己完全看不下去=。@
    barbery
        12
    barbery  
    OP
       2014-10-30 23:14:37 +08:00
    @RemRain 艾玛,太恐怖鸟~
    barbery
        13
    barbery  
    OP
       2014-10-30 23:15:34 +08:00
    @ziyuan 只能外带了,公司电脑不敢用。。
    lyragosa
        14
    lyragosa  
       2014-10-30 23:15:38 +08:00   ❤️ 1
    自带mac,全程挂ssh。

    基本上就没问题了吧?至少不会被抓qq?
    zro
        15
    zro  
       2014-10-30 23:17:53 +08:00
    假如一台机是多系统呢,安装的时候开个垃圾系统装上去,平时就用另外一个系统;话说,如果这样可行的话,BOSS那看到的估计是黑屏,问题大条了,哈哈~
    barbery
        16
    barbery  
    OP
       2014-10-30 23:24:26 +08:00
    @zro 难道真要用windows来装个windows虚拟机?这样真能避开监控?
    sophymax
        17
    sophymax  
       2014-10-30 23:27:23 +08:00   ❤️ 1
    亲戚有个小工厂,以前碰见过其他工厂的卧底偷资料的事,前段时间问我能否实现你列举出的这些功能,我告诉她成本非常高,比如QQ聊天记录之类的很难解析,全部实现几乎不可能(她想让我写的,当然不可能了,不过就算是一个小团队做的话工作量也挺恐怖的),今天一见,果断打脸,顺便问一下这套软件这么强大到底多少钱
    icedx
        18
    icedx  
       2014-10-30 23:33:15 +08:00   ❤️ 1
    跳吧
    此时不跳更待何时?

    @sophymax
    这些功能实现实际不是太难 尤其是有金钱驱动的时候
    Mrun
        19
    Mrun  
       2014-10-30 23:35:07 +08:00
    @zro 别闹了,人家专业做这个的,普通方法能解决的那帮子专业程序员会想不到?
    zro
        20
    zro  
       2014-10-30 23:37:30 +08:00
    @barbery 嗯,IP-Guard装在虚拟机上,这样就。。。哈哈~如果是别人亲自给你装,你就把虚拟机全屏好了,记得顶头的连接栏要隐藏,上班就要第一时间开着虚拟机
    sophymax
        21
    sophymax  
       2014-10-30 23:38:57 +08:00
    @icedx 这么看来腾讯QQ的聊天记录是直接UDP明文传的,我一开始以为企鹅会弄个加密来着,所以觉得难解析,其他剩下的东西确实没啥
    icedx
        22
    icedx  
       2014-10-30 23:44:40 +08:00
    @sophymax 传输确实是加密的
    aheadlead
        23
    aheadlead  
       2014-10-30 23:45:17 +08:00
    @Mrun 不能自己带电脑4G接入网络吗?4G、3G都屏蔽还不如监狱
    Mrun
        24
    Mrun  
       2014-10-30 23:51:05 +08:00   ❤️ 2
    @aheadlead 如果你用4G/3G的话,可以接入Internet网络,都独立一个网了干嘛不可以?但是你要注意一个问题,有些公司要联入内部服务器的话,必须走内网或者验证身份,IP-Guard就具备这个功能。


    @sophymax QQ是加密的传输的,连通信协议都是私有的,目前所说的记录QQ聊天记录,比如深信服,都是在PC上加装监控模块,跟木马一样的,这样的情况下,你再牛逼的加密也形同虚设
    sophymax
        25
    sophymax  
       2014-10-30 23:51:12 +08:00
    @icedx 算是明白了,这玩意是装在人家电脑上的,所以根本没必要去解密那些网络包,在人家电脑上拿个文本是很容易的事
    aheadlead
        26
    aheadlead  
       2014-10-30 23:53:07 +08:00
    @Mrun 用内部服务器就用公司的电脑啊



    话说说不定以后就直接在电脑和(鼠标键盘显示器)之间加入监控的硬件了...
    Mrun
        27
    Mrun  
       2014-10-30 23:56:49 +08:00
    @aheadlead 确实可以,再牛逼的安全技术,人为问题的话,也是浮云
    t6attack
        28
    t6attack  
       2014-10-30 23:59:12 +08:00   ❤️ 1
    跳吧,有好多公司不监控的。
    否则国内 网页游戏 庞大的市场规模是怎么来的?
    sophymax
        29
    sophymax  
       2014-10-31 00:02:34 +08:00
    @Mrun 明白了,之前一直纠结的是如何在网络包里面解析出聊天记录,但这个IP-Guard是直接是装在电脑里的,所以没必要理会解密这些幺蛾子
    t6attack
        30
    t6attack  
       2014-10-31 00:06:28 +08:00
    @barbery @zzNucker @zyue @zro @icedx
    怎么工作时间还不敢用公司电脑的?上班时间和老婆打个招呼,刷几条微博也没什么。
    除非和老婆一聊就两个小时,其他时间接私活。再刷两个小时微博,完了再看看视频,打打游戏什么的。这样确实不敢用公司电脑。自带笔记本,弄个3G网卡吧。
    t6attack
        31
    t6attack  
       2014-10-31 00:12:48 +08:00
    有的软件公司,每天就下午开两个小时外网,给你查资料用。
    这种不监控,但断网。你们能接受不?
    winterx
        32
    winterx  
       2014-10-31 00:17:15 +08:00   ❤️ 1
    一切带监控的都不能接受
    kmvan
        33
    kmvan  
       2014-10-31 00:18:16 +08:00
    我到认为上班时间就应该做工作的事情,聊微博刷QQ这些如果是私人事情就最好不要了,怎么说来也是用别人的网络,安全性也要考虑。

    要在工作时间做私事,用手机流量吧
    ericls
        34
    ericls  
       2014-10-31 00:20:20 +08:00
    走人吧

    话说这些技术这样使用合法么?
    hustlzp
        35
    hustlzp  
       2014-10-31 00:22:56 +08:00
    @RemRain 卧槽!!!
    t6attack
        36
    t6attack  
       2014-10-31 00:27:47 +08:00   ❤️ 1
    @ericls 完全合法。公司对分配给员工的工作用设备,装什么、怎么监控都可以。
    还有公司要求装摄像头定时拍照记录码农工作状态的呢。当然,你要是大牛的话,被拍到睡着也没什么。要是渣渣就不好了。
    humhook
        37
    humhook  
       2014-10-31 00:52:35 +08:00   ❤️ 1
    以前我公司也安装这种东西 客户端无法卸载 隐藏进程 强制结束进程 电脑会直接重启
    后来…… 我用ark工具尝试把它删除了部分 在服务端有在线显示 但是客户端已经不起作用了……
    简直就是神乱搞!
    7colcor
        38
    7colcor  
       2014-10-31 01:00:57 +08:00
    有专门的监控路由,功能强大,可以查看qq聊天记录。pc上不用安装软件,个头挺大。
    faceair
        39
    faceair  
       2014-10-31 02:03:09 +08:00
    全局代理 走shadowsocks的话绝对解不出来
    binux
        40
    binux  
       2014-10-31 02:10:14 +08:00
    大公司怎么没有,连wifi要装证书,上网要装网关认证,内部沟通有专用版本的IM
    谁知道那东西不会偷偷监视你
    lightening
        41
    lightening  
       2014-10-31 03:22:09 +08:00
    @faceair 他都在你电脑里装软件可以截屏了……
    faceair
        42
    faceair  
       2014-10-31 03:37:32 +08:00
    @lightening 噗。。。才想起来
    ashamp
        43
    ashamp  
       2014-10-31 06:28:24 +08:00
    @RemRain 噗 徐金明真叼,哈哈。曾经做过公司网管表示这是真的
    ashamp
        44
    ashamp  
       2014-10-31 06:29:12 +08:00
    @shenng10 避不开,这跟代理没关系,是在本地运行的,相当于木马
    ashamp
        45
    ashamp  
       2014-10-31 06:32:44 +08:00   ❤️ 1
    @zro 别想了,我之前的公司是机器不装ip-guard的话会被拒绝一切流量收发(除了存放ip-guard安装文件的文件服务器)
    zdf
        46
    zdf  
       2014-10-31 07:22:47 +08:00 via iPhone
    做你工作该做的事情何来如此苦恼?
    choury
        47
    choury  
       2014-10-31 07:24:38 +08:00 via Android
    这点你就受不了了?来了解下我们公司吧,不只是500强哦
    mnsw
        48
    mnsw  
       2014-10-31 07:25:13 +08:00
    @sophymax QQ消息传输的时候是加密的,所以我估计这个系统是直接截屏的,所以你的消息还是可以看的到的。
    loveminds
        49
    loveminds  
       2014-10-31 07:30:31 +08:00
    @mnsw 好像有技术能做到让那些截屏软件截取的都是黑屏,但是不记得怎样了
    jasontse
        50
    jasontse  
       2014-10-31 07:33:13 +08:00 via Android
    @loveminds 黑屏?网管亲自过来检查。
    zkd8907
        51
    zkd8907  
       2014-10-31 07:41:23 +08:00
    表示没人听说过BAT会管这些,其实也有装一些类似的监控软件,但是主要是防范泄密的,没有听说过有同事上班看草榴被通报或者开除的。。
    xmuxsp
        52
    xmuxsp  
       2014-10-31 08:46:46 +08:00
    做过一段时间的公司网管,表示现在的国产网关/内网安全产品在做行为检测方面真是毫无下线,有的还直接能在后台偷偷远程的。

    像深信服,好像是有qq的通信协议的
    http://www.zhihu.com/question/19824153
    smileawei
        53
    smileawei  
       2014-10-31 08:54:34 +08:00 via iPhone
    开个vm,禁止网卡混杂。在虚拟机里操作私人的事情,当然,这种公司,还是离职得了
    exceloo
        54
    exceloo  
       2014-10-31 09:03:40 +08:00
    还考虑什么,离职呗
    barbery
        55
    barbery  
    OP
       2014-10-31 09:07:14 +08:00
    @t6attack 肯定不能接受啊。。。有内网的google么,有内网的stackoverflow么。。。
    iqav
        56
    iqav  
       2014-10-31 09:09:34 +08:00   ❤️ 1
    哇 这么夸张,如果目的仅是为了防泄,手段多了个去,但偏偏用这种监控……
    员工工作时多累啊。是真的,那些说工作的时候就该工作的人,自律真的很好,每一天都是!

    正常一天8小时班,有效工作时间能有多少?以前知乎也讨论过。
    如果要我每天,全天候这样工作,我想效率会低很多,很多人都是。
    Doubear
        57
    Doubear  
       2014-10-31 09:10:42 +08:00
    你们这样一说,我都忍不住想检查下自己的电脑了、、请问怎么检查是否装了这些监测软件的?虽然我们公司没搞,但是我还是想折腾下
    barbery
        58
    barbery  
    OP
       2014-10-31 09:14:05 +08:00
    @ashamp 擦,怎么就没人组织罢工神马的~
    LINAICAI
        59
    LINAICAI  
       2014-10-31 09:16:41 +08:00
    对这种公司,发现一个就辞职一个!
    zhangdawei
        60
    zhangdawei  
       2014-10-31 09:19:05 +08:00
    不要傲娇了,愿意就待着,不愿意就走人,
    公司在自己的财产上装软件,好像没啥不对吧,
    LINAICAI
        61
    LINAICAI  
       2014-10-31 09:19:18 +08:00
    想问下mac ox 能避开监控嚒。。。
    barbery
        62
    barbery  
    OP
       2014-10-31 09:19:39 +08:00
    @zdf
    @choury
    艾玛,肯定接受不了啊,虽说心正不怕影子斜,当是工作在监视当中,很enjoy?
    sophymax
        63
    sophymax  
       2014-10-31 09:27:26 +08:00 via iPad
    @mnsw 这个不是截屏,其实就是个程序hook住聊天窗口抓文本,和木马的行为类似,杀毒软件也经常hook人家的程序
    whale
        64
    whale  
       2014-10-31 09:37:35 +08:00   ❤️ 1
    好流弊,顺带查了下,好像有解决办法,不知可不可行: http://www.cnblogs.com/ylawrence3/archive/2009/03/12/1410005.html
    in4ection
        65
    in4ection  
       2014-10-31 09:44:20 +08:00
    离职吧,少年~
    zzNucker
        66
    zzNucker  
       2014-10-31 09:45:18 +08:00
    @RemRain 这只是审计外网出口流量,跟楼主说的差太多了。 而且基本没人管这个的。机器上也不用安装奇怪的软件
    mgc
        67
    mgc  
       2014-10-31 09:58:06 +08:00   ❤️ 2
    为人进出的门紧锁着,为狗爬出的洞敞开着
    barbery
        68
    barbery  
    OP
       2014-10-31 09:59:56 +08:00 via Android
    @whale 赞,找时间试试
    DearTanker
        69
    DearTanker  
       2014-10-31 10:09:13 +08:00
    哈哈。厦门性价比,上班上1024无压力。
    choury
        70
    choury  
       2014-10-31 10:15:50 +08:00
    @barbery 当然不enjoy,头上还有好多摄像头呢,可是这又怎么办呢,还要吃饭啊,谁让自己技术不行呢
    mahone3297
        71
    mahone3297  
       2014-10-31 10:17:02 +08:00
    辞职吧。。。
    stormxx
        72
    stormxx  
       2014-10-31 10:21:11 +08:00
    看了前几句真心看不下去了。。。。。。。
    zjdboy
        73
    zjdboy  
       2014-10-31 10:25:56 +08:00
    @zhangdawei 那我可以在办公楼WC装个监控了,
    cst4you
        74
    cst4you  
       2014-10-31 10:27:29 +08:00   ❤️ 1
    cxh116
        75
    cxh116  
       2014-10-31 10:31:48 +08:00
    把win7装到移动硬盘里面,平常从移动硬盘启动
    bingu
        76
    bingu  
       2014-10-31 10:36:17 +08:00
    `实时查看任意一台甚至一组计算机的当前屏幕,并能记录和回放屏幕画面,同时还输出为通用的视频格式文件以供直观审计`

    不要说代理什么的了,这个就无解了吧。。。
    typcn
        77
    typcn  
       2014-10-31 10:36:44 +08:00 via iPad
    赶紧装个linux或者mac设置成开机默认启动2333

    还有,最新的原版 qq 有内核驱动,也能检测到聊天?

    还有那些渣公司做的软件,一般都能用 ark 工具肢解,pchunter 这类的,就连 360 都能被结束掉。

    它不可能下核心 hook ,在 64 位系统中过不了 patchguard,dsdt 都下不了,应该很好关

    当然 尽量 远离这种公司
    revlis7
        78
    revlis7  
       2014-10-31 10:37:24 +08:00   ❤️ 1
    楼上几个表示上班只做工作的事的

    首先我表示敬佩

    其次对你们的无私精神表示赞叹
    zioc
        79
    zioc  
       2014-10-31 10:37:58 +08:00
    @RemRain 已笑尿
    rrfeng
        80
    rrfeng  
       2014-10-31 10:39:51 +08:00
    当网管,无压力。
    typcn
        81
    typcn  
       2014-10-31 10:42:19 +08:00 via iPad
    @cst4you 对哦,话说这种东西应该很好攻击吧,想办法让他服务器 down 掉。抓包分析一下协议,毕竟是内网速度很快,然后疯狂给他发超长的数据包
    barbery
        82
    barbery  
    OP
       2014-10-31 10:42:56 +08:00 via Android
    @typcn 我还想着弄个PE系统回来把超级管理员的账号破了,这样就可以避开 域 的控制。。。但是貌似说被查出来好严重。。。哎
    typcn
        83
    typcn  
       2014-10-31 10:46:30 +08:00 via iPad
    @barbery 你应该写一个小程序,疯狂向它发有效数据包,然后给大家一起用,分分钟 server 就 down 掉了
    jesonyang
        84
    jesonyang  
       2014-10-31 10:56:41 +08:00
    公司装的是officescan
    sheldondai
        85
    sheldondai  
       2014-10-31 11:04:43 +08:00   ❤️ 1
    楼主是某会的同事
    zhangdawei
        86
    zhangdawei  
       2014-10-31 11:05:12 +08:00
    @zjdboy 如果公司要装,得看他是否违法,如果不违法,你能做的就是忍受或离职了。
    exploreexe
        87
    exploreexe  
       2014-10-31 11:09:50 +08:00
    @whale windows下得呀 简单看了下博客园这个文章,完全可以用xueTr把这个程序废掉,只需要每天开机之前操作一下即可。原理和屏蔽网吧管理程序一样。很简单。
    Just1n
        88
    Just1n  
       2014-10-31 11:14:54 +08:00
    @choury 哈哈,贵司是?
    railgun
        89
    railgun  
       2014-10-31 11:21:26 +08:00
    话说QQ聊天不是加密的吗?被破解了?
    unfurl
        90
    unfurl  
       2014-10-31 11:24:31 +08:00   ❤️ 2
    我以前的公司装过类似的东西,主要有以下几种作用:
    1、分析你的网络流量,能够截取你的QQ聊天记录、网页浏览记录;防御办法就是用加密代理,如https代理绕开
    2、获取系统当前活动窗口的title,分析你工作时间在做什么事情; 防御办法是用些小工具修改窗口title,并且始终至于最前
    mnsw
        91
    mnsw  
       2014-10-31 11:27:55 +08:00
    @sophymax 卧槽,这么搞太丧心病狂了吧?
    aaalzk
        92
    aaalzk  
       2014-10-31 11:31:58 +08:00
    lshero
        93
    lshero  
       2014-10-31 11:45:26 +08:00
    可以抓QQ聊天记录的本地都安装了客户端再怎么加密流量都不管用 这种客户端基本都带截屏功能
    Windows加入域后管理员可以下发组策略安装任意软件
    同时配合交换机还有路由器联动可以判断出哪个IP没有安装客户端,公司的网络肯定都划分过VLAN 所以除了因为业务需求要用MAC 之外貌似还真没啥好办法,不过来公司不就是上班的嘛,淘宝上买个内置WWAN的win8小平板干自己的事情不就好啦
    cst4you
        94
    cst4you  
       2014-10-31 12:31:17 +08:00   ❤️ 1
    @typcn 搞挂他们的服务器, 劣化局域网, 然后把这个 ip-guard 的东西让大家知道它的存在, 引起公愤. (这尼玛不就是 GFW 对 Google 做的事情吗
    barbery
        95
    barbery  
    OP
       2014-10-31 12:40:03 +08:00
    @sheldondai 矮油。。。嘘嘘~~
    barbery
        96
    barbery  
    OP
       2014-10-31 12:42:53 +08:00
    @cst4you 问题是,内网ip可查啊。。。要是公司追究起来肿么办
    choury
        97
    choury  
       2014-10-31 13:05:43 +08:00 via Android
    @Just1n 华为呗,不然哪这么变态,上网只能通过代理,电脑有代理的CA证书,你想想吧
    barbery
        98
    barbery  
    OP
       2014-10-31 13:10:07 +08:00
    @choury 。。。。好狠!
    7654
        99
    7654  
       2014-10-31 13:13:12 +08:00
    有加入公司网域吗,这个才是最BT的
    learnshare
        100
    learnshare  
       2014-10-31 13:27:23 +08:00
    那必须辞职
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5354 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 08:10 · PVG 16:10 · LAX 00:10 · JFK 03:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.