четверг, 15 ноября 2012 г.

Блокируем Хамачи

UPDATED
Когда имеете дело с продвинутыми пользователями, то и дело норовящими попробовать ваш контроль доступа на прочность, не следует забывать о Хамачи. Почему-то продвинутые порнографынекоторые пользователи считают, что они умнее системных и сетевых администраторов. Что ж, самое время их в этом разубедить.

Маленькое лирическое отступление. Я бы, возможно, даже не вспомнил о Хамачи, если бы мне не напомнил один мой закоренелый пользователь. В его логах сверкнула скачка клиента Хамачи. Ну и привлекла внимание, разумеется. Так как он не раз уже попадался на CPзапрещенном в нашем шалмане контенте, он, разумеется, просматривается чаще остальных.

Что ж, он сам напросился. Небольшое исследование вопроса привело к тому, что можно перекрыть адресный диапазон Хамачи средствами роутера, а также закрыть основные сервера сервиса. Разумеется, можно было бы средствами прокси просто по регулярному выражению запереть все урлы, содержащие ключевое слово, однако это недостаточно эффективно и, главное, бесполезно, когда клиент уже проскочил в сеть (разумеется, его можно и на флешке притащить, следовательно блокировать надо на уровне доступа к сервису, как Tor).

Ничего, что мы сетку /8 блокируем? ;) Don't panic. Ничего существенного не задавим.

Итак, вперед (на циске):


ip access-list extended NAT
 deny ip 192.168.0.0 0.0.255.255 host 64.34.106.33 
 deny ip 192.168.0.0 0.0.255.255 host 64.34.106.7 
 deny ip 192.168.0.0 0.0.255.255 host 69.25.21.195 
 deny ip 192.168.0.0 0.0.255.255 host 74.201.75.195 
 permit ip 192.168.0.0 0.0.255.255 any ip 

access-list extended WAN_IN 
 deny ip 25.0.0.0 0.255.255.255 any 
 deny tcp any any eq telnet
 deny tcp any any eq smtp
 deny tcp any any eq domain
 deny tcp any any eq www
 deny tcp any any eq 443
 permit ip any any
!

Да, можно было, конечно, накидать тривиальных access list, но, поскольку в нашей инфраструктуре используется двойной NAT, так изящней.

В качестве просто подстраховки, дабы неповадно было, добавим acl в прокси от отрежем всякие упоминания о сабже от слишком продвинутых:

# Hamachi 
acl hamachi urlpath_regex -i Hamachi

...

# Deny access to Hamachi 
http_access deny hamachi
 
Вот и все. Спи спокойно, дорогой друг. Всех серверов Хамачи это не закроет, однако большинство точек входа перекрыты.

PS. Если кому-то взбрендится задать вопрос, как согласуются мои действия с тем черным значком вверху справа, могу заметить, что свобода интернета не предполагает игнорирования корпоративных правил и, вообще говоря, начинается за порогом вашей квартиры. Как лично мне кажется, на работе следует работать, а не искать способы нарушения трудовой дисциплины.