החרגה של VPN בתוכנות סינון

איש אחד

@aiib ,
אם המחשב נמצא במקום קבוע, ויש לך גישה לממשק הניהול של הראוטר באותו מקום,
בהרבה ראוטרים יש יכולת לסגור פורטים ספציפיים ביחס למחשבים ספציפיים בלבד.

במידה והראוטר שלך תומך בזה, ויש לך קצת ידע טכני במחשבים
תסגור בראוטר גישה לפורט 80 ופורט 443 (אתרי אינטרנט רגילים ומאובטחים) ביחס למחשב שלך:
עדיף על פי כתובת ה MAC Address של כרטיס הרשת שבמחשב שלך,
ואם לא, תדאג שכרטיס הרשת שבמחשב שלך יקבל מהראוטר IP קבוע, ותסגור ביחס ל IP שלו.

מה שיגרום לכך שלא תוכל לגלוש לאתרי אינטרנט ישירות מהאינטרנט שהראוטר מספק,
אבל אם תתחבר ב VPN מהמחשב כן תוכל לגלוש,
כי הראוטר יזהה את תעבורת הנתונים על הפורט של ה VPN ולא על הפורט של האתרים.
שים לב, שכמובן בצורה זו תוכל לגלוש מכל VPN, ולאו דווקא מ VPN שמספק אינטרנט מסונן.

מקווה שלא דיברתי איתך כורדית, או לחילופין, שאתה מבין גם כורדית

aiib

@איש-אחד האמת היא שלא הבנתי את כל מה שאמרת אבל דבר אחד הבנתי, שכל מה שכתבת לכאורה לא יעזור לי כי אני מדבר על מחשב נייד עם סים סוללרי כך שנראה לי שמה שאמרת לא יעזור
דיברתי עם התמיכה של INET והם אמרו לי לנסות להחריג את הIP של הVPN אבל הם לא בטוחים שזה יעזור ניסיתי לא עזר.
יש פתרון אחר?
תודה

איש אחד

@aiib ,
אני לא יודע מה לומר לך.

אולי אם הברוגז שלך הוא רק עם WiFree ולא עם התקנת תוכנות ככלל,
אני פעם שמעתי שמי שיכול להשיג קשרים בחלונות הגבוהים בנטפרי,
לפעמים אפשר להפעיל פרוטקציה ולקבל סינון לא באמצעות VPN אלא באמצעות פרוקסי.
הבנתי גם שיש להם תוכנה שמונעת (ממשתמשים סטנדרטיים) יכולת משחק עם הגדרות הפרוקסי.
אם זה מתאים לך, תנסה אולי תצליח.

aiib

@איש-אחד דווקא נתנו לי אישור אבל כיוון שזה מחשב מהעבודה הפחיד קצת אשתי לעשות את זה
הVPN פחות מפחיד מה עוד שהיא מתחברת לעבודה דרך VPN

איש אחד

@aiib ,
אדרבה ואדרבה!
דווקא אם אתה צריך VPN לצורך אחר / נוסף,
אז עדיף לך להשתמש בסינון שלא יבוסס על VPN, כי לא תוכל להשתמש בשני VPN בו זמנית.

ואם הפרוקסי שהם נותנים (גילוי נאות: אין לי מושג) הוא מסוג http,
הוה אומר שהוא לא יתנגש לך עם ה VPN של העבודה, שהוא הרי מבוסס פורט אחר וכנ"ל,
ובנוסף תוכל להגדיר** שגם תוך כדי שה VPN של העבודה דולק, עדיין הגלישה לאתרי האינטרנט תמשיך להתבצע מנטפרי.

**ע"י ביטול "שער ברירת מחדל מרוחק" בהגדרות ה VPN.

aiib

@איש-אחד אין לי בעיה שלא אוכל להשתמש בVPN נוסף במקביל.
גם לא יעזור הפטנט שאתה מציע לגבי שכל הגלישה תהיה דרך נטפרי גם כשאני מחובר לעבודה בגלל שגם בעבודה עצמה יש אינטרנט שהוא לא נטפרי מה שאומר שדרך הVPN של העבודה אוכל לגלוש לאיפה שאני רוצה ולא יעזור לסגור את שער ברירת מחדל.

איש אחד

@aiib ,
כשאתה מתחבר מהבית לעבודה ב VPN,
האם אתה צריך להמשיך ולהתחבר ב"שולחן עבודה מרוחק" אל מחשב אחר שנמצא פיזית בעבודה?
או שאתה רק מחובר ל-VPN של העבודה בשביל להיות חלק מהרשת של העבודה, אבל בפועל ממשיך לעבוד מהשולחן עבודה והתוכנות המותקנות על המחשב שאצלך בבית?

אם אתה לא עולה על מחשב אחר ועובד דרכו, אלא רק מחובר לרשת של העבודה עם ה-VPN,
אז למרות שברשת של העבודה זורם אינטרנט לא מסונן, ולמרות שאתה מחובר לרשת שלהם,
בכל זאת, אם תבטל במחשב שלך במאפיינים של ה-VPN - את ההגדרה של "שער ברירת מחדל מרוחק",
האינטרנט במחשב שלך לא יעבור דרך ה-VPN, אלא דרך החיבור המקומי המסונן.

ולכן,
אם הסינון אצלך גם מבוסס על VPN,
היות ולא ניתן להפעיל את ה VPN של הסינון בו זמנית עם ה-VPN של העבודה,
אז גם אם תבטל את ה"שער ברירת מחדל מרוחק" ב-VPN של העבודה, מה שיגרום לך לגלוש מהאינטרנט המקומי גם כאשר ה-VPN של העבודה דולק,
אבל הרי גם האינטרנט המקומי אצלך הוא נטסטיק לא מסונן (כי ה VPN המסנן כבוי אם ה-VPN של העבודה דולק), וממילא לא הרווחת כלום בביטול ה"שער ברירת מחדל מרוחק".
אבל, אם הסינון אצלך מבוסס פרוקסי, וביטלת את ה"שער ברירת מחדל מרוחק" ב-VPN של העבודה,
תרוויח שגם כאשר ה-VPN של העבודה יהיה מחובר, אתה למעשה תגלוש מהאינטרנט המקומי שמסונן בפרוקסי.

אבל אם באמת אתה צריך לעבור עם "שולחן עבודה מרוחק" אל מחשב אחר פיזית, שהוא נמצא בפועל במקום העבודה ומחובר ישירות לרשת שם,
אז באמת אין שום פתרון שתוכל לעשות במחשב אצלך שישפיע כהוא זה על המחשב שבעבודה.

מקווה שיצאתי מספיק ברור.

aiib

@איש-אחד תודה על ההשקעה בכתיבה הארוכה!
מטעמי אבטחה אפילו במקום העבודה לא עובדים דרך המחשב הפיזי אלא מתחברים בDRP למחשב מרוחק [ולדעתי הוא בענן וגם הוא לא פיזי] וגם אשתי מהבית מתחברת לשולחן עבודה מרוחק ולא עובדת על המחשב הפיזי בבית
לכן כמו שכתבת בעצמך הפתרונות שהצעת לא יעזרו כי אני יכול לגלוש דרך המחשב המרוחק.
מה שכן, את זה כבר ידעתי שאני לא יכול לעשות כלום בשביל לסנן את המחשב המרוחק ובכל אופן ביקשתי עזרה מכמה סיבות 1. המחשב המרוחק זמין רק לאשתי ומצריך סיסמאות רבות וכרטיס חכם 2. הוא פעיל רק בשעות מסויימות. ומה שכן רציתי שבזמן שאני לא מחובר למחשב המרוחק הגלישה דרך המחשב שלי תהיה מסוננת. כרגע אני עם K9 אבל זה גם לא מסנן מספיק וגם היא אחת מהתוכנות הדפוקות ביותר שאני מכיר [צריך להגדיר כל URL נפרד לכל לחצן בגימייל לדוגמא או עוד דוגמא בהוטמייל הכניסה כל פעם מתבצעת דרך URL אחר (לא ברור למה..) ולכן גם אחרי שאני פותח למחרת הוא נחסם שוב בקיצור בעיות רבות] לכן חשבתי לעבוד עם VPN של נטפרי ורק אותו להחריג פניתי לK9 אמרו לי שלא יעבוד לי, פניתי לINET אמרו לי שזה אמור להיות אפשרי אבל זה תלוי בסוג הVPN ניסיתי ולא עבד.

אגב המחשב נמצא תחת הגבלת הרשאות כבדה \אפילו את השעון במחשב אני לא יכול לכוון -הוא דורש הרשאה שאין לי..] שרק למשרד יש את ההרשאות, כך שאם יש איזה פתרון פשוט שיכול להתבצע ע"י מדיניות קבוצתית זה יכול אולי לעזור [הפתרון חייב להיות פשוט בגלל שאנשי המחשבים במשרד לא מי יודע מה מבינים וגם אין להם כ"כ סבלנות לטפל בכל בקשה...]

שוב תודה

shraga

@aiib יש אפשרות לעשות שרק הVPN יעבוד ללא צורך בהרשאות, אבל מי שיש לו קצת ידע והבנה יוכל לעקוף את זה

aaron

@aiib אמר בהחרגה של VPN בתוכנות סינון:

כרגע אני עם K9 אבל זה גם לא מסנן מספיק וגם היא אחת מהתוכנות הדפוקות ביותר שאני מכיר [צריך להגדיר כל URL נפרד לכל לחצן בגימייל לדוגמא או עוד דוגמא בהוטמייל הכניסה כל פעם מתבצעת דרך URL אחר (לא ברור למה..)

אתה צריך להוסיף כתובות עם *.
לדוג':

*.google.com

clickone

@aiib אני חושב שעם פרוקסי אתה יכול גם במחשב המקומי וגם בRDP המרוחק ללא הרשאות מיוחדות.
(רק צריך 2 משתמשים שונים של פרוקסי בשביל זה, ושתוכל לפנות לאתר של נטפרי מעל הVPN שלהם / בRDP שלהם + להפעיל קובץ EXE במשתמש שלך עם ההרשאות שלך)

רק קח בחשבון שבגלל שאין וויפרי אז אתה לכאורה יכול לנתק את זה / לעקוף את זה.
מה שכן, תוכל לבקש מאנשי המיחשוב שם להגדיר לך שלא תוכל לבטל הגדרות פרוקסי במדיניות הקבוצתית (יש קובץ גם שעושה את אותה פעולה לכאורה)

aiib

@clickone לגבי הDRP המרוחק זה נראה לי קצת מפחיד לעשות זאת בלי אישור ולכאורה זה בעייתי.
לגבי המחשב המקומי, אתה מדבר על קובץ EXE קיים? [אם הבנתי נכון אתה מדבר על 2 קבצים אחד להגדרות פרוקסי והשני להגביל שינוי הגדרות פרוקסי במדיניות הקבוצתית]
יש לך אותו זמין?
תודה

aiib

@aaron הכתובת חייבת להתחיל עם HTTP
בדקת את זה בK9?!

master

@aiib
בשביל הגדרת הפרוקסי לא צריך EXE זה הגדרה במחשב
בשביל המדיניות הקבוצתית צריך שורת פקודה

aiib

@master אני כבר משתכנע לאט לאט אולי כן ללכת על הפתרון הקדום...
לבינתיים, שורת הפקודה שאתה ממליץ יכולה להיות בקובץ EXE? [אני רוצה להקל על הטכנאי שלא יעשה בעיות...]

זה באמת דבר לגיטימי לגלוש עם הגדרות פרוקסי? זה לא משהו מחתרתי?!

clickone

@master אמר בהחרגה של VPN בתוכנות סינון:

בשביל הגדרת הפרוקסי לא צריך EXE זה הגדרה במחשב

אבל בשביל שהפרוקסי ירוץ בכלל על המחשב, צריך עקרונית EXE שירוץ

@aiib פרוקסי יכול להיות חמור מבחינת מדיניות המקום, אבל באותה מידה גם K9 יכול להיות חמור

aiib

@clickone לכאורה יש הבדל בין K9 לבין פרוקסי, אני לא כ"כ מבין גדול אבל איך שאני מבין K9 פשוט חוסם גישה לאתרים מסויימים משא"כ פרוקסי מנתב את התקשורת דרך 'צינור' אחר שמבינתם זה אסון בטיחות
לגבי הקובץ EXE יש לך כזה דבר זמין?
תודה

clickone

@aiib כל רכיב שהמערכת לא מכירה יכול לנתב תעבורה ולעשת מה שבא לו.
ולכן מבחינת אבטחה אסור כלום.
כלום כולל כלום.
הייתי מציע לך לשאול במוקד הייעוץ, כי אני יודע שאפילו במוקד של המשטרה יש נטפרי.
ואם לשם הצליחו להכניס אין סיבה שבכל משרד ממשלתי אחר לא יצליחו

הפרוקסי זה לא רק נושא של איזה EXE, זה שם משתמש וסיסמא מיוחדים.
ולא בטוח שמנהלי נטפרי ישמחו שזה יהיה ככה בריש גלי. תנסה לפנות דרך מערכת הפניות.

aiib

@clickone אני חושב שעדיין יש הבדל בין K9 שהיא חברה ידועה ומוכרת לבין פרוקסי של נטפרי שרק אנשי שלומינו ואולי גם אנשי מקצוע של התחום מכירים. מה עוד שאיך שלכאורה ידוע K9 לא מנתב את המידע אלא רק חוסם משא"כ פרוקסי.
לגבי מה שכתבת על המשטרה, נראה לי שבמשרד שלה העסק קצת יותר סבוך, אפילו במשרד עצמו משתמשים בDRP בשביל אבטחה כך שמילא להתקין סינון על המחשב הפיזי אבל על הענן שלהם נראה לי שאין על מה לדבר. [והאמת שזה פחות קריטי כי יחסית הם מסוננות שם בצורה מובנת מטעם המשרד]

aiib

@clickone השאלה האמיתית היא כמה בקשה כזו חריגה מבחינה אבטחתית כי אשתי קצת מפחדת...