Запрет аудио/видео/радио/ТВ
 

У меня стоит MS ISA 2006 Std на Windows Server 2003 Std R2 RU.

Мне нужно было разгрузить канал в Инет, нужно пользователям отключить потоковый аудио/видео/радио/ТВ-трафик.

Есть у меня для этого такое правило:
DenyMedia: действие - Запретить, протоколы - HTTP и HTTPS, откуда - VPN-клиенты и Внутренняя, куда - Внешняя, условие - InternetUsers (группа пользователей выпуска в Инет), OpenInetUsers (группа пользователей выпуска в Инет для исключений этого правила) и стоят Видео, Аудио.

Вот в таком режиме в принципе правило нормально работает, но! Я заметил, что народ откуда-то слушает музон, включает и слушает радио и т.д. Т.е. это правило не все отрабатывает ! и что характерно на мониторе http://monitor.isa я даже этого не вижу.

Я сейчас взял и в условия добавил свой настраиваемый тип и там: video/mpeg, audio/mpeg, и самое главное - application/octet-stream.

Добавление последнего очень сильно жестого ограничил использоване Интернета в целом. Почти ничего нигде нельзя скачать из Инета, нельзя из внешней веб-почты вложения скачать и т.д.

Кто как порешал это проблему ?
Может есть др. варианты зарезания Инета, чтоб погасить медиа-контент ??

Я решил данную проблему установкой GFI Webmonitor.

MaxFactor,

Всё что вы перечислили это вы сделали ограничения по MIME типам, определить конкретные MIME тип можно в логах (Web proxy) исы. В исе есть уже заложенные по умолчанию MIME типы, но их вы можете дополнить (там действительно есть не все MIME типы определяющие контент video и audio).

А вот application/octet-stream это вы добавили зря, т.к. (вы это поняли сами) он влияет на слишком многое.

Вся соль в том, что MIME тип передаётся сервером отправителя, а не определяется сервером получателя, соответственно если сервер отправителя передаст откровенно недостоверную информацию о MIME типе исходного файла, то и предотвратить его загрузку будет сложно (уже не просто фильтрацией по типам).

P.S. Я сам добавлял отсутствующие MIME типы в разделы video и audio, какие точно уже не помню, но могу выложить xml`ки).

Telepuzik, та это само собой, я это писал у себя в посте

Anton04, можно, давай...

А вот про application/octet-stream мне нравится как работает... народ внешней почтой не может вложения высылать - это как-то хорошо для безопасности... но жестковато :)

Больше никто ничего не скажет, не поделится опытом ?

См. вложение (там video, audio и flash, экспорт сделан с русской isa`ы 2006 std).
Только будьте внимательны, т.к. при импорте заменятся соответствующие ваши типы содержимого, предварительно сделайте экспорт ваших настроек.

У исы больше нету встроенных инструментов слежение за контентом. Она сделана немного для другого. ;)

Люди, нужна помощь.

Сейчас выпустил программеров в группу исключений правил, Инет стал тормозить, народ слушает музыку, на GFI-мониторе нифига не видно !

что делать , помогите ? предлагайте не встроенные инструменты... у меня загрузка канала просто не контролируема...

MaxFactor, ограничьте скорость товарищам=)

ugara, спасибо, мало... а еще ?

Если встроенными средствами, то это разрешить только определённые сайты. Сторонние средства к исе отношения не имеют.

P.S. А самый правильный метод это административный! ;)

только отслеживать такое тяжело... ну не может же быть, чтоб небыло никакого выхода...

Может на THG есть что-то ?

А вот это ничуть не тяжело, купить программу составления отчётов по логам исы и делать рассылку начальству по мылу (одна из самых популярный программ такого рода это ProxyInspector). ;)

Выход всегда есть, вот только или Вы его не видите или видите не там. ;)

Если вы имеете в виду TMG, то там тоже ничего подобного нету, т.к. семейство продуктов isa/tmg это прежде всего фаервол для среднего и крупного корпоративного клиента, а все остальные прибамбасы это от просто приятный довесок.

P.S. А по хорошему Вам нужно сформулировать задачу по другому, в моём понимании это выглядит так: Какие есть варианты решения по пресечению бесконтрольного использования сотрудниками компании интернет ресурсов в рабочее время?

я полностью согласен с такой постановкой вопроса... :) и какие есть варианты ?

я все-таки не могу понять, как можно слушать радио так, чтоб нигде в логах это не появлялось... :( у меня все зарезано было как это всегда в начале при установке ISA... открывал по по шагам... и сам WEB-фильтр, открывающий 8080 для HTTP как раз и сделан с исключением потоковых аудио и видео... пользование этим контентом просто как-то проходит мимо... даже трафик этот не считается в ISA... я его совсем не вижу.

1. Административный (самый надёжный).
2. Железный + софтовый. Что-то типа киски и какого нибудь прокси с продвинутым шейпером.
3. Просто софтовый, закрыть всё и открыть только те ресурсы которые необходимы в работе.

Какие плюсы и минусы всех этих решений:

1. Все решения идут с головы, не будут никаких упрёков в Вашу сторону со стороны служащих, вы выступаете только исполнителем и будете просто собирать статистику и отправлять её начальству (для примера уже упоминавшийся ProxyInspector). Минусы, это то что сэкономить трафик и пропускную полосу вы не сможете, потому как все действия будут приниматься постфактум.

2. Трудоёмкость+стоимость такого решения очень высоки. Вам будут полностью доступны экономия трафика и пропускной полосы.

3. Плюсы. Остаётся всё как есть и нужно провести только работу по собиранию доверенных URL адресов. Относительная лёгкость исполнения. Минусы. Постоянный мониторинг и дополнение/удаления доверенных URL адресов.

Ещё раз, значит у Вас что-то настроено не так, т.к. иса (по умолчанию) фиксирует все запросы которые проходят через неё. Где-то не стоят нужные галочки в правилах или ещё что-то. ;)

P.S. А можно поступить ещё проще выделить каждому пользователю определённый лимит на скачивание (с помощью шейпера) и пускай они сами смотрят на что у них хватит трафика, а на что нет.