Мониторинг посещений сайтов сотрудниками офиса. SQUID или есть альтернативы?

Question

[the_booblik]

Прошу совета в вопросе, который параллельно изучаю и все больше путаюсь.
Цель: мониторинг посещений сайтов сотрудниками офиса, выявление бездельников :) В дальнейшем может быть захотят блокировать доступ к определенным ресурсам определенным лицам, но пока я могу это сделать средствами Mikrotik'a, т.к. количество рабочих мест около 40, но оно растет.
Далее, скоро переедем в домен. Насколько я понимаю SQUID может писать в логи имя учетной записи домена, но только не в прозрачном режиме, что есть плохо.
Для шлюза могу завести виртуалку(желательно), либо физическую машину.
В SQUID пугает настройка работы с HTTPS, судя по всем известной статье на Хабре все это как-то хлипко и странно работает, по крайней мере у меня сложилось такое впечатление.
Суть вопроса: на данный момент это единственный способ вести нормальный учет или есть более простые альтернативы? Бегло изучил коммерческие шлюзы на основе Linux - ничего не приглянулось... Ideco впечатлил, но их модель работы по подписке совсем не устраивает.

Answer 1

[Сергей]

«Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов (х86, х64 — универсальная инструкция)

Comments

[the_booblik]

Спасибо за ссылку. Тестово поставил, все работает в непрозрачном режиме. Хотелось бы завернуть трафик 80 и 443 порта с Микротика на squid, но никакими ухищрениями не смог это сделать. Трафик с Микротика заворачивается, но на хосте с кальмаром рубится. К сожалению я не большой специалист в nix, поэтому продиагностировать причину пока не смог. Пока вижу решение использовать в непрозрачном режиме, а настройки раздам через AD.
Хотя давным-давно(в далекой-далекой галактике) я смог продружить squid в виртуалке на esxi с одной сетевой картой и Микротик. Сейчас хоть убей не помню какой волшебной строчкой в iptables это решалось...

Answer 2

[gremlintv2]

Может быть Pfsense приглянется ИМХО: как для шлюза там немало функционала (squid, squid guard. clamav, возможность реализации различных VPN, захват трафика и пр. и все это из вебморды - включая установку дополнительных пакетов на базе последней фряхи). У меня на xen завелся с полпинка, думаю на KVM тоже не должно проблем возникнуть. Правда требует минимум гиг ОЗУ, ну на то они свистоперделки чтобы память кушать.

Comments

[tazman_555]

хорошее решение, и да, на KVM заводится без проблем. как раз его и использую на двух предприятиях, в т.ч. и для мониторинга и разруливания сайтов при помощи squid

[Yumado]

pfSense, однозначно.
SQUID там работает с HTTPS, без особых шаманств.

[the_booblik]

Спасибо за совет, надо глянуть его. Но мне нужен только функционал прокси + логи, т.к. роль шлюза возложена на Mikrotik и менять его я не собираюсь пока что. В идеале с авторизацией через AD, чтобы в логах видеть не имя компа, а имя учетки.

Answer 3

[Станислав Бодро́в]

Мониторинг посещений сайтов сотрудниками офиса. SQUID или есть альтернативы?

Административные проблемы не должны решаться техническим путём! Если руководитель не может организовать рабочий процесс, не в состоянии наладить обратную связь, то может быть дело не в сотрудниках, а в руководстве и самих бизнес процессах. Всё просто: перекроете проводной интернет, будут сидеть со смартфонов и планшетов, ошиваться в курилке, шариться по территории, или сиськи мять на рабочем месте.
Аналогично - технические проблемы не решаются административным путём (по крайней мере на прямую). Если сервер лежит или еле ворочается, надо техническому специалисту им заниматься. А выговоры, угрозы штрафов, крики load average в норму не приведут.

Comments

[Станислав Бодро́в]

Голословно

Ничего подобного. Это называется перекладывание головной боли с больной головы на здоровую. Единственный толк от кэширующего прокси - сокращение потребления трафика. Административные проблемы должны решаться административным путём. Иначе народ тупо повалит в курилку пялиться в свои смарты.
Можно разделить канал на несколько: один для трафика бизнес процессов, другой для видосов с мемасами. Пусть лучше нерадивый смотрит слушает ролики в сети, чем с дома приносит несколько гигов музычки в mp3 на работе послушать, ну и книжек с флибусты почитать. В случае выявления этого добра во время проверки гемора будет выше крыши.

[Павел Селиванов]

Станислав Бодро́в:

Если сотрудники - полностью рациональные люди, руководствующиеся исключительно рассудком, осознанно принимают решение сидеть в контакте вместо работы - то такое решение, действительно, не поможет.

Но дело в том, что для многих людей соц. сети или онлайн игрушки - очередная плохая привычка, вроде курения или переедания. И самый простой способ с ней бороться, по крайней мере на время работы - убрать саму возможность.

Некоторые даже ставят на собственный компьютер программы, ограничивающие соц. сети и онлайн игрушки на определённое время. Сами. Потому что человеку трудно сознательно противостоять своим плохим привычкам. Иначе у него этих привычек не было бы.

Разумеется, решение не годится, например, для айтишников. Но есть много организаций, где это действительно повысит производительность.

[Станислав Бодро́в]

Но дело в том, что для многих людей соц. сети или онлайн игрушки - очередная плохая привычка, вроде курения или переедания. И самый простой способ с ней бороться, по крайней мере на время работы - убрать саму возможность.

Помню в одной компании просто провели учёт рабочего времени, проведённого на развлекательных ресурсах, соотнесли примерно со стоимостью одного часа, посчитали и вычли из ЗП. Как рукой сняло желание куда-то лезть.

Некоторые даже ставят на собственный компьютер программы, ограничивающие соц. сети и онлайн игрушки на определённое время.

Неоднократно наблюдал кассиров за кассами, которые со своих лопат сидели в мессенжерах. А это люди, от которых требуется особенная внимательность.

Потому что человеку трудно сознательно противостоять своим плохим привычкам.

Потому что не было сознательного противостояния. Те же алкаши, про которых говорят, что они слабовольные и бесхарактерные, могут в любой час ночи пойти за догонкой через буераки до барыги - тут воля и упорство есть недюжие. Нормального человека силой не заставишь такое сделать.

Но есть много организаций, где это действительно повысит производительность.

Есть крайне малочисленные организации, где с помощью рычагов и противовесов, также грамотной кадровой работы добиваются хороших и устойчивых показателей: у работника спрашивают чего он хочет получить, добиться (машины, оплатить ипотеку, сделать ремонт, съездить отдохнуть, просто признания его талантов) и потом предлагают помочь ему в этом - компания это место, где он может реализовать свои хотелки или реализоваться. Для этого ему надо хорошо работать и помогать в этом другим.
Если челу надо периодически давать пендаля, то нужен автопендаль, а не прокся.

Answer 4

[CityCat4]

В организации все внедряется достаточно просто, если соблюдено первое и главное правило - Принцип Первого Руководителя

Мониторинг посещаемости тырнета сотрудниками есть одно из основных мероприятий по контролю за (не)целевым расходованием рабочего времени. На самом деле делается все просто, как полено.

1. Развертывается CA (совсем не обязательно на винде, лучше даже на линухе)
2. СA выпускает сертфиикаты для прокси
3. Сертификат CA ставится всем юзерам в доверенные с помощью GPO. Это ключевой момент.
4. Настройки прокси прописываются всем через GPO
5. Если нужны группы доступа (а они непременно будут нужны) - делаются группы, манов по этому делу много, кстати я вскоре собираюсь написать подробную статью про это.
6. После того, как статистика пошла, ее нужно чем-то обрабатывать - squid выдает только сырой лог. Я использую некий велосипед, запиленный давно-давно из форка sarg.

Причем тут Принцип Первого Руководителя? Придется вносить изменения в настройки юзерских компов и не всех обрадует, что пропал вконтактик :)

Answer 5

[Дмитрий Александров]

В целом сквид, и да, придется гемороиться на счет https.
Касательно:

В SQUID пугает настройка работы с HTTPS, судя по всем известной статье на Хабре все это как-то хлипко и странно работает, по крайней мере у меня сложилось такое впечатление.

Оно работает и самый большой косяк в виде самоподписанных сертефикатов у вас можно будет решить достаточно бескровно, когда поднимете домен то заодно и поднимите свой ЦС которому доменные пользователи будут доверять, опять же политиками разрулите.
В прозрачном режиме конечно можно заморочиться но лучше прикрутить доступ через домен.

Comments

[athacker]

Там не обязательно сертификаты впиливать. Достаточно на уровне хостнеймов заглядывать в HTTPS-трафик, они нешифрованные. URL'ы -- уже да, не увидишь, а хостнеймы можно.

[Дмитрий Александров]

athacker, чисто мое мнение что со своим сертификатом проще и информации больше вытащить позволяет. Хотя с другой стороны некоторые сайты и софт могут забрыкаться и не работать, всякие банковские точно.

[athacker]

Дмитрий Александров, задолбаетесь юзерам объяснять, почему у них браузеры для 80% сайтов на сертификаты ругаются.

[Дмитрий Александров]

athacker, Свой ЦС в домене и никто ничего даже и не заметит.

[athacker]

Дмитрий Александров, ага. Особенно линуксоиды и маководы.

[Дмитрий Александров]

athacker, В большинстве случаев это единицы от общего количества.