Freesco, NND, CDN, EOS

Witam, mam następujący problem / pytanie

w firmie którą serwisuje, jakiś czas temu, sam bóg szef prezes wywalił z hukiem 2 pracowników, którzy zamiast wykonywać swoje obowiązki, robili prywatę - przez co firma miała duże problemy....

jako, że administrują jego firmą i ma do mnie pełne zaufanie, zapytał czy istnieje możliwość logowania wszystkiego co zrobią pracownicy - jak najtańszym kosztem ....

znalazłem na internecie program - OKOSZEFA - który monitoruje wszystkie procesy które odbywają się na komputerze (zrzuty ekranu, blokada instalacji niewłaściwych programów, przegląd historii przeglądanych stron itp.)

moje pytanie jest następujące - jako, że mam tam serwer na NND, chce spytać czy istnieje coś takiego działającego na NND, tj. logi na które strony chodzili użytkownicy no i oczywiście te zrzuty ekranu, jak komputer jest podłączony do sieci (przeważająca ilość laptopów) - reszta opcji jest nie potrzebnych

z góry dziękuje za odpowiedz / sugestie / propozycję


ps. w firmie znajdują się Windowsy XP

Co do logowania stron, to squid ma wszystko w logach. Dla wygody mozna dorzucic jakis analizator tychze logow (np sarg). Ze zrzutami ekranu zle trafiles, bo taka aplikacje musisz instalowac na windowsach (jak te laptopy nie sa firmowe, to watpie zeby ktos sie na to zgodzil).
PS. "Permanentna inwigilacja", zabilbym

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Wszystko firmowe - wiem, że do tego muszą być jakieś aplikacje na windowsach - pytam bo może ktoś coś takiego zrobił

a jak sytuacja prawna tego zjawiska?


sa programy o zdalnej administracji - np. Radmin
jedna z opcji to wlasnie tryb podgladu, lub pelny dostep do kompa.
sam uzywam i sobie chwale.

ps.
glosujemy na PiS?

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

jesli pracownicy podpisali stosowny cyrograf to szef jest w prawie... nawet jesli jest z PO

_________________

Wbrew pozorom sytuacja nie jest wcale jednoznaczna. Najpierw jednak od strony technicznej. Jak już słusznie tasiorek napisał - squid + sarg dają możliwość sprawdzania całej aktywności użytkowników w zakresie www. Do tego jeszcze można zastosować programy takie jak tcplogd, żeby w ogóle monitorować cały ruch, do tego zrobić skrypty, które przesiewałyby logi pod kątem połączeń wychodzących. W ten sposób można mieć wszystko. Jednak to jeszcze nie jest inwigilacja i w ten sposób nie dowiemy się, o czym to pracownicy na gadu rozmawiają. Z programów podglądających aktywność pracowników został wymieniony radmin (remote administrator), który pozwala w czasie rzeczywistym ogladać cudzy pulpit, jednak logowanie wszystkiego wymagało by "nagrywania filmów" z pulpitów pracowników. Byłyby to filmy wielogodzinne. Ilość danych, przy załóżmy 30 stanowiskach, byłaby tak ogromna, że składowanie ich przez miesiąc zajęłoby już nie setki gigabajtów, ale chyba miliony. Kto miałby to oglądać i kiedy. Jakie byłyby koszty takiego rozwiązania trudno oszacować. Można się ewentualnie ograniczyć do wyrywkowego kontrolowania przez szefa, ale w ten sposób straci on też sporo czasu i straty firma zacznie ponosić na skutek złej pracy szefa. Moja rada to raczej wprowadzenie restrykcji na instalowane oprogramowanie (żaden pracownik nie jest adminem na swoim komputerze) i wprowadzenie restrykcji w squidzie.
Od strony prawnej wygląda to tak, że wszyscy pracownicy muszą być powiadomieni w jakim zakresie i celu prowadzi się obserwację (także podgląd kamerami). Zaś informacje nabyte w wyniku takiego "podglądania" nie mogą w żaden sposób wykorzystywać informacji prywatnych. Np. Jeśli pracownica rozmawiając na gadu zwierzy się koleżance, że jest w ciąży, a szef ją zwolni z pracy zanim ona sama mu zakomunikuje albo zanim to będzie widoczne, to będzie jednoznaczne wykorzystanie poufnych informacji przeciw pracownikowi. Motyw oczywisty - chęć uniknięcia kosztów przez zwolnienie ciężarnej pracownicy, której potem zgodnie z kodeksem pracy zwolnić już nie będzie można. Podałem jeden tylko przykład, który w razie potrzeby w sądzie mógłby być wykorzystany. Prowadzenie takiej permanentnej inwigilacji ma też swoje inne złe strony. Po pierwsze efekty mogą znaleźć się w niepowołanych rękach. A wtedy oczywiście odpowiada ten kto zakładał i ten kto zlecił. Po drugie wprowadza się metody, które nie opierają się na związku pracownika z firmą, ale na założeniu, że wszyscy są nierobami i złodziejami - taka firma prędzej czy później będzie miała kłopoty. Świat bowiem jednak idzie naprzód i do peerelu się już nie cofniemy. Lepiej jest budować wizerunek firmy na zaufaniu i powiązaniu pracowników z firmą na podstawie pozytywnych bodźców. Jeśli firma płaci głodowe stawki, to nawet najlepsza inwigilacja nie pomoże.

_________________
Belfer.one.PL
Audio Cafe

wow ....

no źle się zrozumieliśmy z tą inwigilacją, nie jest aż tak źle....

tak zwana "inwigilacja" ma tylko otwierać szefowi możliwości sprawdzenia co się dzieje na komputerze, i na pewno nie miało by to być non stop sprawdzane, raczej myślałem o robieniu zrzuty ekranu raz na 10minut (w przypadku 8h czasu pracy 6 zdjęć na godzinę 48 na dzień, 240 zdjęć tygodniowo - i tyle wystarczy)

240 zdjęć - w jpg to max 200 MB

mamy 10 komputerów to 2 GB..... więc to chyba nie jest aż tak dużo ....


Dzięki takiemu podejściu, można by zróżnicować system oceniania pracowników (większa/mniejsza premia), poprawić ich osiągi - no i wykluczyć oglądanie co 10m allegro no i prywaty


zresztą, ja nie jestem szefem a informatykiem, każą robić to robie wiem tylko jaka była sytuacja u niego w firmie, i szczerze powiedziawszy totalnie się mu nie dziwie, ludzie mówili mu 1, a robili 2 .... "tak, tak już to załatwiam - www.kurnik.pl i tak na okrągło"



co do poinformowania pracowników - już dawno wprowadzony został cyrograf, mówiący o braniu pełnej odpowiedzialność za zainstalowane dodatkowo programy (tj. tych, które są ponadto zezwolonych)
na żadnym sprzęcie nic nie może być zainstalowane/odinstalowane kombinowane - dzięki czemu awarię - wcześniej częste - zostały ograniczone do absolutnego minimum (już rok i żadnych problemów)




na koniec - wiem tutaj teraz zabłyśnie moje lamerstwo - nigdy nie instalowałem squida - nie miałem do tego przekonania, oraz nie za bardzo mnie to interesowało, w ogólę co ma wspólnego serwer proxy z przeglądaniem stron na jakie wszedł pracownik ? no i czy dzięki temu będzie można to przeglądać przez www np. po zalogowaniu się na jakieś statystyki czy też zaś logi w pliku tekstowym ?
a na koniec jeszcze 1 pytanie - będzie widać adresy IP serwerów czy też nazwy witryn .....


aaaa i przypomniała mi się jeszcze 1 sprawa

da się jakoś na nnd stworzyć dysk sieciowy, który będzie można zamontować w windowsie ? chodzi mi o tak zwany serwer przechowywania dokumentów, w końcu na serwerku jest mirroring no i co jakiś czas archiwizacja ....

Ja tylko napisałem, co mi na ten temat wiadomo. Do monitorowania cudzych komputerów można się posłużyć radminem, vnc lub aplikacją dla szkół pt. wizualny nadzór. Czy któryś ma wbudowany system robienia zrzutów, to nie wiem. Zresztą wykracza to całkowicie poza zakres zainteresowania tego forum.
Squid jest serwerem proxy, przez niego można puścić cały ruch http, https (a więc po zablokowaniu portu 8074 także gadu), należy kazać mu logować cały ruch a sarg doinstalować po to, żeby logi miały strawny dla nas format. Squid połączony ze squidguardem daje możliwość zablokowania wszystkich stron typu kurnik.pl. Można sobie tworzyć rozmaite czarne i białe listy. Można dać spore restrykcje i w razie potrzeby odblokować określone - potrzebne pracownikom strony. Można zablokować serwery GG. W takim układzie może się okazać nawet, że reszty działań nie trzeba wdrażać. Z kolei iptablesami można zablokować wszystkie niepotrzebne porty i np. otworzyć port 25 i 110 tylko na pocztę z kont firmowych, które gdzieś tam sobie są na jakimś zewnętrznym serwerze.
Na koniec - tak, można założyc serwer plików na nnd - nazywa się to samba.

_________________
Belfer.one.PL
Audio Cafe

hmmm......

super tylko mam 1 sprawę, mogę prosić o configi squida - wiem wiem ide na łatwiznę, ale łatwiej mi się uczy jak coś działa niż jak muszę coś tworzyć od podstaw

faq

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Zainstalowałem sambę, użyłem konfiguratora czerwa , odhaczyłem w firewall adiego odpowiednią linijkę, no i mam problem ....

serwer nie zgłasza się w otoczeniu sieciowym - nie ma nazwy - jedynie da się wejść na niego po adresie IP, a i mam jeszcze jeden problem, mam włączony zapis, mogę kasować pliki tworzyć je, a nie mogę tworzyć czy tam usuwać katalogów

mój konfig wygląda tak:

#|-------------------------------------|
#| Global parameters |
#|-------------------------------------|
[global]
netbios name = SERWER
workgroup = CZELADZKA_NET
interfaces = 192.168.150.1
comment = Samba wersja %v
guest account = nobody
invalid users = @wheel, mail, daemon, adt
hosts allow = 127. 192.168.150.
security = SHARE
os level = 99
preferred master = Yes
domain master = Yes

log file = /var/log/log.%m
max log size = 50

#|-------------------------------------|
#| OPTYMALIZACJA WYDAJNOSCI |
#|-------------------------------------|
getwd cache = yes
socket options = TCP_NODELAY
keep alive = 10
dead time = 30

#|-------------------------------------|
#| UDZIALY |
#|-------------------------------------|
[SZAKAL]
path = /
read only = no
guest ok = No
valid users = SZAKAL

[SERWIS]
path = /home/serwis/
read only = yes
guest ok = No
valid users = SERWIS



bardzo proszę o pomoc
ps. mam tu jeszcze 1 pytanie - na sambie można zrobić domenę ?

z góry dziękuje za każdą pomoc

dopisujesz w kofigu

odpowiedz jest prosta: keylogger
Są warianty sprzętowe i programowe.
Pod windę jest taki programik który loguje wszelki ruch z klawiszy i adresy otwieranych stron, co ustalony czas robi prscr ekranu (z kompresują lub nie), zebrane logi wysyła na ustalonego maila.
Całość działa rezydentnie w tle windowsów, zahasłowane, wywoływane przy pomocy specjalnych kombinacji klawiszy.


(Nie)stety jest klasyfikowany do kategori trojanów więc większość antywirów go rozpoza...ale można ustawić wyjątki.

Są jeszcze sprzętowe rozwiązania - droższe ale skuteczniejsze i trudniejsze do wykrycia.