假设需要联网工作,白名单上网是否就是天花板级的网管模式。

80 天前
 WuDiHaiTai

如题

虽然我还算了解大厂的信息安全和审计,但是对网络运维方面还是小小白。

之前挂壁做了一个月的某视频平台审核,此项目仅需要访问甲方的网站,其余百度都不需要,这家公司用的是白名单的上网模式,这样是否就是低成本下最有效的网络管理。

何来此问

我之前上班发现的一个顶级摸鱼方法,家里电脑 24 小时不关机,公网 ip ,在公司用 RDP 远程,此时便可以随意摸鱼,工作生活环境分开,无缝衔接,摸起鱼来就像是在家里一样。

重点是 RDP 是微软自带,有些企业内远程软件例如思杰需要调用 RDP ,所以不会管理员禁用 RDP 功能。从信安和审计的监控角度来讲,这种连接只要低调,且不捅出大篓子就不太会被人发现。

但是如果是白名单模式的话,这种方法就没用了,为这个问题我还苦恼了几天,最后也是放弃了,我连电脑壁纸都是从甲方的官网新闻里下载的。Σ(⊙▽⊙"a

1774 次点击
所在节点    宽带症候群
10 条回复
PolarBears
80 天前
如果不求速度,能通讯就够的话那么可以看看能不能解析外网域名,利用 DNS 进行通讯
datocp
80 天前
有些公司的安全比较扯,禁个半死,允许员工用私人设备

网上什么华为的,不都是只允许人进去,其它不准进嘛。不然手机截屏什么安全都是扯。

这年头做事都是但求无过,你一定要挑战网管的能力,那无非就是技术层面行政层面,不出事大家都没事,出事一定要拉出背锅的。。。
artiga033
80 天前
我的办法:手机开一个 sshd adb 把 ssh 端口通过 usb 线转发到电脑 localhost ,然后电脑再 ssh -L 转发我要访问的 3389 端口,这样流量不但不经过公司的网,甚至在大部分审计软件看来都只是 loopback 流量
WuDiHaiTai
80 天前
@datocp #2 其实比如当时的我们,所有的文件是机密的,但是在公司不允许带手机, 电脑基本上无法和外界通讯,但是工作账号居然在家里的飞书便可以登录,真要泄密直接回家手机对着屏幕拍照就好了。有些防范措施就是防君子不防小人嘛。

因为不是核心岗位,也不涉密,所以摸摸鱼还是不太会被拉出来顶大锅的,而且自己摸的时候注点意不要产生文件传输,就用来上上网,关键就是这种行为过程不好发现,只能靠事后追查,这个度要自己把握。
mandymak
80 天前
@WuDiHaiTai 域名白名单模弍没多大用,你网上搜搜运营商卡兔流就知道了。
rulagiti
80 天前
@artiga033 usb 不是监管重中之重吗
WuDiHaiTai
79 天前
@rulagiti #6 实际而言是这样,如果 USB 都没有监管的话,那大概率也不会管到网络上了。
dode
79 天前
这个白名单是域名白名单还是 IP 白名单,域名白名单也可以用工具伪造
mandymak
79 天前
@dode 没什么可能 ip 白名单,像百毒或视网站等都是套了 CDN 或多 IP 的。
WuDiHaiTai
79 天前
@dode #8 应该不是 ip 白名单,因为甲方的网站也是不定期就会变动 ip ,应该是有 CDN 。不太懂这个所以来问问的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1066585

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX