Ich beschäftige mich zur Zeit intensiver mit Squid. Es gibt ja diverse Programme (httptunnel, transconnect, ...) die es einem erlauben, durch den Proxy zu tunneln. Ich grüble nun über die Möglichkeiten das einzuschränken (ich vermeide mal "absolut sicher zu unterbinden" :D ).

Drei Ideen zur Diskussion:

1. Die meisten Tunnel werden sicher von Leuten aus dem LAN zu Heimmaschinen aufgebaut. Diese werden wohl über IP oder einen DynDNS angesprochen.
Man könnte nun alle URIs mit IP bzw. einem der DynDNS-Provider sperren.
Nachteil: einige Firmen nutzen ebenfalls IP, die man aussperrt. Leute mit einem Root-Server und fester Domain entgehen einem.

2. Die CONNECT-Methode sperren, damit aber auch HTTPS

3. Content-Filtering: Zumindest httptunnel packt die Daten in HTTP ein und versieht sieh t mit einem Header (no-cache,text/html). Ein Objekt vom Typ text/html sollte aber spezielle Charackteristika aufweisen, nämlich reinen Text (ASCII,Unicode). Eine Analyse des Inhalts sollte also auf Fremdntzung schliessen lassen.

Eure Meinung? Noch Ideen oder Erfahrungen?

Hast du das schon gelesen?

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Tunnel

Soeben (Zumindest den Tunnelabschnitt :) ).

Praktisch gibt es keine hundertprozentige Möglichkeit. Man kann höchstens versuchen die offensichtlichen Versuche aufzuspüren oder zu unterbinden.
Ich gebe mich nicht der Illusion hin, Tunnel unterbinden zu können.
Mich interessiert, ob andere hier aus der Praxis Erfahrungen damit haben. Also ob freie oder kommerzielle Tools im Einsatz sind, wie diese an die Sache herangehen, und ob Idee 3 praktisch umsetzbar wäre oder vielleicht schon ist.
Meine Rechereche hatte in dieser Richtung bis jetzt nichts ergeben.

Also primär einmal Erfahrungen und Ideen dazu zusammenzutragen und zu diskutieren.

Einen squid-filter der in den Seiten nach html tags sucht und wenn er keine findet einen Fehler sendet?

canis_jupus: Ich weis nicht warum Du Deine Anfangsfrage gestellt hast.
Wenn es um sicherheitsrelevante Maschinen geht sollten doch wohl die Rechnerverwalter Zugriff auf die Einstellungen der Maschinen haben und somit kein Tunnelprotokoll für Anwender einrichtbar sein. Außerdem ist das Mitbringen/Mitnehmen und Installieren von Programmen durch die Mitarbeiter der - sagen wir Firma - zu untersagen.

Somit dürfte solch ein Tunnelprogramm garnicht erst auf einem der Rechner Einzug finden.

@geronet
Hatte ich auch erst gedacht. Aber könnte es nicht vorkommen, das eine Seite so gross wird, da sie zerlegt werden muss und mehrere Requests nötig sind? Also das theretisch ein Objekt auftauchen könnte welches zufälligerweise nur Text enthält?
Ansonsten müsste man den Text nach allen HTML-Tags absuchen bzw. nur die Pflichttags <html><body><head>

@nunja
So sollte die Theorie sein. Die Praxis sieht anders aus. Ein Knoppix-CD ist schnell mal rausgeholt und in Schulungsunternehmen haben die Teilnehmer in der Regel administrative Rechte.
Wenn es so einfach wäre, einfach nur zu sagen "Du darfst das nicht!", könnte die ganze IT-Sicherheitsbranche in die Sommerferien gehen.

Wenn es so einfach wäre, einfach nur zu sagen "Du darfst das nicht!", könnte die ganze IT-Sicherheitsbranche in die Sommerferien gehen.

Naja, so extrem darf man das nicht sehen. Ich denke, man muss irgendwo einen Mittelweg finden. Alles verbieten geht (technisch) nicht und den User mit 1000 Regeln (LART) unter Druck zu setzen ist auch nicht die richtige Methode und vielleicht zu totalitär.

Um den Mittelweg geht es. Sperren kann man immer umgehen. Da ist der Phantasie keine Grenzen gesetzt. Man kann versuchen die offensichtlichsten Sachen zu unterbinden. Derjenige mit KnowHow, der es darauf anlegt findet einen Weg. Aber ein sehr grosser Teil wir die Suchmaschine anwerfen, nach Proxy und Tunnel suchen und zwangsläufig über Software wie httptunnel, transconnect, etc. stolpern und damit experimentieren.
Wenn man diese schon mal aufspürt, ist ja schon was gewonnen. Meistens sind es ja Script-Kiddies (kann man den Begriff in dem Zusammenhang einsetzen?), die das Tool ohne Hintergrundwissen einfach ausprobieren. Meistens schleppen diese einen dann auch noch sorglos Viren, etc. ins Netz, bzw. und probieren fleissig mit anderen Tools.

Ich will jetzt auch keine Diskussion lostreten, vom Sinn und Unsinn solcher Restriktionen. Das kann man sicher tagelang machen.
Wer sich mit dem Hintergrund nicht wohl fühlt, kann ja einfach nur den technischen Aspekt betrachten. ;)
Also wie funktioniert diese Software und welche "anormalen" Charakteristiken weisen sie auf, die sie identifizierbar machen?

Hab mal kurz gegoogelt und das gefunden:

http://www.heise.de/security/artikel/print/43716

Vielleicht beantwortet das deine Fragen? (Absatz Abwehr)