блокировка https на proxy
-
- Сообщения: 9
- Зарегистрирован: 22 янв 2013, 10:10
Доброго времени суток! Настраиваю запрет доступа на сайты для своих пользователей в домене через прокси на mikrotik'е. Все блокирует идеально, но нашел одну уязвимость - если попытаться зайти на заблокированный сайт по протоколу https, то заходит беспрепятственно на сайт. Т.е. я пишу в адресной строке https://vk.com вместо http://vk.com и пускает на ура. Есть ли возможность заткнуть эту дыру? Блокировать весь https не вариант.
- podarok66
- Модератор
- Сообщения: 4368
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Насколько я помню, simpl3x тут где-то упоминал, что https слишком сложно для прокси. Скорее всего причина именно в этом.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
это не есть дыра, по своей сути, https - Hypertext Transfer Protocol Secure - что означает что он защищен. все данные которые передаются в пределах сессии https - шифрованы и proxy сервер банально не видит, какие заголовки передаются, а значит не может понять что ему блокировать, а что нет.
-
- Сообщения: 9
- Зарегистрирован: 22 янв 2013, 10:10
Хорошо, а если возможность все-таки заблокировать? Ведь, не получается ограничить доступ даже если явно прописать полный адрес сайта.
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
что не понятного написано в моём сообщении?
proxy сервер читает заголовки пакетов http, в которых видно что хочет сделать браузер, в https все тоже самое, но пакет шифрован между клиентом и сервером.
заблокировать = расшифровать пакет. если осилите этот процесс с помощью микротика, вам выдадут медаль. но перед этим, почитайте что такое https и что такое proxy сервер.
единственный способ блокировки в этом случае, блокировать блок адресов который принадлежит vk.com https://vk.com/help.php?page=peering
proxy сервер читает заголовки пакетов http, в которых видно что хочет сделать браузер, в https все тоже самое, но пакет шифрован между клиентом и сервером.
заблокировать = расшифровать пакет. если осилите этот процесс с помощью микротика, вам выдадут медаль. но перед этим, почитайте что такое https и что такое proxy сервер.
единственный способ блокировки в этом случае, блокировать блок адресов который принадлежит vk.com https://vk.com/help.php?page=peering
-
- Сообщения: 9
- Зарегистрирован: 22 янв 2013, 10:10
Премного благодарен за разъяснение, чтож, будем блокировать по IP. Спасибо
-
- Сообщения: 51
- Зарегистрирован: 11 апр 2011, 10:58
стоп стоп.
давайте отойдем от выбранного метода и посмотрим на задачу.
я так понял пользователь форума хочет заблокировать н-ые сайты для пользователей.
с https все окай, вы все правильно описали, но может стоит посмотреть в сторону ДНС?
внутрення подсеть под чьим управлением?
заблокировать ДНС на выход от пользователей, чтоб пользователи не могли обратиться на какой нибудь 8,8,8,8.
а на внутреннем ДНС уже заблокировать все что тебе хочется.
p.s. если используется АД на внутрянке то вообще все просто
давайте отойдем от выбранного метода и посмотрим на задачу.
я так понял пользователь форума хочет заблокировать н-ые сайты для пользователей.
с https все окай, вы все правильно описали, но может стоит посмотреть в сторону ДНС?
внутрення подсеть под чьим управлением?
заблокировать ДНС на выход от пользователей, чтоб пользователи не могли обратиться на какой нибудь 8,8,8,8.
а на внутреннем ДНС уже заблокировать все что тебе хочется.
p.s. если используется АД на внутрянке то вообще все просто
-
- Сообщения: 9
- Зарегистрирован: 22 янв 2013, 10:10
Внутренняя сеть под управлением DNS, поднятого на том же сервере, что и AD. Причем в настройках микротика прописан адрес этого DNS и все компьютеры перенаправляются на него. Раз уж подняли этот вопрос - имеет ли смысл DNS переносить с отдельного сервера на микротик?
-
- Сообщения: 51
- Зарегистрирован: 11 апр 2011, 10:58
Orleon писал(а):Внутренняя сеть под управлением DNS, поднятого на том же сервере, что и AD. Причем в настройках микротика прописан адрес этого DNS и все компьютеры перенаправляются на него. Раз уж подняли этот вопрос - имеет ли смысл DNS переносить с отдельного сервера на микротик?
нууу, можеш, но тогда скажеш досвиданье АД, откуда по твоему клиенты будут политики считывать, безопасности и прочие премудрости?
пущай все живут на ДНС АД. на микротике при таком раскладе можеш вообще ДНС потушить, ессесно присосав ДНС АД к серверам пересылки провайдерским.
ну и на микротики запрети для всех выход ДНС запросов, т.е. чтобы только с тебя могли эти записи обработать. ну и все, тебе остается либо контент фильт какойто поставить (это как правило бабосиков стоит), либо создавай зоны заглушки не "плохие" имена сайтов.
второй вариант создать три user листа.
1-ый юзер лист бодрых пацанов, которым можно все, и соответствующие правило рисуеш.
2-ой лист плохих пацанов, которым запрещен 3-ий лист
3-ий лист пусть содержит списки плохих адресов.
вообщем простор есть )
фантазируй реализуй как хочеш )
+ опять же смотря какая прокся, если юзаеш голый сквид то уууууу, возможностей решения твей проблемы тут появляется еще одно огромное множество