блокировка https на proxy

Обсуждение ПО и его настройки
Ответить
Orleon
Сообщения: 9
Зарегистрирован: 22 янв 2013, 10:10

27 май 2013, 07:35

Доброго времени суток! Настраиваю запрет доступа на сайты для своих пользователей в домене через прокси на mikrotik'е. Все блокирует идеально, но нашел одну уязвимость - если попытаться зайти на заблокированный сайт по протоколу https, то заходит беспрепятственно на сайт. Т.е. я пишу в адресной строке https://vk.com вместо http://vk.com и пускает на ура. Есть ли возможность заткнуть эту дыру? Блокировать весь https не вариант.


Аватара пользователя
podarok66
Модератор
Сообщения: 3824
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

27 май 2013, 07:41

Насколько я помню, simpl3x тут где-то упоминал, что https слишком сложно для прокси. Скорее всего причина именно в этом.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

27 май 2013, 08:01

это не есть дыра, по своей сути, https - Hypertext Transfer Protocol Secure - что означает что он защищен. все данные которые передаются в пределах сессии https - шифрованы и proxy сервер банально не видит, какие заголовки передаются, а значит не может понять что ему блокировать, а что нет.


Orleon
Сообщения: 9
Зарегистрирован: 22 янв 2013, 10:10

27 май 2013, 08:10

Хорошо, а если возможность все-таки заблокировать? Ведь, не получается ограничить доступ даже если явно прописать полный адрес сайта.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

27 май 2013, 08:40

что не понятного написано в моём сообщении?
proxy сервер читает заголовки пакетов http, в которых видно что хочет сделать браузер, в https все тоже самое, но пакет шифрован между клиентом и сервером.
заблокировать = расшифровать пакет. если осилите этот процесс с помощью микротика, вам выдадут медаль. но перед этим, почитайте что такое https и что такое proxy сервер.
единственный способ блокировки в этом случае, блокировать блок адресов который принадлежит vk.com https://vk.com/help.php?page=peering


Orleon
Сообщения: 9
Зарегистрирован: 22 янв 2013, 10:10

27 май 2013, 10:18

Премного благодарен за разъяснение, чтож, будем блокировать по IP. Спасибо :)


lav1
Сообщения: 51
Зарегистрирован: 11 апр 2011, 10:58

27 май 2013, 16:06

стоп стоп.
давайте отойдем от выбранного метода и посмотрим на задачу.
я так понял пользователь форума хочет заблокировать н-ые сайты для пользователей.

с https все окай, вы все правильно описали, но может стоит посмотреть в сторону ДНС?
внутрення подсеть под чьим управлением?
заблокировать ДНС на выход от пользователей, чтоб пользователи не могли обратиться на какой нибудь 8,8,8,8.
а на внутреннем ДНС уже заблокировать все что тебе хочется.

p.s. если используется АД на внутрянке то вообще все просто


Orleon
Сообщения: 9
Зарегистрирован: 22 янв 2013, 10:10

28 май 2013, 12:25

Внутренняя сеть под управлением DNS, поднятого на том же сервере, что и AD. Причем в настройках микротика прописан адрес этого DNS и все компьютеры перенаправляются на него. Раз уж подняли этот вопрос - имеет ли смысл DNS переносить с отдельного сервера на микротик?


lav1
Сообщения: 51
Зарегистрирован: 11 апр 2011, 10:58

29 май 2013, 16:34

Orleon писал(а):Внутренняя сеть под управлением DNS, поднятого на том же сервере, что и AD. Причем в настройках микротика прописан адрес этого DNS и все компьютеры перенаправляются на него. Раз уж подняли этот вопрос - имеет ли смысл DNS переносить с отдельного сервера на микротик?

нууу, можеш, но тогда скажеш досвиданье АД, откуда по твоему клиенты будут политики считывать, безопасности и прочие премудрости?
пущай все живут на ДНС АД. на микротике при таком раскладе можеш вообще ДНС потушить, ессесно присосав ДНС АД к серверам пересылки провайдерским.
ну и на микротики запрети для всех выход ДНС запросов, т.е. чтобы только с тебя могли эти записи обработать. ну и все, тебе остается либо контент фильт какойто поставить (это как правило бабосиков стоит), либо создавай зоны заглушки не "плохие" имена сайтов.

второй вариант создать три user листа.
1-ый юзер лист бодрых пацанов, которым можно все, и соответствующие правило рисуеш.
2-ой лист плохих пацанов, которым запрещен 3-ий лист
3-ий лист пусть содержит списки плохих адресов.

вообщем простор есть )
фантазируй реализуй как хочеш )

+ опять же смотря какая прокся, если юзаеш голый сквид то уууууу, возможностей решения твей проблемы тут появляется еще одно огромное множество


Ответить