Контент-фильтр для https запросов
 

Здравствуйте.

Есть достаточно распространённый вариант организации локальной сети предприятия: канал в интернет -- шлюз NAT (он же прозрачный прокси под Ubuntu Server) -- локальная сеть.

Думаю, что ни для кого не секрет, что фильтровать стандартными способами (используя прокси-сервер) https трафик невозможно, т.к. реализуется MITM-атака. И весь смысл https пропадает.

Наверняка существует какой-то класс программ или пристроек при помощи которых можно фильтровать трафик. Подскажите как можно реализовать фильтрацию трафика по URL с использованием https:\\?

Tonny_Bennet, Если мне память не изменяет то новая бета SQUID 3 умеет фильтровать https трафик.
И такой фильтр не спасет от MITM атаки.
Лучшая защита от MITM это статические ARP таблицы или использование IDS.

Похоже что в прозрачном режиме не умеет http://habrahabr.ru/post/168515/ http://serverfault.com/questions/369...rent-ssl-proxy

Вопрос не в том, что спасёт или нет. А в том, что если просто попробовать завернуть трафик 443 порта на прокси то работать это дело не будет :(

Может есть методы без использования прокси сервера?

Tonny_Bennet,
Я не понимаю смысл этого.
Если только фильтрация то лучше способа чем squid я лично не знаю.
Если интересует защита от перехвата то желательно использовать IDS ибо спасет не только от MITM но и от другой заразы типа Exploit.
И те статьи уже не актуальный, ищите информацию на сайте SQUID.

я тут недавно озадачился просто биллингом трафика. Настроил syslog-логи о трафике отправлять на сервер.
Весь трафик прекрасно видится, кроме HTTPS и SSH.
И дело не в том, что шлюз не видит этот трафик или сквид, просто SSL шифрует трафик на клиенте и что там смотреть? Кашу?
Фильтровать, скорее всего можно, но на уровне - разрешить\запретить. Прокси для этого не обязателен. Достаточно на фаерволе запретить 443 порт на запретный ресурс.
Но порт же можно поменять на веб-сервере...

exo,
Есть декрипторы https трафика.
Например Fiddler2.

Rezor666, у нас в организации установлен жёсткий запрет на использование социальных сетей в рабочее время. Squid c этим справляется - блокирует и подсети и доменные имена. Но как только мы вводим https://vk.com - трафик на прокси не заворачивается. А если все сайты перейдут на https? Такими методами ограничить доступ не получится....

Можно конечно придумать костыль и через BIND возвращать IP адреса какой-нибудь локальной гневной странички, а в iptables запретить доступ в подсети социальных сетей. Но как быть с правилами, работающими по времени? С авторизацией пользователей? С динамическими адресами в сети? С логированием адресов посещаемых сайтов?

Tonny_Bennet,
Вариант самый легкий - блокировать ip адреса социальных сетей. На сколько мне известно на этих ip больше нечего не весит.
Вариант труднее - Качать новый squid и пробовать.
Вариант самый трудный, блокировать по Layer7, но тогда всякие лайки и прочая муть тоже работать не будет.

Ах да, или просто дампить трафик а потом к директору на стол, всех любителей https.

Rezor666, можно проще - запретить локальным актом, а потом рублем наказывать. Ну или план работы на день давать такой, что б до социалок руки не доходили.
Совсем недавно на работе видел товарища со своим планшетом и 3G - ему ж не запретить работать. BYOD решает )))

Глушилкой нафиг.
Кстати у нас на работе было, стоит отметить что очень хорошо когда тебе не кто не звонит и ты можешь спокойно работать.
В первые дни правда было трудно отвыкнуть а потом привыкаешь.

Rezor666, а если у меня мелкий ребенок дома ОДИН? Или у Вас работа няню позволяет нанимать?

У меня жена дома.
И я всегда могу с ней связаться через интернет или позвонить когда выйду на улицу.
В крайнем случае есть рабочий телефон.

значит, если запретить нельзя, просто смотрите кто где что посещает - а потом на ковёр.
я так понял, это ставится на локальную машину, но не на роутер, где у меня логи генерятся.

Ну... Я думаю что и под Linux есть подобное и что можно с легкость установить на шлюз.

у меня шлюз - Juniper SSG5 со своей осью. Я так понял, там что-то из БЗД. Но ставить что-либо в роутер... не хочу нарушать работающий функционал.
Через два месяца ожидается смена провайдера и появление реальных адресов - буду прозрачный прокси ставить. Только тс-с-с-с...

Rezor666, дело то не в анонимности. а то, чем они занимаются в рабочее время.

Как будто мы целыми днями работаем.
Мы тоже иногда зависаем на форумах или еще где-то.
У нас на работе можно в тренировочный зал сходить, сходить погулять, помыться, на тренинги разные и.т.д
Все мы люди и нельзя все время только работать.

это и есть наша работа )

Какая интересная у Вас работа однако.

Кстати, нечто подобное и у нас планируется. 21 век на дворе, а мы всё на модеме с минимальной отдачей.

+1

И не поспоришь :)

Ага

Красиво. Дорого. Щедро. Браво г-ну Касперскому.

Здравствуйте! Можно ли сделать так чтоб все запросы к https ресурсам, получали ответы по http? Допустим, я не вижу особого смысла в https для локальной сети (для каждого конкретного пользователя), т.о. связь с и-нетом идёт через сервер/прокси, он получает к себе все запросы (для web) от локальной сети на ресурсы в интернет, но отдаёт их все по http для стандартных портов. Реально ли организовать такую схему, для фильтрации (privoxy)?

Цитата vlad001:
Можно ли сделать так чтоб все запросы к https ресурсам, получали ответы по http? »
Сам же и отвечу - можно. Есть такой прокси-сервер sslstrip. Но подобное использование не так просто, нужно обязательно при вводе адреса ресурса вместо https набирать http (иначе будет ошибка), что не удобно, например выдача из поисковика идёт на https сайт, при его открытии получаем ошибку что не настроен tls , нужно обязательно убрать s. Далее, есть такая штука как HSTS. Ещё, браузер может запомнить что когда-то открывался какой-то сайт и использовался https, потом он всегда будет его открывать так, даже если убирать s. Для этого нужно сбросить кое-какие настройки в браузере. В Firefox это Журнал=>Удалить недавнюю историю=>Настройки сайтов при этом в Удалить выбрать Все. Так же для FF можно установить расширение Enforce Encryption. Здесть можно найти фильтр для privoxy, который все https редиректит на http (но не делает это для строки адреса).

Нет таких программ, любая попытка фильтовать https будет расценена как mitm. Кстати, я вообще не понимаю шумихи вокруг https, когда его пытаются фильтровать, что мол это плохо, что-то там нарушает и т.д. Чем эта фильтрация отличается от фильтрации http? Да ничем, зато шуму столько. Ну да, есть некоторое нарушение приватности, но для локальной сети считаю это допустимым. А некие товарищи из органов, всё равно сделают что им нужно шуми не шуми.