Wie blockiere ich bestimmten HTTPS-Verkehr?

Question

Wie blockiere ich bestimmten HTTPS-Verkehr?

Hypertext Transfer Protocol Secure (HTTPS) ist eine Kombination aus Hypertext Transfer Protocol (HTTP) mit SSL/TLS-Protokoll. Es bietet verschlüsselte Kommunikation und sichere Identifikation eines Netzes Server.

Und SSL/TLS - :

Mit dem TLS-Protokoll können Client-Server-Anwendungen über ein Netzwerk kommunizieren, um Abhören und Manipulation.

Da die meisten Protokolle entweder mit oder ohne TLS (oder SSL) verwendet werden können) es ist notwendig, dem Server anzuzeigen, ob der Client macht eine TLS-Verbindung oder nicht. Es gibt zwei Hauptwege, dies zu erreichen, eine option ist die Verwendung einer anderen Portnummer für TLS-verbindungen (für Beispiel port 443 für HTTPS). Der andere ist, den regulären Port zu verwenden nummer und haben die Clientanforderung, dass der Server die verbindung zu TLS mithilfe eines protokollspezifischen mechanismus (zum Beispiel STARTTLS für Mail-und Nachrichtenprotokolle).

Aus dieser Erklärung können wir verstehen, dass HTTPS-Datenverkehr 443 TCP-Port mit Verschlüsselung verwendet, ich meine, es ist nicht möglich, dass ein Proxy den Datenverkehr interpretiert und unerwünschte Websites blockiert, da er verschlüsselt ist.

In meiner Firma verwenden Leute normalerweise https://, um auf Facebook, Hotmail und andere Websites zuzugreifen, die durch einen korporativen Proxy blockiert werden. Also, ich habe mich gefragt, es ist möglich, sogar https trafic zu blockieren für bestimmte Websites, die einen Proxy oder eine andere Techique darüber hinaus verwenden und in die eigentliche Proxy-Lösung integriert sind? Es ist möglich, bestimmte Websites über https-Layer zu filtern oder zu blockieren?

4

ssl proxy https traffic

Author: leeand00, 2012-02-17

Source

3 answers

Https-site-block mit intrusion prevention - (inline -) system wie snort und suricata ist tot einfach.

Beide oben genannten IPS können dieselben Signaturen verwenden.

Hier sind einige IPS-Regeln für Domäne, Port, IP-Adresse und Dateierweiterungsblock.

Http://kb.simplewallsoftware.com/help-faq/answers/useful-suricata-rules/

1

Author: radiosh,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2014-01-16 13:01:19

Ich habe festgestellt, dass das Blockieren des IP-Endpunkts für den HTTPS-Dienst sehr effektiv ist. Mit dieser Methode konnte ich den Zugriff (Firewall) auf Facebook blockieren. Hier ist der Facebook-IP-Bereich

31.13.24.0/21
31.13.64.0/18
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
31.13.71.0/24
31.13.73.0/24
31.13.74.0/24
31.13.76.0/24
31.13.77.0/24
31.13.78.0/24
31.13.79.0/24
31.13.82.0/24
31.13.83.0/24
31.13.84.0/24
31.13.85.0/24
31.13.86.0/24
31.13.87.0/24
31.13.90.0/24
31.13.91.0/24
31.13.93.0/24
31.13.96.0/19
66.220.144.0/20
66.220.144.0/21
66.220.152.0/21
69.63.176.0/20
69.63.176.0/21
69.63.184.0/21
69.171.224.0/19
69.171.224.0/20
69.171.239.0/24
69.171.240.0/20
69.171.255.0/24
74.119.76.0/22
103.4.96.0/22
173.252.64.0/19
173.252.96.0/19
179.60.192.0/22
179.60.192.0/24
179.60.193.0/24
185.60.216.0/22
204.15.20.0/22

-2

Author: user432169,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2015-03-27 17:09:01

score 5 · Accepted Answer

Obwohl das Beispiel, das Sie in Ihrer Frage zitieren, mit einem Proxy trivial ist, da die URLs nicht verschlüsselt sind und daher leicht zu einer schwarzen Liste hinzugefügt werden können, ist es möglich, den HTTPS-Verkehr über einen Proxy zu überprüfen.

Enterprise-Bereitstellungen erreichen dies normalerweise, indem sie ein intern vertrauenswürdiges Zertifikat auf ihren gesamten installierten Endbenutzercomputern bereitstellen. Verbindungen zum Proxyserver erfolgen über dieses Zertifikat (unabhängig davon, ob die Benutzer es realisieren oder nicht), wobei der Proxy software kann die Nutzlast entschlüsseln, überprüfen und über ihre Gültigkeit entscheiden. Die Weiterverbindung zur Endstelle erfolgt mit "echten" Zertifikaten.

Dies ist wirklich ein trauriger Zustand, da es das vertrauenswürdige Modell von SSL und TLS durchbricht - aber ich weiß, dass es fertig ist -, wie es passiert, wo ich arbeite.