Questão Como bloquear tráfego HTTPS específico?


De acordo com Descrição HTTPS:

Hypertext Transfer Protocol Secure (HTTPS) é uma combinação de   Protocolo de Transferência de Hipertexto (HTTP) com protocolo SSL / TLS. Ele fornece   comunicação criptografada e identificação segura de uma rede   servidor.

E para SSL / TLS:

O protocolo TLS permite que aplicativos cliente-servidor se comuniquem através de uma rede de maneira projetada para evitar interceptação e adulteração.

Como a maioria dos protocolos pode ser usada com ou sem TLS (ou SSL)   é necessário indicar ao servidor se o cliente está fazendo   uma conexão TLS ou não. Existem duas maneiras principais de conseguir isso,   Uma opção é usar um número de porta diferente para conexões TLS (por   exemplo, porta 443 para HTTPS). O outro é usar a porta regular   número e ter o pedido do cliente que o servidor mudar o   conexão com TLS usando um mecanismo específico de protocolo (por   STARTTLS para protocolos de correio e notícias).

A partir dessas explicações, podemos entender que o tráfego HTTPS usa 443 portas TCP com criptografia, ou seja, não é possível que um proxy interprete o tráfego e bloqueie sites indesejados porque ele está criptografado.

Na minha empresa, as pessoas geralmente usam https: // para acessar o facebook, o hotmail e outros sites bloqueados pelo proxy corporativo. Então, eu estava pensando, é possível bloquear até mesmo o tráfego https para sites específicos usando um proxy ou outra técnica além e integrada com a solução de proxy real? É possível filtrar ou bloquear sites específicos por meio da camada https?


2


origem


Você ainda deve conseguir bloquear o URL de ser solicitado. Não é criptografado - Rado
Hmmm, você está certo, eu só testei com wireshark .... Obrigado. - Diogo
@Rado: Quando o HTTPS é intermediado por proxy, geralmente usa o HTTP CONNECT, nesse caso, parte do URL é criptografado; apenas o nome de domínio não é. (O suficiente para bloquear, no entanto.) - grawity
@grawity, bom saber. Não há realmente nenhuma maneira de criptografar o URL inteiro, afinal, o proxy precisa saber para onde direcionar o tráfego. Suponho que qualquer outra coisa além de porta e ip (ou nome de domínio) é manipulada pelo destino, portanto, faz sentido ser criptografado. Eu suponho que a única maneira de criptografar o destino é usar um segundo proxy https para que todos os proxies de terceiros também sejam listados em preto. - Rado


Respostas:


Embora o exemplo citado em sua pergunta seja trivial para ser alcançado com um proxy, pois os URLs não são criptografados e, portanto, fáceis de adicionar a uma lista negra, é possível inspecionar o tráfego HTTPS que passa por um proxy.

As implantações corporativas geralmente conseguem isso implantando um certificado confiável internamente em todas as máquinas de usuário final instaladas. As conexões com o servidor proxy são feitas por meio desse certificado (independentemente de os usuários perceberem isso ou não), em que o software proxy pode descriptografar a carga útil, inspecioná-la e decidir sua validade. A conexão para o site final é feita com certificados "reais".

Isso é um pouco triste, pois quebra o modelo confiável de SSL e TLS - mas sei que já está feito - como acontece onde eu trabalho.


3



Bom e velho ataque man-in-the-middle usado para não como ilegal práticas - Rado
Umm, se você estiver executando uma rede corporativa com recursos confidenciais, você precisa proteger as coisas ruins que entram e as coisas sensíveis não saírem. Para fazer isso, você precisa inspecionar todo o tráfego que entra e sai. Façam aquele você tem duas opções, interceptar conexões SSL e assinar novamente com um novo certificado, ou bloquear todas as conexões SSL. Qual você preferiria ter? - Scott Chamberlain


O bloqueio de sites https com sistema de prevenção de intrusões (inline) como snort e suricata é muito simples.

Ambos acima do IPS podem usar as mesmas assinaturas.

Aqui estão algumas regras IPS para domínio, porta, endereço IP e bloco de extensão de arquivo.

http://kb.simplewallsoftware.com/help-faq/answers/useful-suricata-rules/


1





Descobri que bloquear o terminal IP para o serviço HTTPS é muito eficaz. Eu tenho sido capaz de bloquear (firewall) o acesso ao facebook usando este método. Aqui está o escopo do IP do facebook

31.13.24.0/21
31.13.64.0/18
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
31.13.71.0/24
31.13.73.0/24
31.13.74.0/24
31.13.76.0/24
31.13.77.0/24
31.13.78.0/24
31.13.79.0/24
31.13.82.0/24
31.13.83.0/24
31.13.84.0/24
31.13.85.0/24
31.13.86.0/24
31.13.87.0/24
31.13.90.0/24
31.13.91.0/24
31.13.93.0/24
31.13.96.0/19
66.220.144.0/20
66.220.144.0/21
66.220.152.0/21
69.63.176.0/20
69.63.176.0/21
69.63.184.0/21
69.171.224.0/19
69.171.224.0/20
69.171.239.0/24
69.171.240.0/20
69.171.255.0/24
74.119.76.0/22
103.4.96.0/22
173.252.64.0/19
173.252.96.0/19
179.60.192.0/22
179.60.192.0/24
179.60.193.0/24
185.60.216.0/22
204.15.20.0/22

-2



A pergunta "é possível bloquear o tráfego HTTPS para sites específicos?" Já foi respondida adequadamente. A pergunta não perguntava "Quais são os endereços que eu precisaria bloquear para bloquear o Facebook?", Então isso não fornece uma resposta para a pergunta. ………………………………………………………… Também, não 31.13.64.0/18 cobrir as próximas 24 entradas (através de 31.13.96.0/19)? - G-Man