Как блокировать https запросы для определенных пользователей?

Question

[Tremo]

Доброе времени суток!
Нужно в организации настроить фильтры ограничений для доступа к внешним ресурсам таким как https://facebook.com, https://vk.com и тд
Желательно чтобы можно было выставлять фильтры к каждому устройству отдельно( к примеру: по ip или же mac адресу)

Comments

[Ришат Султанов]

На микротиках видел блокировку только на всю сеть.

А это наверно реализуется на Unix ^))

[Tremo]

Ришат Султанов: а что насчет винды? или же как это реализовать на Unix?

Answer 1

[res2001]

Настройте squid и радуйтесь. Можно с авторизацией, можно по IP. Как угодно.

Comments

[Tremo]

так вить там нельзя будет устанавливать отдельные правила для каждого юзера (по mac address-y к примеру)

[res2001]

Tremo: Можно. И не только по МАК, но и по IP, и по имени пользователя и паролю, если авторизацию прикрутите.

[Tremo]

res2001: спасибо, буду пробовать

[Tremo]

res2001: а у вас squid под виндой или линуксом работает:?

[res2001]

Tremo: У меня был под FreeBSD.
Но разницы в конфигурации с линуксом нет.
Правда сейчас у меня уже сквида нет под рукой.

[Tremo]

res2001: Говорят , что там проблемы с блокировкой https

[res2001]

Нет там проблем с блокировкой https.
Если нужно блокировать по доменному имени сайта, то расшифровывать трафик не требуется, т.к. доменное имя проходит в чистом виде при установке ssl соединения и squid его прекрасно видит в стандартном режиме работы с аутентификацией и прочими плюшками.

А вот остальную часть адреса он уже не видит, т.к. она передается непосредственно в HTTP запросе уже зашифрованная. Но обычно это и не требуется, достаточно доменного имени.

Если же нужно фильтровать по полному УРЛ, то нужно использовать прозрачный режим с соответствующими настройками. squid умеет и подменять сертификаты и т.п. штуки. Читайте примеры на официальном сайте, там все есть.
Кстати, проблема с https это не только в squide - т.к. трафик зашифрованный, то любому прокси требуется расшифровывать трафик, чтоб фильтровать по полному УРЛу. Делается это подменой сертификата, со всеми вытикающими последствиями.
Поэтому рекомендую, не заморачиваться с полной расшифровкой трафика, а ограничиться фильтрацией по доменному имени.

Answer 2

[Александр Карабанов]

В MikroTik есть механизм Address List, с помощью которого можно блокировать блоки адресов и единичные адреса. Помимо адреса можно указать доменное имя, тогда MikroTik будет резолвить доменное имя через равные промежутки времени (не помню точно сколько) и добавлять/заменять адреса в Address List.
Уверен такой же механизм можно реализовать в на любой ОС с помощью скрипта. То есть напишите скрипт, который будет резолвить адреса для домена vk.com или иного который следует блокировать и добавляйте/удаляйте правила в фаирвол.

Comments

[Tremo]

а есть ли готовые решения?

[Александр Карабанов]

В MikroTik-е :-)
А так незнаю, но знаю, что такой же механизм реализуется на коленке за пару часов.

[k2lhu]

Александр Карабанов: Полуготовые у меня есть, на yii2 делаю небольшую системку. Есть и добавление на микротик, и обновление записей в нем, активация/дезактивация юзеров, черные списки ресурсов. Использовал Pear2 библиотеку.

Answer 3

[chulink]

Настроить фильтры на чём?

Answer 4

[CityCat4]

Ставите прокси, разумеется блокируете выход в обход оного. Если раздавать будете по IP, обязательно не забудьте статически связать IP с компом :) При всей очевидности совета, его часто забывают. Потом формируются списки ресурсов и связываются с юзерами. Возможно можно сделать и от целевого ресурса (vk.com, facebook.com etc), но у нас сделано от юзеров - юзер включается в группу имеющую права на такой-то и такой-то целевой ресурс и не имеющую прав на такие-то ресурсы.

Обезличенным конфигом squid могу поделиться. Разумеется он копипастом не заработает, только в качестве примера.

Comments

[Tremo]

поделитесь пожалуйста. И еще один вопрос. Можно ли использовать squid на windows?

[Tremo]

И еще один вопрос: получиться ли ограничивать доступ к https ресурсам?

[CityCat4]

Tremo: Никогда не пробовал, но я думаю гугл подскажет лучшее решение :) Но имейте в виду, что использовать программы для UNIX на винде (равно как и наоборот) можно только от суровой безысходности.
Если Вы про видимость урлов в https запросах - говорят можно, если настроить ssl в сквиде. Есть правда одно НО - фактически тут squid делает MitM, внутри конторы конечно это все решаемо, но обьяснять придется, чего браузеры буракосят.
Запрос CONNECT можно перехватить не настраивая сертификат - в большинстве случаев этого достаточно. Урл нужен для разделения доступа внутри сайта и для статистики. Для того чтобы дать по рукам юзеру, набравшему "www.siski.ru" достаточно поймать CONNECT :) (Домен этот кстати кем-то зареген - через два редиректа выкидивает на гугл :DDD )

Мыло в профиле, скиньте туда адрес.

[Tremo]

CityCat4: Поставил squid на убунту. Все работает, но он у меня получился не прозрачным. Приходиться настраивать браузеры на клиентских машинах чтобы траффик шел через мой прокси.
Нужно смотреть в сторону iptables?

[CityCat4]

Tremo: Нужно смотреть в сторону доменных политик. Все, кроме FF используют системные настройки прокси. Для FF есть автоконфигурация, гугл подскажет как ее настроить и заблокировать для юзеров. Да, с бухами могут быть проблемы :)

Answer 5

[Sergey Ryzhkin]

Kerio Control решает данные вопросы, правда за деньги.