Может ли squid блокировать https сайты?

Question

[von_toster]

Нужно заблочить в корпоративной среде допустим https://www.youtube.com/, https://www.vk.com, https://www.ok.ru для всех пользователей AD группы block через squid например на debian.
Блокирует ли squid 100% протокол https?
Если нет, то как справляются например админы в своих конторах с доступом в инет когда одним юзерам ограничить, другим блокировать, а третьим фулл доступ?

В общем какое выбрать решение для блокирования конкретных сайтов работающих протоколу https отдельным пользователям в корпоративной среде?

Comments

[PrAw]

https://habr.com/post/267851/

Answer 1

[CityCat4]

Блокирует ли squid 100% протокол https?

Блокирует. Но при определенном наборе условий.

- Можно заблокировать весь vk.com целиком, например, блокируя CONNECT к нему
- Если хочется не только блокировать, но и знать, куда ходили - нужно настраивать бампинг, выпускать сертификаты. Это на самом деле не так уж и сложно, но головой поработать придется

Доступ для разных групп пользователей - это вообще говоря отдельный и немаленький вопрос, с которым все справляются по-разному, в том числе и через группы в AD :)

Comments

[von_toster]

Да, просто блокировать соц сети, видеохостинги и т.п., но только определённым группам в AD.
Знать куда ходили не стоит такая задача.
Какие ещё есть способы решения, я знаю только squid с привязкой к AD.

[CityCat4]

von_toster, Да я собственно тоже, но у меня оно работает :) А скоро добавлю и блэкджек с девочками бампинг со статистикой.

[fpir]

von_toster, корпоративные версии антивирусов умеют многие, касперский и др.веб точно. Причём, для особо "оптимизированных" админов можно прям по группам, соц.сети, там, казино, порно. С ад обязательно интегрируется в разной степени, но группы пользователей всегда понимают. Ну и график по времени можно составлять, типо, пусть дирекция после обеда может порно смотреть...

[CityCat4]

fpir, корпоративные версии антивирусов не умеют вести статистику, когда начальник может просмотреть в веб-морде различной страшности (в squid изначально отсутсвует веб-морда для этого) куда ходили его подчиненные. И все равно требует управляющий сервер. И все равно не покажет, куда пошел через ssl без, допустим перехвата клавиатуры, а для таких вещей проще уж СМП поставить (что кстати одно другому - в смысле squid и СМП - нисколько не мешают).
Потому что бампинг - это в некотором роде хак. Это классическая man-in-the-middle атака, выполняемая "белой шляпой".

[fpir]

CityCat4 Не умеют статистику, но зачем статистика того, куда хотел, но не смог зайти пользователь. Условная цель-не пускать манагера во вконтакт, а чтоб он работал-это одно, а найти повод срезать ему премию-это другое. Если пользователь может тунелирование, то и сквид ему не помеха. А мониторинг трафика-это тема отдельная и со сквидом связанна посредственно.

[CityCat4]

fpir, Непосредственно. Поскольку squid сидит как раз на той трубе, по которой течет трафик. Нужна статистика и того, куда хотел, но не смог зайти - например для того, чтобы выяснить, что туда-то долбится злобный вирусяка или же что сотрудник начал искать работу :) и туда, куда хотел и смог. Потому что одуревающая от безделья секретутка и ведущий конструктор, например - две большие разницы :) А пользователь не должен "мочь" туннелирование - это как раз задача админов и безопасников (если они есть) - чтобы у пользователя было прав достаточно для работы, но недостаточно для всяких финтов ушами.
Хотя, разумеется, на случай финтов ушами должны быть и административные средства

[fpir]

CityCat4, Для мониторинга сквид необходим только в частном случае, если мы заводим на него несколько "труб", ну или если он уже и так стоит. В классическом случае у нас на выходе из сетки всё равно стоит шлюз и логи можно брать сразу с него. Городить сквид только для этого-явный оверкилл.
Сквид потребует себе железный сервер. Если стоит софтовый роутер-это можно совместить, а если роутер железный и особой необходимости в кешировании трафика нет, то зачем он нужен? Это просто всё к больному, для меня, вопросу "зачем вообще нужен прокси в организации, в общем случае?".

[CityCat4]

fpir, Логи...с шлюза? (Сполз под стол и несколько минут там барахтался, кидаясь ботинками) Что у Вас за СуперШлюз, что способен GET/POST/CONNECT запросы логировать, а аткже самостоятельно бампить SSL-соединения? Циска сверхмощная? Не знаю, я с ними не работал, может быть она и способна... Обычный же микротик допустим отдаст максимум адреса отправителя и получателя, порты, размер - ну в общем, netflow. Когда трафик был помегабайтный, я баловался с этим - чтобы провайдера контролировать, на анлиме он бесполезен практически.
Зачем нужен прокси? Ну, как собственно прокси он конечно давно актуальность потерял :) В основном он нужен для контроля доступа, логов и статистики. Просто закрываешь на роутере все и не напрягаешь голову о машинах, которые куда-то там пойдут - все ходят либо через прокси, либо не ходят вообще. Да, возможно придется по...работать для того, чтобы работала бухгалтерия со своими через-задницу-вывернутыми банк-клиентами и руководство, но таких людей обычно единицы.
Кстати, squid спокойно себе сидит на виртуалке :)
Ну, разумеется это все про нормальные конторы, а не про ООО "Три стола, два стула" - тем ничего не надо - ни прокси, ни серверов вообще - у них завсегда все "в облаках" :DDD

Answer 2

[Александр Липатов]

Блокирует ли squid 100% протокол https?

Сейчас у меня в конторе на данный момент работает squid 3.5.27 + ssl_bump с динамической генерацией + AD роли, для разграничения прав. В качестве статистики sarg + ad, для "читабельного" вида. Никаких проблем нет. Любое изменение правил, списков доступа занимает пару секунд и сразу начинает работать.

Если подмена сертификатов не нужна, то просто "терминировать" соединение до https сайтов в блэк-листе. Но в таком случае "красивой страницы" - доступ запрещен, не будет, впрочем как и "подробностей" https соединения тоже. Этот вариант подойдет для офисного или бесплатного вай-фая, для идентификации только по IP. Если в сети работает Active Directory, красотища. Крутится, кстати, кальмар на KVM, без проблем держит порядка 200 пользователей. Да и кэш очень хорошую роль играет.