Прозрачный прокси и HTTPS со сквидом
possibile, должен использовать прозрачный прокси для фильтрации некоторых доменов без подхода man-in-the-middle? Я хотел бы гарантировать проверку сертификата и пользовательскую конфиденциальность другой рукой, я хочу отклонить соединение с некоторым доменом.
Это - possibile с прозрачным прокси? Это - possibile с squid3?
Прозрачный прокси, по определению, находится посередине. Клиент не знает о существовании прокси-сервера и отправляет свои запросы на сайты, основанные на SSL, в виде TCP SYN на порт назначения 443.
Если вы явно укажете прокси, клиент будет использовать команду CONNECT (поскольку он знает, что используется прокси), на который могут действовать списки управления доступом (ACL) Squid.
Ни один прозрачный прокси-сервер не может надежно применять контроль доступа без посредничества. Лучшее, на что вы можете надеяться, - это действовать на IP-адрес назначения, что, честно говоря, доставит вам головную боль, потому что вам нужно будет постоянно поддерживать список IP-адресов.
Как сказал Эван Андерсон в своем ответе, если вы вручную установите прокси в браузерах, тогда они заставят HTTP-запросы проходить через прокси (используя запросы CONNECT) и потому что имя хоста в этих запросах отправляется в незашифрованном виде, вы сможете применить к нему ACL.
Однако в настоящее время нет ничего, что заставляло бы клиентов использовать ваш прокси, поэтому, пока вы не можете сделать его прозрачным • Вы можете полностью заблокировать все прямые соединения HTTP / HTTPS и сказать своим пользователям, что они должны использовать прокси, если они хотят просматривать веб-страницы.
Мы реализовали фильтрацию HTTPS с кешем Squid с использованием SNI. Хорошо работает в прозрачном режиме SSL. Также реализованы ACL. Мы интегрировали squid box с Cisco ASA в качестве сервера WCCP и в производство.