Отфильтруйте соединения SSL с прокси сквида
Подсети легки при использовании сетевых масок, которые находятся на 8-разрядных границах./22 или/21, например, немного более трудно вычислить в Вашей голове, если Вы не делаете все это день долго. Калькулятор подсети покажет Вам доступные диапазоны дюйм/с для данной сетевой маски.
В текущее время я не думаю, что можно сделать это со сквидом. Потенциал там:
Мы полагаем, что технически возможно реализовать динамическое поколение сертификата для прозрачных соединений. Выполнение так требует переворачивающихся вверх дном шагов обработки транзакции Сквида, так, чтобы безопасное соединение с сервером было установлено перед безопасным соединением с клиентом. Реализация будет трудной, но она позволит Сквиду получать имя сервера из сертификата сервера и использования что генерировать поддельный сертификат сервера, чтобы дать клиенту. Качественные патчи или одобренное спонсорство.
Источник: посмотрите раздел ограничений http://wiki.squid-cache.org/Features/DynamicSslCert
Я знаю о по крайней мере одном коммерческом решении, которое делает это. Может быть больше.
-
1Спасибо за ответ. У нас уже есть сервер. Я надеялся найти программный продукт. Даже если бы мы не можем использовать сквид, я был бы рад реализовать что-то еще. – BrNathan 11 December 2010 в 21:56
-
2Открытый исходный код только или это могло быть коммерческим? – sdanelson 11 December 2010 в 22:23
Хорошо Вы не можете сделать этого. SSL сделан предотвратить любой вид управления/модификации.
Можно заблокировать все хосты, но Вы не видите URL, который видит пользователь.
-
1, я довольно знаком с SSL и существуют пути вокруг этого. Cymphonix делает иметь его метод, zScaler имеет другого. Как я упоминаемый в своем вопросе, я даже собираемый использовать sslstrip. Я надеющийся получать более практическое решение с открытым исходным кодом. – BrNathan 11 December 2010 в 16:00
-
2да, Вы можете. Это называют нападением MITM. В случае управляемой сети это совершенно приемлемо. Много фильтрующих сеть устройств позволяют Вам делать это. Для него, чтобы быть прозрачным он требует, чтобы клиенты доверяли сертификату CA, который используется на прокси для генерации сертификатов SSL на лету. Так как клиенты доверяют сертификату CA, выпуская сертификаты нет никаких ошибок сертификата. Если сертификату CA не будут доверять затем, то Вы получите ошибки сертификата в клиенте. – sdanelson 11 December 2010 в 20:05
-
3Это не проблема, так как я могу выпускать сертификаты всем клиентам в нашей сети. Какое программное обеспечение Вы предполагаете, что это будет стабильно на 300 + компьютерная сеть? – BrNathan 11 December 2010 в 21:21
Вопрос немного устарел, но все еще актуален для ответа.
Что для вас «базовая фильтрация SSL»? Вы хотите отфильтровать HTTPS (HTTP-протокол с SSL-оболочкой) или отфильтровать все на порт 443?
ufdbGuard - это URL-фильтр для Squid, который помимо простой фильтрации на основе URL-адресов также проверяет порт 443, чтобы узнать, какой тип трафика проходит Кальмар. ufdbGuard распознает SSL + HTTP, SSH, различные туннели / VPN, различные основные чат-приложения, а нераспознанные протоколы помечаются как «неизвестный протокол». ufdbGuard может блокировать каждый тип и может принудительно использовать действующие сертификаты SSL и использование полного доменного имени.