Como bloquear tráfego HTTPS específico?

Navegue suas respostas
2

De acordo com a descrição HTTPS :

Hypertext Transfer Protocol Secure (HTTPS) is a combination of Hypertext Transfer Protocol (HTTP) with SSL/TLS protocol. It provides encrypted communication and secure identification of a network web server.

E para SSL / TLS :

O protocolo TLS permite que aplicativos cliente-servidor se comuniquem através de uma rede de uma maneira projetada para evitar interceptação e adulteração.

Since most protocols can be used either with or without TLS (or SSL) it is necessary to indicate to the server whether the client is making a TLS connection or not. There are two main ways of achieving this, one option is to use a different port number for TLS connections (for example port 443 for HTTPS). The other is to use the regular port number and have the client request that the server switch the connection to TLS using a protocol specific mechanism (for example STARTTLS for mail and news protocols).

A partir dessas explicações, podemos entender que o tráfego HTTPS usa 443 portas TCP com criptografia, quer dizer, não é possível que um proxy interprete o tráfego e bloqueie sites indesejados porque ele é criptografado.

Na minha empresa, as pessoas geralmente usam https: // para acessar o facebook, o hotmail e outros sites bloqueados pelo proxy corporativo. Então, eu estava pensando, é possível bloquear até mesmo o tráfego https para sites específicos usando um proxy ou outra técnica além e integrada com a solução de proxy real? É possível filtrar ou bloquear sites específicos por meio da camada https?

    
por Diogo 17.02.2012 / 16:08

3 respostas

3

Embora o exemplo citado em sua pergunta seja trivial para ser alcançado com um proxy, pois os URLs não são criptografados e, portanto, fáceis de adicionar a uma lista negra, É possível inspecionar o tráfego HTTPS que passa por um proxy.

As implementações corporativas geralmente conseguem isso implantando um certificado confiável internamente em todas as máquinas de usuário final instaladas. As conexões com o servidor proxy são feitas por meio desse certificado (independentemente de os usuários perceberem isso ou não), em que o software proxy pode descriptografar a carga útil, inspecioná-la e decidir sua validade. A conexão para o site final é feita com certificados "reais".

Este é um estado de coisas um pouco triste na verdade, pois quebra o modelo confiável de SSL e TLS - mas eu sei de fato que é feito - como acontece onde eu trabalho.

    
por 17.02.2012 / 16:26
1

link

Ambos os IPS acima podem usar as mesmas assinaturas.

Aqui estão algumas regras do IPS para domínio, porta, endereço IP e bloqueio de extensão de arquivo.

link

    
por 16.01.2014 / 14:01
-2

Descobri que bloquear o ponto de extremidade IP para o serviço HTTPS é muito eficaz. Eu tenho sido capaz de bloquear (firewall) o acesso ao facebook usando este método. Aqui está o escopo do IP do Facebook 

31.13.24.0/21
31.13.64.0/18
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
31.13.71.0/24
31.13.73.0/24
31.13.74.0/24
31.13.76.0/24
31.13.77.0/24
31.13.78.0/24
31.13.79.0/24
31.13.82.0/24
31.13.83.0/24
31.13.84.0/24
31.13.85.0/24
31.13.86.0/24
31.13.87.0/24
31.13.90.0/24
31.13.91.0/24
31.13.93.0/24
31.13.96.0/19
66.220.144.0/20
66.220.144.0/21
66.220.152.0/21
69.63.176.0/20
69.63.176.0/21
69.63.184.0/21
69.171.224.0/19
69.171.224.0/20
69.171.239.0/24
69.171.240.0/20
69.171.255.0/24
74.119.76.0/22
103.4.96.0/22
173.252.64.0/19
173.252.96.0/19
179.60.192.0/22
179.60.192.0/24
179.60.193.0/24
185.60.216.0/22
204.15.20.0/22
    
por 27.03.2015 / 17:51

Tags

incapaz de conectar internet dongle no fedora compilador para c ++ (pensou que era g ++?)