Bloqueia todo o tráfego não-HTTPS ao navegar

Navegue suas respostas
0

Estou tentando obter a aprovação de uma regra de firewall de um sistema Windows externo para a rede de nossa empresa para acessar um proxy para voltar à Internet. Minhas necessidades envolverão o uso de um navegador da Web, por exemplo, para fornecer nome de usuário / senha. Minha empresa exige que todas as regras de firewall tenham apenas tráfego criptografado passando por elas. Embora o transporte para o proxy não seja criptografado, os aprovadores esclareceram que, enquanto os pacotes que passam pelo firewall estiverem criptografados (por exemplo, acessar sites baseados em TLS (HTTPS)), isso é aceitável.

Minha pergunta é, como posso garantir que, ao navegar, somente solicitações com tráfego HTTPS sejam permitidas?

A solução drástica é usar apenas curl e / ou wget , analisando o HTML manualmente e enviando solicitações manualmente com base nas respostas, garantindo cada vez que o HTTPS é usado. Além da quantidade óbvia de tempo, isso também significaria que as páginas ativadas por javascript, etc., não funcionariam como esperado.

Estou aberto a várias soluções, como:

  1. plug-ins do Firefox / Chrome
  2. Execução de um proxy local (como o CNTLM) na máquina externa que somente encaminha ao proxy remoto se o URL corresponder a um padrão (consultei o manual do CNTLM, mas não consigo encontrá-lo, relaciono qualquer linha de comando ou opção de configuração para permitir apenas determinados padrões de URL)
  3. Usando um navegador especial que forneceria esse tipo de opção
  4. Existe uma maneira de configurar um túnel de proxy (tendo em mente que ele teria que estar disponível no Windows), que criptografa o tráfego de um lado e o descriptografa do outro lado, então nada disso seria necessário

Observe que não preciso me preocupar com o tráfego enviado por outros aplicativos além do meu navegador da Web, pois isso é aplicável apenas quando eu configurei especificamente o proxy nesse aplicativo

    
por Kidburla 09.05.2018 / 14:26

1 resposta

1

Is there a way to configure a proxy tunnel (bearing in mind it would have to be available on Windows) which encrypts the traffic on one side and decrypts it on the other side, then none of this would be necessary

Sim - normalmente você usaria uma VPN para isso (como IKEv2, OpenVPN ou algum produto proprietário), pois criptografa o tráfego IP all e não se limita a apenas HTTP. É muito comum as pessoas em redes externas se conectarem à LAN de suas empresas usando o software VPN.

Existem também softwares que encapsulam conexões TCP individuais por TLS, como stunnel.

Eu sugeriria que exigir uma VPN ou outro transporte seguro é o melhor método, pois ela impõe a política do lado da empresa e evita acidentes, como o cliente perder / "esquecer" sua configuração.

Por outro lado, a VPN na rede da empresa apenas protege o tráfego entre você e o proxy, mas não faz nada para impor que os pedidos sejam encaminhados pelo proxy são seguros. (Eu não sei se sua política é apenas sobre conexões de entrada ou de saída.) Se isso é um requisito, ele deve ser implementado no próprio proxy.

Firefox/Chrome plugins

Para configuração manual, o Firefox suporta endereços de servidor proxy separados para HTTP e HTTPS ("SSL"); costumava ter extensões para configurar isso por site.

Muitos navegadores suportam um arquivo PAC , que pode ter lógica personalizada para seleção de proxy com base na URL.

    
por 09.05.2018 / 15:07

Tags

rede homeplug Como desabilitar F9 = Pesquisar no teclado com fio da Dell KB216t (Windows 7)