Existem duas maneiras de fazer isso:
1) Bloqueie-o no firewall, com base no endereço IP e na porta de destino. Por exemplo, quando eu procuro o YouTube no meu local, recebo:
C:\Users\mark.henderson>nslookup Default Server: enetsdc2.enets.local Address: 192.168.161.2 > youtube.com Server: enetsdc2.enets.local Address: 192.168.161.2 Name: youtube.com Addresses: 2404:6800:800b::88 74.125.237.135 74.125.237.136 74.125.237.142 74.125.237.128 74.125.237.134 74.125.237.129 74.125.237.131 74.125.237.130 74.125.237.133 74.125.237.132 74.125.237.137 >
O que lhe dá uma lista bastante clara do que bloquear e, obviamente, o HTTPS é a porta 443
. Então, se você bloquear a saída para esses endereços IP em 443
, então isso é um começo. Repita e enxague para cada domínio.
O problema é que isso bloqueará apenas o acesso inicial. Pode haver outras maneiras de acessar os vídeos, como em um subdomínio que usa um endereço IP diferente. Por exemplo, o Google Maps é fornecido a partir de dezenas e dezenas de subdomínios e cada um deles poderia ter um endereço IP diferente. Tentativa e erro é praticamente a maneira mais simples de fazer isso.
2) Homem na inspeção SSL Middle. Eu acredito que o Microsoft TMG Firewall pode fazer isso (embora eu não tenha realmente verificado). Basicamente, a conexão SSL entre o YouTube e sua rede termina no seu firewall. O firewall então descriptografa a sessão, inspeciona o tráfego, aplica seus filtros e, em seguida, criptografa novamente com seu próprio certificado confiável , copiando os detalhes do certificado original.
Para que isso funcione, o firewall basicamente atua como sua própria CA, emitindo certificados para os domínios que não são de sua propriedade. Para que isso seja perfeito, cada navegador / cliente deve confiar na CA dos firewalls, pois os certificados serão emitidos por ela, em vez do certificado real. Isso é facilmente detectado por qualquer pessoa com algum conhecimento (inspecionando a cadeia de certificados). E, se configurado incorretamente, dará a cada usuário um erro de certificado.
Em suma, sugiro o primeiro método, pela simples razão de que isso significa que você não vai descriptografar acidentalmente as sessões bancárias on-line dos contadores, portanto não pode ser responsabilizado se $ 100.000 desaparecerem da conta bancária que o CEO mantém sua amante.
Além de seus comentários abaixo, há uma terceira opção, que somente o Google fornece, tanto quanto eu sei. Isso só funcionará se você estiver em uma rede que executa seus próprios servidores DNS e souber como substituir as entradas de DNS público de determinados sites.
De acordo com a Pesquisa segura do Google e a Pesquisa SSL para escolas , você pode substituir o registro A
para www.google.com
com cname
para nosslsearch.google.com
. Isso executará um handshake SSL inicial, mas redirecionará o usuário imediatamente para o não-SSL para pesquisa.
Isso não funcionará para o YouTube ou outros serviços, a menos que eles também ofereçam esse serviço.
Outras notas: Você está correto em afirmar que o bloqueio de DNS é um método de bloquear o acesso, já que ele pode ser ignorado. No entanto, se você estiver em uma rede corporativa, é provável que você esteja executando seu próprio DNS internamente, para que você possa bloquear o tráfego de DNS fora de sua rede, exceto dos servidores DNS internos explicitamente permitidos. Mas por outro lado, você só pode usar DNS para bloquear domínios , não protocolos. Assim, você pode bloquear o youtube.com, mas não permitir isso em HTTP e bloqueá-lo em HTTPS.
Você está incorreto ao pensar que o roteador é o lugar errado para fazer isso. Na verdade, é o único lugar que você pode fazer se quiser a maior chance de sucesso. Como os roteadores (e os firewalls por trás deles) são as únicas maneiras de entrar e sair de sua rede, você pode ter 99% de que todo o tráfego que flui para a Internet está saindo por meio de seus controles. (os outros 1% são pessoas que ligam seus PCs aos seus smartphones para obter acesso à Internet, mas isso é uma questão de gerenciamento / social, e não técnica).