Bloqueie um site em HTTPS e permita-o em HTTP (para impor Safesearch)

5

Eu gostaria de bloquear alguns sites em sua versão HTTPS e permitir que eles em HTTP. Os principais sites envolvidos são o Youtube e o Google Images / Videos. Isso ocorre porque, na versão HTTP, posso impor o filtro Safesearch nessas plataformas, enquanto não posso na versão HTTPS. Para mim, essa é uma questão muito séria que estraga muitas coisas boas sobre os recursos do Safesearch que o Google oferece.

Existe algum software / configuração que possa fazer isso?

Estou usando um software de filtragem (K9 Web Protection) que impõe o Safesearch na versão HTTP dos sites que mencionei, mas não é possível fazê-lo na versão HTTPS.

Eu precisaria implementar isso no nível do computador, eu acho, porque é muito fácil contornar as soluções de filtragem do roteador, especialmente quando elas dependem da configuração do DNS.

    
por Ismael Lemhadri 28.06.2012 / 01:41

1 resposta

4

Existem duas maneiras de fazer isso:

1) Bloqueie-o no firewall, com base no endereço IP e na porta de destino. Por exemplo, quando eu procuro o YouTube no meu local, recebo:

C:\Users\mark.henderson>nslookup
Default Server:  enetsdc2.enets.local
Address:  192.168.161.2

> youtube.com
Server:  enetsdc2.enets.local
Address:  192.168.161.2

Name:    youtube.com
Addresses:  2404:6800:800b::88
          74.125.237.135
          74.125.237.136
          74.125.237.142
          74.125.237.128
          74.125.237.134
          74.125.237.129
          74.125.237.131
          74.125.237.130
          74.125.237.133
          74.125.237.132
          74.125.237.137

>

O que lhe dá uma lista bastante clara do que bloquear e, obviamente, o HTTPS é a porta 443 . Então, se você bloquear a saída para esses endereços IP em 443 , então isso é um começo. Repita e enxague para cada domínio.

O problema é que isso bloqueará apenas o acesso inicial. Pode haver outras maneiras de acessar os vídeos, como em um subdomínio que usa um endereço IP diferente. Por exemplo, o Google Maps é fornecido a partir de dezenas e dezenas de subdomínios e cada um deles poderia ter um endereço IP diferente. Tentativa e erro é praticamente a maneira mais simples de fazer isso.

2) Homem na inspeção SSL Middle. Eu acredito que o Microsoft TMG Firewall pode fazer isso (embora eu não tenha realmente verificado). Basicamente, a conexão SSL entre o YouTube e sua rede termina no seu firewall. O firewall então descriptografa a sessão, inspeciona o tráfego, aplica seus filtros e, em seguida, criptografa novamente com seu próprio certificado confiável , copiando os detalhes do certificado original.

Para que isso funcione, o firewall basicamente atua como sua própria CA, emitindo certificados para os domínios que não são de sua propriedade. Para que isso seja perfeito, cada navegador / cliente deve confiar na CA dos firewalls, pois os certificados serão emitidos por ela, em vez do certificado real. Isso é facilmente detectado por qualquer pessoa com algum conhecimento (inspecionando a cadeia de certificados). E, se configurado incorretamente, dará a cada usuário um erro de certificado.

Em suma, sugiro o primeiro método, pela simples razão de que isso significa que você não vai descriptografar acidentalmente as sessões bancárias on-line dos contadores, portanto não pode ser responsabilizado se $ 100.000 desaparecerem da conta bancária que o CEO mantém sua amante.

Além de seus comentários abaixo, há uma terceira opção, que somente o Google fornece, tanto quanto eu sei. Isso só funcionará se você estiver em uma rede que executa seus próprios servidores DNS e souber como substituir as entradas de DNS público de determinados sites.

De acordo com a Pesquisa segura do Google e a Pesquisa SSL para escolas , você pode substituir o registro A para www.google.com com cname para nosslsearch.google.com . Isso executará um handshake SSL inicial, mas redirecionará o usuário imediatamente para o não-SSL para pesquisa.

Isso não funcionará para o YouTube ou outros serviços, a menos que eles também ofereçam esse serviço.

Outras notas: Você está correto em afirmar que o bloqueio de DNS é um método de bloquear o acesso, já que ele pode ser ignorado. No entanto, se você estiver em uma rede corporativa, é provável que você esteja executando seu próprio DNS internamente, para que você possa bloquear o tráfego de DNS fora de sua rede, exceto dos servidores DNS internos explicitamente permitidos. Mas por outro lado, você só pode usar DNS para bloquear domínios , não protocolos. Assim, você pode bloquear o youtube.com, mas não permitir isso em HTTP e bloqueá-lo em HTTPS.

Você está incorreto ao pensar que o roteador é o lugar errado para fazer isso. Na verdade, é o único lugar que você pode fazer se quiser a maior chance de sucesso. Como os roteadores (e os firewalls por trás deles) são as únicas maneiras de entrar e sair de sua rede, você pode ter 99% de que todo o tráfego que flui para a Internet está saindo por meio de seus controles. (os outros 1% são pessoas que ligam seus PCs aos seus smartphones para obter acesso à Internet, mas isso é uma questão de gerenciamento / social, e não técnica).

    
por 28.06.2012 / 02:01