BYOD e Google SSL

3

Eu gerencio uma rede escolar com um programa BYOD. Eu tenho um proxy linux (squid) com filtragem de conteúdo por Mind (fork of dansguardian). Tudo funciona bem em HTTP, o problema é quando as crianças começam a usar HTTPS. Meu maior problema é que a Apple mudou para usar HTTPS ao fazer uma pesquisa no google safari. Isso permite que as crianças façam pesquisas sem o MinD forçando uma pesquisa segura. Eu gostaria de saber o que eu poderia fazer sobre isso. Há alguma maneira para parar isso? Agradecemos antecipadamente por qualquer ajuda!

    
por lampwins 21.02.2013 / 17:29

3 respostas

1

Agora é possível pedir ao Google para redirecionar pesquisas seguras para o http - link . página de ajuda do google sobre o assunto. Eles sugerem usar truques de DNS, isso pode ser difícil no Windows 2008r2 - eu pessoalmente pereferir uma reescrita de cabeçalho de conexão para atingir o mesmo objetivo, o que pode ser feito em todos os bons filtros de web (e alguns ruins).

Eu trabalho para o Smoothwall que fornece um filtro com esse recurso, e a capacidade de fazer outros tipos de filtragem SSL também. Eu sou parcial, mas sugiro que você dê uma olhada. Quando se trata de coisas difíceis, é muito mais fácil do que rodar o seu. No interesse da imparcialidade, existem outros filtros da Web por aí:)

    
por 03.06.2013 / 22:30
4

O Squid suporta um recurso chamado SslBump usando o Bump-Server-First . Isso basicamente significa que os navegadores tentarão estabelecer uma conexão segura entre eles e o host. O cache do Squid obtém a conexão interceptada e o Squid estabelece a conexão externa. Em seguida, conclui a conexão segura com o usuário. O Squid é essencialmente a autoridade de certificação para a porção user / squid, de forma que ele pode decriptografar o tráfego e armazená-lo em cache / filtrar.

Como isso é algo que as pessoas que projetaram o SSL pensavam que poderia ser um vetor de ataque, há alguns obstáculos a serem superados. O Squid suporta geração de certificados dinâmicos para que os domínios cert coincidam com o lado do cliente e tenham alguns dos originais cert informações passam para o cliente . Tudo isso pode ser feito de forma transparente se os dispositivos do seu cliente puderem confiar no seu certificado de CA. Esses bits um pouco mais difíceis se as pessoas estiverem usando seus próprios dispositivos.

A coisa a ser notada é que seu cache agora está no controle da confiança de terceiros para esses dispositivos. A informação que é imitada nas certs dinâmicas vai de alguma forma mitigar isso, mas é possível configurar o squid para confiar cegamente em coisas que poderiam ser ruins para os usuários, se alguém fizesse um homem real no meio ataque mais longe do seu proxy , por exemplo.

    
por 21.02.2013 / 21:00
1

Não há muito o que você pode fazer. Você pode gerar um certificado SSL auto-assinado para google.com e MITM o tráfego, e então você poderá inspecioná-lo e bloqueá-lo conforme necessário, exceto que isso depende de como wiley as crianças são, e se eles se apaixonar pelo processo de aceitar o seu certificado auto-assinado.

Também é provavelmente ilegal. Você pode bloquear totalmente o tráfego HTTPS, mas isso provavelmente quebraria todos os tipos de coisas.

    
por 21.02.2013 / 17:32