Proxy Bluecoat: permite o acesso HTTPS a sites enquanto não é permitido o tunelamento TCP (SSH /…)

2

Temos uma configuração de proxy explícita (= não transparente) usando um BlueCoat ProxySG (software 6.4.3.1).

Quando eu criar regras da camada de acesso à web como:

  • Protocolo: HTTPS - > Todos os HTTPS: permitir,
  • Protocolo: todo o encapsulamento TCP: DENY e

Ainda posso fazer um SSH fora do proxy.

Inversamente ao especificar algo nos moldes de

  • Protocolo: todo o shell: DENY

(sem declaração explícita de HTTPS) Eu também posso fazer o SSH através do proxy.

A única coisa que ajuda (com o SSH) é especificar All TCP Tunneling: DENY . No entanto, nesse caso, o HTTPS também não funciona mais.

Assim, o HTTPS parece ser tratado como um túnel TCP. Isso também é o que o arquivo de rastreamento mostra em uma solicitação HTTPS:

 CONNECT tcp://www.xxx.com:443/

Eu sei que, desde que alguém tenha permissão para criar conexões criptografadas de saída, provavelmente será capaz de fazer quase qualquer coisa funcionar. Mas eu não quero tornar isso muito fácil.

Então, como reconhecer o HTTPS sem permitir muitas outras coisas? (Provavelmente impossível sem configurar as coisas do MitM etc.) E por que existe um objeto chamado HTTPS e quando eu uso ele não muda nada. Eu realmente não entendo essa parte.

    
por Marki 18.08.2013 / 13:49

1 resposta

0

Tudo bem,

procurando por um cabeçalho User-Agent que não exista no caso de um SSH ou similar é a resposta oficial.

Uma sessão HTTPS regular normalmente envia esses cabeçalhos junto com a chamada ao método HTTP CONNECT xxx: 443 (no caso de uma conexão de túnel). Na verdade, só permitimos conexões para a porta 80 no proxy, de modo que tudo que não recebe HTTP (não mais) seja encapsulado.

É segurança por obscuridade, mas acho que muito mais não pode ser feito neste caso e com este dispositivo ...

    
por 20.08.2013 / 19:35