Bloqueio de conteúdo HTTPS com um Watchguard (Websense) vs. SQUID e SQUIDGuard usando o modo Proxy transparente

Navegue suas respostas
1

Estou tentando comparar essas duas soluções quando se trata de bloqueio de conteúdo:

1 - Um appliance pFSense com pacotes SQUID e SQUIDGUARD configurados

2 - Um WatchWard FW que usa o Websense

Então, para bloquear algo como link , usando o Squidguard aparentemente eu tenho que executar um ataque MITM, ou desistir da opção de usar o modo Transparent Proxy, mas o Watchguard consegue bloquear a mesma página sem perder a opção Transparent proxy. Alguém pode me ajudar a entender como isso funciona, por favor?

    
por peppp 14.11.2014 / 10:26

1 resposta

2

O Watchguard tem a inspeção de conteúdo completo HTTPS da mesma forma, instalando um certificado SSL e fazendo um ataque MITM (Man-In-The-Middle) em todo o tráfego, mas pode bloquear nomes de domínio sem recorrer a isso olhando para o campo Indicador do Nome do Servidor enviado pelo navegador para que o servidor possa identificar com qual certificado SSL responder e olhando para o certificado SSL retornado do servidor para ver a quais nomes de domínio ele está assinado.

HTTPS-Proxy: Domain Names

If your Firebox or XTM device runs Fireware XTM v11.9.4 or higher, you can configure your device to allow or deny access to a site, perform content inspection, or bypass content inspection based on the Domain Names rules you create. To match the specified pattern in your Domain Names rules against the name specified in the connection server, the SNI (Server Name Indication), the certificate common name (CN), or the IP address of the server is used.

Because it can determine the actual server name from the HTTPS traffic headers, the SNI is the most accurate option. A certificate CN is often shared between several services from the same site. For example, many Google services such as YouTube and Google Maps share the same certificate CN. If you block access to YouTube based on the certificate CN, access is also blocked to Google Maps and other services with the same CN. The certificate CN is used if the SNI is not available.

http://www.watchguard.com/help/docs/wsm/xtm_11/en-US/index.html#en-US/proxies/https/https_domain_names_c.html%3FTocPath%3DProxy%2520Settings%7CAbout%2520the%2520HTTPS-Proxy%7C_____3

    
por 27.05.2015 / 08:11

Tags

Programando backup dos arquivos de despejo do KACE a partir da versão 6? Replicação de GlusterFS entre DCs sem sobrecarga desnecessária?