Esiste una soluzione per bloccare il traffico HTTPS utilizzando il filtro URL?

Dall'esterno di SSL, puoi vedere solo il nome del server (il client lo invia come parte di Estensione del nome del server nelle prime fasi dell'handshake SSL e appare anche nel certificato inviato dal server); questo può essere sufficiente per filtrare alcuni "URL". Per esempio. nel tuo esempio, puoi vedere che la connessione è SSL e per www.facebook.com ; se vuoi bloccare l'intero Facebook, questa è un'informazione sufficiente; l'URL effettivo non è necessario.

Se vuoi qualcosa di più fine, devi leggere l'URL stesso, che è protetto da SSL. Per questo, devi interrompere SSL in qualche modo. Esistono strumenti che eseguono un attacco Man-in-the-Middle su SSL (si basano sull'installazione di una CA root controllata dal filtro nel sistema client). Un noto strumento commerciale è ProxySG di Blue Coat . Ci sono anche soluzioni open source . In ogni caso, questi sistemi richiedono un qualche tipo di accesso privilegiato al sistema client (installazione CA root aggiuntiva); gli utenti esperti di computer ne saranno a conoscenza. Si può anche dire che tali strumenti "rompono le aspettative degli utenti sulla privacy" e mentre tecnicamente lavorano , possono anche innescare un clima tossico di sfida su un posto di lavoro. Usare con cura.

Sono a conoscenza di alcuni prodotti sul mercato che sono in grado di fare questo o simili.

Gli approcci che usano sono:

• Per la corrispondenza degli URL, è necessario essere l'uomo nel mezzo. Alcuni firewall e sistemi di prevenzione delle intrusioni lo supportano a scopi amministrativi (di controllo). In questo caso sono in grado di filtrare il traffico proprio come al solito http (con una significativa penalizzazione delle prestazioni).
• Se si desidera abbinare semplicemente il sito anziché l'URL esatto, è possibile utilizzare il certificato all'interno della connessione SSL / TLS per scopi di filtraggio. Ciò consentirà effettivamente di filtrare per es. intero Facebook.

Normalmente il normale filtraggio dei contenuti blocca http, ma non https. Ci sono altre cose che possono essere fatte per bloccare determinati siti https. 1. È possibile creare una regola firewall per https agli indirizzi IP del sito specificato. 2. Aggiungi un record DNS FQDN nel firewall che punti * .facebook.com a 0.0.0.0.

Non è la soluzione migliore, ma un componente aggiuntivo del browser come Script Blocker per Chrome può filtrare URL / domini dopo https / SSL una volta decodificati i dati web e pronti per il rendering all'interno del browser.

Abbiamo implementato il filtraggio HTTPS con la cache di squid usando l'SNI. Funziona bene in modalità SSL trasparente. Anche gli ACL sono implementati. Abbiamo integrato la casella squid con Cisco ASA come server WCCP ed è in produzione.