Ho un amico che possiede un bar e ha una rete pubblica. Mi ha chiesto un modo per impedire ai clienti di visitare qualsiasi sito Web che presenta una potenziale minaccia per l'amministratore (siti Web che hanno contenuti sessuali o qualsiasi tipo di estremismo). Come posso bloccare tali siti?
Quello di cui hai bisogno è un filtro web . Questo crea la possibilità di ispezionare il traffico e filtrarlo in base alla destinazione.
Si noti che, a differenza dell'altra risposta, non è necessaria alcuna intercettazione SSL poiché tutto ciò che si sta facendo è rivedere i nomi e gli indirizzi IP.
In genere, utilizzerai un prodotto che utilizza elenchi di blocchi aggiornati dinamicamente, generalmente raggruppati in modo da poter disabilitare l'accesso a intere categorie come il gioco d'azzardo molto facilmente.
Ci sono molti prodotti che lo faranno a diversi prezzi. Un esempio è Sophos UTM, anche se questo è probabilmente eccessivo per le vostre esigenze in quanto è uno strumento aziendale. Trend e la maggior parte degli altri fornitori di sicurezza riconosciuti hanno tutti gli strumenti di filtro web disponibili.
Se vuoi qualcosa di veloce e sporco, puoi anche cambiare il servizio DNS per usare OpenDNS. OpenDNS fornisce anche elenchi di filtri web aggiornati dinamicamente, ma funzionano semplicemente impedendo una ricerca di indirizzi IP in modo che sia possibile ignorare le restrizioni, in genere impostando manualmente i propri server DNS.
Puoi bloccare siti web inappropriati utilizzando il servizio OpenDNS Familyshield per configurare quali siti web possono / non possono essere visti sul tuo rete
Suggerirei di utilizzare un cosiddetto proxy di intercettazione SSL. Per consentire all'utente di installare il certificato CA Root, è possibile utilizzare un captive portal per forzare l'utente finale a installare CA Root per ottenere l'accesso a Internet.
Ecco come si fa: prima, hai una pagina del portale. Questa pagina del portale deve utilizzare un certificato VALID. Questa pagina portale, chiamiamola captive.yourdomain.tld, ha un certificato valido emesso da una CA valida già in trust.
In questa pagina del portale hai istruzioni su come scaricare il certificato CA .cer e su come importarlo nel browser.
Ora, da captive.yourdomain.tld, imposti HSTS con subDomains attivati.
Quindi, hai un iframe 1x1, da cui viene caricato, diciamo validate.captive.yourdomain.tld. Questo validate.captive.yourdomain.tld utilizza un certificato del server firmato dal certificato di intercettazione del proxy CA. Anche questa pagina validate.captive.yourdomain.tld ha un modulo che invia automaticamente (utilizzando un javascript) credenziali valide per accedere alla rete WLAN. La migliore opzione qui è usare i codici TOTP o qualcosa del genere, per impedire alle persone di aggirarlo.
Se vuoi, potresti avere una pagina dei termini di servizio, ma il pulsante "I Agree" si trova all'interno di detto modulo TOTP dietro Iframe (invece di un invio automatico di JavaScript, quindi l'iframe deve essere leggermente più grande). Se l'utente non ha installato la CA principale, il pulsante "Accetto" non verrà caricato e l'utente non sarà in grado di accettare i termini.
Il risultato è un captive portal, che richiede l'installazione di un certificato radice CA nel browser per ottenere l'accesso a Internet. Poiché la pagina viene sottoposta a boot con un vero certificato, all'utente verrà impedito l'accesso (da parte dell'HSTS nessuna pagina di blocco di ricorso dell'utilizzatore) se validate.captive.yourdomain.tld non riesce a convalidare, quale sarebbe se non fosse stata importata la root CA.
L'utente non ha bisogno di autenticarsi sul captive portal, accade automaticamente purché tu abbia importato la root CA.
Ecco un video come appare: link (Ma può essere implementato su qualsiasi dispositivo captive portal che consente di caricare una pagina di autenticazione personalizzata)
Quindi, quando hai fatto questo, puoi utilizzare qualsiasi proxy intermedio con questo proxy di intercettazione SSL per filtrare il contenuto per parole chiave, URL o qualsiasi cosa tu ritenga opportuno.
Leggi altre domande sui tag network