it-swarm-ja.com

特定のHTTPSトラフィックをブロックする方法は?

HTTPSの説明 によると:

ハイパーテキスト転送プロトコルセキュア(HTTPS)は、ハイパーテキスト転送プロトコル(HTTP)とSSL/TLSプロトコルを組み合わせたものです。暗号化された通信とネットワークWebサーバーの安全な識別を提供します。

そして SSL/TLS へ:

TLSプロトコルを使用すると、クライアントサーバーアプリケーションは、盗聴や改ざんを防ぐように設計された方法でネットワークを介して通信できます。

ほとんどのプロトコルはTLS(またはSSL)の有無にかかわらず使用できるため、クライアントがTLS接続を行っているかどうかをサーバーに示す必要があります。これを実現するには、主に2つの方法があります。1つのオプションは、TLS接続に異なるポート番号を使用することです(たとえば、HTTPSの場合はポート443)。もう1つは、通常のポート番号を使用し、プロトコル固有のメカニズム(たとえば、メールおよびニュースプロトコルのSTARTTLS)を使用してサーバーが接続をTLSに切り替えるようにクライアントに要求させることです。

この説明から、HTTPSトラフィックは暗号化された443 TCPポートを使用します。つまり、プロキシがトラフィックを解釈して不要なサイトをブロックすることは暗号化されているため不可能であることがわかります。

私の会社では、人々は通常https://を使用して、Facebook、hotmail、および企業プロキシによってブロックされている別のWebサイトにアクセスします。だから、私は疑問に思っていました、プロキシまたは実際のプロキシソリューションと統合された別の技術を使用して、特定のサイトのhttpsトラフィックさえもブロックすることは可能ですか? httpsレイヤーで特定のサイトをフィルタリングまたはブロックすることは可能ですか?

3
Diogo

質問で引用した例は、URLが暗号化されていないため、プロキシを使用して簡単に実現でき、ブラックリストに簡単に追加できますが、ISは、通過するHTTPSトラフィックを検査できます。プロキシ。

エンタープライズ展開では通常、インストールされているエンドユーザーマシン全体に内部的に信頼できる証明書を展開することでこれを実現します。プロキシサーバーへの接続は、この証明書を介して行われます(ユーザーがそれを認識しているかどうかに関係なく)。プロキシソフトウェアはペイロードを復号化し、検査して、その有効性を判断できます。エンドサイトへの転送接続は、「実際の」証明書を使用して行われます。

これは、SSLとTLSの信頼できるモデルを破るため、実際には少し悲しい状況ですが、実際にそれが行われていることはわかっています。

4
GodEater

snortやsuricataのような侵入防止(インライン)システムを備えたhttpsサイトブロックは非常に単純です。

上記の両方IPSは同じ署名を使用できます。

ドメイン、ポート、IPアドレス、ファイル拡張子ブロックのIPSルール)を次に示します。

http://kb.simplewallsoftware.com/help-faq/answers/useful-suricata-rules/

1
radiosh