Я пытаюсь получить разрешение на использование правила брандмауэра из внешней системы Windows в сети нашей компании, чтобы получить доступ к прокси-серверу и вернуться в Интернет. Мои потребности будут включать использование веб-браузера, например, для предоставления имени пользователя / пароля. Моя компания требует, чтобы все правила брандмауэра проходили через них только зашифрованный трафик. Хотя передача на прокси-сервер сама по себе не зашифрована, утверждающие пояснили, что до тех пор, пока пакеты, проходящие через брандмауэр, сами зашифрованы (например, доступ к веб-сайтам на основе TLS (HTTPS)), это приемлемо.

У меня вопрос, как я могу гарантировать, что при просмотре разрешены только запросы с трафиком HTTPS?

Самое радикальное решение - использовать только curl и / или wget , анализировать HTML-код вручную и отправлять запросы вручную на основе ответов, гарантируя каждый раз, когда используется HTTPS. Помимо очевидного количества времени, которое потребуется, это также будет означать, что страницы с поддержкой javascript и т.д. Не будут работать должным образом.

Я открыт для ряда решений, таких как:

  1. Плагины Firefox/Chrome
  2. Запуск локального прокси-сервера (такого как CNTLM) на внешней машине, который перенаправляет на удаленный прокси-сервер только в том случае, если URL соответствует шаблону (я посмотрел руководство по CNTLM, но не могу найти в нем список параметров командной строки или конфигурации). разрешить только определенные шаблоны URL)
  3. Использование специального браузера, который бы предоставил такую возможность
  4. Есть ли способ настроить прокси-туннель (имея в виду, что он должен быть доступен в Windows), который шифрует трафик с одной стороны и расшифровывает его с другой, тогда ничего из этого не потребуется

Обратите внимание, что мне не нужно беспокоиться о трафике, отправляемом другими приложениями, кроме моего веб-браузера, поскольку это применимо только в том случае, если я специально настроил прокси в этом приложении

|источник

1 ответ1

1

Есть ли способ настроить прокси-туннель (имея в виду, что он должен быть доступен в Windows), который шифрует трафик с одной стороны и расшифровывает его с другой, тогда ничего из этого не потребуется

Да, чаще всего для этого вы используете VPN (например, IKEv2, OpenVPN или какой-либо проприетарный продукт), поскольку он шифрует весь IP-трафик и не ограничивается только HTTP. Люди во внешних сетях очень часто подключаются к локальной сети своей компании с помощью программного обеспечения VPN.

Есть также программное обеспечение, которое туннелирует отдельные TCP-соединения по TLS, например, stunnel.

Я хотел бы предположить, что требование VPN или другого безопасного транспорта является наилучшим методом, потому что он обеспечивает соблюдение политики на стороне компании и предотвращает несчастные случаи, такие как клиент теряет /"забывает" свою конфигурацию.

С другой стороны, VPN-соединение с сетью компании защищает только трафик между вами и прокси-сервером, но ничего не делает для обеспечения безопасности запросов, пересылаемых прокси-сервером. (Я не знаю, касается ли ваша политика только входящих или исходящих соединений.) Если это требование, оно должно быть реализовано на самом прокси.

Плагины Firefox/Chrome

Для ручной настройки Firefox поддерживает отдельные адреса прокси-серверов для HTTP и HTTPS ("SSL"); раньше имелись расширения для настройки этого сайта.

Многие браузеры поддерживают файл PAC, который может иметь собственную логику для выбора прокси на основе URL.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .