Я работаю в школе, как ИТ-инженер. У нас есть законный приказ от нашего государственного интернет-провайдера собирать журналы о поведении наших пользователей в сети, выявлять зараженные компьютеры и так далее.

Мне нужно отфильтровать весь трафик, ну большая часть его - 80 и 443 порта.

Я знаю, как фильтровать порт 80, но как фильтровать трафик SSL, не выдавая ошибки в браузере клиента, не манипулируя устройствами учеников?

У меня есть доступ к сертификатам DigiCert, которые я могу получить. Поможет ли получить реальный сертификат от доверенного центра сертификации, чтобы не было ошибок?

Цель состоит в том, чтобы иметь прозрачный логинг-прокси с SSO (AD), без необходимости устанавливать сертификаты на компьютеры, без установки прокси на ПК, без каких-либо ошибок.

|источник

2 ответа2

1

Как отфильтровать трафик SSL, не выдавая ошибки в браузере клиента, не переключаясь с устройствами учеников?

К счастью, вы не можете!

Потому что, если бы ты мог, любой мог и не было бы Интернета, как мы его знаем.

Поможет ли получить реальный сертификат от доверенного центра сертификации, чтобы не было ошибок?

Нет, это не так, потому что DigiCert подпишет сертификат для домена, который у вас есть, и может подтвердить право собственности (и они это подтвердят).

Этот сертификат затем может быть использован для защиты передачи между любым браузером и вашим школьным сервером (доступным через домен, для которого он был выпущен), не опасаясь, что какой-то ИТ-специалист где-то перехватывает связь " без необходимости устанавливать сертификаты на компьютеры, без настройки прокси в ПК, без ошибок ".

Перефразируя: проверка HTTPS возможна, но требует установки корневого сертификата на клиентских компьютерах.

Например, обратитесь к статье Microsoft TechNet « Как работает проверка HTTPS» (обратите внимание на слово "потому что" ниже):

Поскольку сертификат проверки HTTPS ранее был помещен в хранилище сертификатов доверенных корневых центров сертификации клиентского компьютера, компьютер доверяет любому сертификату, подписанному этим сертификатом.

Однако условие, которое вы включили в свой вопрос:

без необходимости устанавливать сертификаты на компьютеры, без настройки прокси на ПК, без ошибок

определяет ответ: вы не можете этого достичь.

|источник
0

Использование сертификатов потребует от вас создания как минимум одного сертификата для каждого веб-сайта, доступного вашим пользователям (сертификаты содержат имя домена). Похоже, что DigiCert установлен (по крайней мере, в Windows) в качестве доверенного корневого центра сертификации, чтобы он мог работать и нуждался в проверке на компьютерах, отличных от Windows.

Тем не менее, я бы порекомендовал вам переоценить то, о чем вас спрашивали. Они действительно просят вас зарегистрировать всю полезную нагрузку трафика? Это представляет астрономическое количество данных, даже для небольших объектов.

Я студент колледжа, и в моем колледже регистрируются все интернет-соединения, но они только регистрируют, к какому IP я подключаюсь, какие протоколы я использую и т.д. Они не собирают фактическую полезную нагрузку, у нас на сайте около 10 тыс. Пользователей 24/7 ... И насколько я знаю, они не используют подражание, потому что в этом случае это бесполезно.

Только сбор метаданных такого типа не потребует MITM, вам просто нужно анализировать данные, поступающие через ваш маршрутизатор. Даже в безопасном соединении IP-адрес и порты назначения не шифруются. Вы также можете перехватывать DNS-запросы (не зашифрованные, на порту 53 IIRC) для перекрестных ссылок с используемыми IP-адресами.

РЕДАКТИРОВАТЬ, чтобы ответить на комментарии:

  1. Соответствующие сведения о attcks: это основная цель входа в сеть моего колледжа: как только они получат жалобу, они могут сказать, какой пользователь это сделал.

  2. Блокировка нелегальных сайтов: вы можете сделать это на DNS по умолчанию, который используется компьютерами, которые подключаются к вашей сети для блокировки доменных имен. Кроме того, вы можете использовать брандмауэр, чтобы занести в черный список исходящий трафик IP-адресов этих сайтов.

  3. Прокси: это не зависит от понятия сертификатов. Вам понадобится сертификат только в том случае, если ваш прокси-сервер выдает себя за веб-сайт, и он будет делать это, если вы хотите расшифровать или изменить саму полезную нагрузку. В зависимости от того, что на самом деле запрашивается, это может не понадобиться. Прокси, который просто перенаправляет трафик, даже если он регистрирует его, не нужно олицетворять веб-сайт

  4. Аутентификация: идет с прокси, и вы можете использовать его для перекрестной ссылки на идентичность ваших пользователей с тем, что они делают.

  5. «Один сертификат на веб-сайт»: цифровые сертификаты обычно содержат название веб-сайта, что означает, что вы не можете использовать один и тот же сертификат для олицетворения нескольких разных веб-сайтов. В противном случае пользователь увидит большое красное предупреждение "Это соединение небезопасно", когда он попытается подключиться к веб-сайту по протоколу HTTPS.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .