Как заблокировать определенный трафик HTTPS?

Question

Согласно описанию HTTPS:

Протокол передачи гипертекста Secure (HTTPS) представляет собой комбинацию протокола передачи гипертекста (HTTP) с протоколом SSL/TLS. Он обеспечивает зашифрованную связь и безопасную идентификацию сетевого веб-сервера.

И для SSL/TLS:

Протокол TLS позволяет клиент-серверным приложениям обмениваться данными по сети таким образом, чтобы предотвратить перехват и несанкционированный доступ.

Поскольку большинство протоколов может использоваться с TLS или без него (или SSL), необходимо указать серверу, устанавливает ли клиент соединение TLS или нет. Есть два основных способа достижения этого, один вариант - использовать другой номер порта для соединений TLS (например, порт 443 для HTTPS). Другой - использовать обычный номер порта и запросить у клиента, чтобы сервер переключил соединение на TLS, используя специальный протоколный протокол (например, STARTTLS для почтовых и новостных протоколов).

Из этих объяснений мы можем понять, что трафик HTTPS использует 443 TCP-порт с шифрованием, то есть прокси-сервер не может интерпретировать трафик и блокировать нежелательные сайты, поскольку он зашифрован.

В моей компании люди обычно используют https:// для доступа к Facebook, Hotmail и другим веб-сайтам, которые заблокированы корпоративным прокси. Итак, мне было интересно, возможно ли заблокировать даже HTTPS-трафик для определенных сайтов, используя прокси-сервер или другую технику, выходящую за рамки и интегрированную с реальным прокси-решением? Можно фильтровать или блокировать определенные сайты через слой https?

Answer 1

Хотя пример, который вы приводите в своем вопросе, тривиален для использования с прокси-сервером, поскольку URL-адреса не зашифрованы и, следовательно, их легко добавить в черный список, можно проверить HTTPS-трафик, проходящий через прокси-сервер.

Корпоративные развертывания обычно достигают этого путем развертывания сертификата с внутренним доверием на всех установленных компьютерах конечных пользователей. Соединения с прокси-сервером осуществляются через этот сертификат (независимо от того, осознают это пользователи или нет), где прокси-программное обеспечение может расшифровать полезную нагрузку, проверить ее и принять решение о ее достоверности. Прямое подключение к конечному сайту осуществляется с помощью "настоящих" сертификатов.

На самом деле это немного печальное положение дел, поскольку оно разрушает доверенную модель SSL и TLS - но я точно знаю, что это сделано - как это происходит там, где я работаю.

Answer 2

Блокировка сайта https с помощью системы предотвращения вторжений (inline), такой как snort и suricata, очень проста.

Оба вышеуказанных IPS могут использовать одинаковые подписи.

Вот некоторые правила IPS для домена, порта, IP-адреса и блока расширения файла.

http://kb.simplewallsoftware.com/help-faq/answers/useful-suricata-rules/

Answer 3

Я обнаружил, что блокировка конечной точки IP для службы HTTPS очень эффективна. Я был в состоянии заблокировать (брандмауэр) доступ к Facebook с помощью этого метода. Вот сфера IP Facebook

31.13.24.0/21
31.13.64.0/18
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
31.13.71.0/24
31.13.73.0/24
31.13.74.0/24
31.13.76.0/24
31.13.77.0/24
31.13.78.0/24
31.13.79.0/24
31.13.82.0/24
31.13.83.0/24
31.13.84.0/24
31.13.85.0/24
31.13.86.0/24
31.13.87.0/24
31.13.90.0/24
31.13.91.0/24
31.13.93.0/24
31.13.96.0/19
66.220.144.0/20
66.220.144.0/21
66.220.152.0/21
69.63.176.0/20
69.63.176.0/21
69.63.184.0/21
69.171.224.0/19
69.171.224.0/20
69.171.239.0/24
69.171.240.0/20
69.171.255.0/24
74.119.76.0/22
103.4.96.0/22
173.252.64.0/19
173.252.96.0/19
179.60.192.0/22
179.60.192.0/24
179.60.193.0/24
185.60.216.0/22
204.15.20.0/22