Я хотел бы заблокировать некоторые веб-сайты на их версии HTTPS и разрешить им использовать HTTP. Основными вовлеченными веб-сайтами являются Youtube и Google Images / Videos. Это связано с тем, что в версии HTTP я могу применить фильтр Safesearch на этих платформах, тогда как в версии HTTPS я не могу. Для меня это очень серьезная проблема, которая портит многие замечательные функции Safesearch, которые предлагает Google.
Есть ли какое-нибудь программное обеспечение / конфигурация, которая может это сделать?
Я использую программное обеспечение для фильтрации (K9 Web Protection), которое применяет Safesearch к HTTP-версиям упомянутых веб-сайтов, но не может сделать это с HTTPS-версией.
Я полагаю, мне нужно будет реализовать это на уровне компьютера, потому что очень легко обойти решения для фильтрации с маршрутизатора, особенно когда они полагаются на конфигурацию DNS.
Есть два способа сделать это:
1) Заблокируйте его на брандмауэре на основе IP-адреса и порта назначения. Например, когда я просматриваю YouTube со своего местоположения, я получаю:
C:\Users\mark.henderson>nslookup
Default Server: enetsdc2.enets.local
Address: 192.168.161.2
> youtube.com
Server: enetsdc2.enets.local
Address: 192.168.161.2
Name: youtube.com
Addresses: 2404:6800:800b::88
74.125.237.135
74.125.237.136
74.125.237.142
74.125.237.128
74.125.237.134
74.125.237.129
74.125.237.131
74.125.237.130
74.125.237.133
74.125.237.132
74.125.237.137
>
Это дает вам довольно четкий список того, что блокировать, и, очевидно, HTTPS - это порт 443. Итак, если вы заблокировали исходящий трафик на эти IP-адреса на 443 тогда это начало. Повторите и промойте для каждого домена.
Загвоздка в том, что это заблокирует только начальный доступ. Могут быть другие способы получить доступ к видео, например, на субдомене, который использует другой IP-адрес. Например, Google Maps обслуживается из десятков и десятков поддоменов, и каждый мог иметь другой IP-адрес. Метод проб и ошибок - самый простой способ решить эту проблему.
2) Человек посередине проверка SSL. Я считаю, что брандмауэр Microsoft TMG может это сделать (хотя я на самом деле не проверял). Обычно SSL-соединение между YouTube и вашей сетью завершается на вашем брандмауэре. Затем брандмауэр расшифровывает сеанс, проверяет трафик, применяет свои фильтры, а затем повторно шифрует это с участием собственный доверенный сертификат, копируя реквизиты из оригинального сертификата.
Чтобы это работало, брандмауэр в основном действует как собственный центр сертификации, выдавая сертификаты для доменов, которыми он не владеет. Чтобы это было безупречно, каждый браузер / клиент должен доверять ЦС брандмауэра, так как сертификаты будут выдаваться им, а не фактическим сертификатом. Это легко обнаруживается любым, кто хоть немного разбирается в этом (путем проверки цепочки сертификатов). А при неправильной настройке выдаст каждому пользователю ошибку сертификата.
В общем, я предлагаю первый метод по той простой причине, что это означает, что вы не собираетесь случайно расшифровать сеансы онлайн-банкинга бухгалтеров, поэтому вас нельзя винить, если 100000 долларов пропадут с банковского счета, который держит генеральный директор. для его любовницы.
В дополнение к вашим комментариям ниже, есть третий вариант, который, насколько мне известно, предоставляет только Google. Это будет работать, только если вы находитесь в сети, в которой работают собственные DNS-серверы, и знаете, как переопределить общедоступные записи DNS для определенных сайтов.
В соответствии с Google SafeSearch и SSL-поиск для учебных заведений , вы можете переопределить A запись для www.google.com с cname для nosslsearch.google.com. Это выполнит первоначальное подтверждение SSL, но затем немедленно перенаправит пользователя обратно на не-SSL для поиска.
Это не будет работать для YouTube или других сервисов, если они также не предлагают эту услугу.
Другие примечания: Вы правы, что блокировка DNS - это своего рода дерьмовый метод блокировки доступа, поскольку его можно обойти. Однако, если вы находитесь в корпоративной сети, вполне вероятно, что вы используете собственный DNS внутри, поэтому вы всегда можете блокировать трафик DNS, направляемый за пределы вашей сети, за исключением явно разрешенных внутренних DNS-серверов. Но с другой стороны, вы можете использовать DNS только для блокировки доменыа не протоколы. Таким образом, вы можете заблокировать youtube.com, но не разрешать его по HTTP и блокировать по HTTPS.
Вы ошибаетесь, полагая, что маршрутизатор - неподходящее место для этого. Фактически, это только место, где вы можете это сделать, если хотите максимальных шансов на успех. Поскольку маршрутизаторы (и брандмауэры за ними) являются единственными путями входа в вашу сеть и выхода из нее, вы можете быть уверены, что любой трафик, идущий в Интернет, проходит через ваши элементы управления на 99%. (Другой 1% - это люди, которые подключают свои ПК к смартфонам, чтобы получить доступ в Интернет, но это управленческий / социальный вопрос, а не технический).