Я управляю школьной сетью с установленной программой BYOD. У меня прокси linux (squid) с фильтрацией контента по Mind (вилка dansguardian). По HTTP все работает нормально, проблема в том, что дети начинают использовать HTTPS. Моя самая большая проблема заключается в том, что Apple перешла на использование HTTPS при выполнении поиска в Google в сафари. Это позволяет детям выполнять поиск без принудительного безопасного поиска со стороны MinD. Я хотел бы знать, что я могу с этим поделать. Есть ли способ остановить это? Заранее благодарю за любую помощь!
Squid поддерживает функцию под названием SslBump с использованием Bump-Server-First. Это в основном означает, что браузеры будут пытаться установить безопасное соединение между ними и хостом. Кэш Squid получает перехваченное соединение, а Squid устанавливает внешнее соединение. Затем завершает безопасное соединение с пользователем. Squid по сути является центром сертификации для части пользователя / squid, поэтому он может дешифровать трафик и кэшировать / фильтровать его.
Поскольку это то, что люди, разработавшие SSL, думали, что это может быть вектором атаки, есть некоторые проблемы, которые нужно преодолеть. Squid поддерживает динамическое создание сертификатов поэтому домены сертификатов совпадают на стороне клиента и имеют некоторые из исходных информация о сертификате передается клиенту. Все это может происходить довольно легко, если ваши клиентские устройства могут доверять вашему сертификату CA. Это немного сложнее, если люди используют свои собственные устройства.
Следует отметить, что ваш кеш теперь контролирует доверие третьих лиц для этих устройств. Информация, которая имитируется в динамических сертификатах, в некоторой степени смягчает это, но можно настроить squid так, чтобы слепо доверять вещам, которые могут быть плохими для пользователей, если кто-то проведет настоящую атаку посредника, дальше от вашего прокси. , например.
Вы не так много можете сделать ... Вы можете создать самоподписанный SSL-сертификат для google.com и MITM трафик, а затем вы сможете проверить его и заблокировать по мере необходимости, за исключением того, что это зависит от того, насколько хитры дети есть, и подпадут ли они к процессу принятия вашего самоподписанного сертификата.
Это тоже вероятно незаконно. Вы можете полностью заблокировать трафик HTTPS, но это, вероятно, сломает множество вещей.
Теперь можно попросить Google перенаправить защищенный поиск на http - https://support.google.com/websearch/answer/186669?hl=en это страница справки Google по этой теме. Они предлагают использовать хитрость DNS, это может быть сложно в Windows 2008r2 - я лично предпочитаю переписать заголовок подключения для достижения той же цели, что можно сделать во всех хороших веб-фильтрах (и некоторых плохих).
Я работаю на Гладкостенный которые предоставляют фильтр с такой возможностью, а также возможность выполнять другую фильтрацию SSL. Я предвзят, но предлагаю вам взглянуть. Когда дело доходит до сложных вещей, это намного проще, чем кататься самостоятельно. В интересах беспристрастности есть и другие веб-фильтры :)