Tengo un amigo que es dueño de una cafetería y él tiene una red pública. Me pidió una forma de evitar que los clientes visiten cualquier sitio web que represente una amenaza potencial para el administrador (sitios web que tienen contenido sexual o cualquier tipo de extremismo). ¿Cómo puedo bloquear tales sitios?
Lo que necesitas es un filtro web . Esto crea la capacidad de inspeccionar el tráfico y filtrarlo según el destino.
Tenga en cuenta que, a diferencia de la otra respuesta, esto no necesita ninguna intercepción SSL, ya que todo lo que está haciendo es revisar los nombres y direcciones IP.
Por lo general, usarás un producto que usa listas de bloqueo actualizadas dinámicamente, generalmente agrupadas para que puedas deshabilitar el acceso a categorías completas, como los juegos de azar, muy fácilmente.
Hay muchos productos que lo harán a diferentes precios. Un ejemplo es Sophos UTM, aunque lo más probable es que sea excesivo para sus necesidades, ya que es una herramienta empresarial. Trend y la mayoría de los otros proveedores de seguridad reconocidos tienen herramientas de filtrado web disponibles.
Si desea algo rápido y sucio, también puede cambiar su servicio DNS para usar OpenDNS. OpenDNS también proporciona listas de filtros web actualizadas dinámicamente, pero funcionan simplemente al evitar una búsqueda de la dirección IP, por lo que es posible evitar las restricciones, generalmente cuando los usuarios configuran manualmente sus propios servidores DNS.
Puede bloquear sitios web inapropiados utilizando el servicio OpenDNS Familyshield para configurar qué sitios web no se pueden ver en su red
Yo sugeriría usar un llamado proxy de intercepción SSL. Para que el usuario instale el certificado de CA Root, es posible utilizar un portal cautivo, para obligar al usuario final a instalar CA Root para obtener acceso a Internet.
Esto es cómo hacerlo: Primero, tienes una página de portal. Esta página del portal debe utilizar un certificado VÁLIDO. Esta página del portal, llamémosla captive.yourdomain.tld, tiene un certificado válido emitido por una CA válida que ya está en confianza.
En esta página del portal, tiene instrucciones sobre cómo descargar el certificado CA de .cer y cómo importarlo en el navegador.
Ahora, desde captive.yourdomain.tld, establece HSTS con subDomains activado.
Entonces, tienes un iframe 1x1, que se carga desde, digamos validate.captive.yourdomain.tld. Este validate.captive.yourdomain.tld utiliza un certificado de servidor firmado por su certificado de CA Proxy Interception. Esta página de validate.captive.yourdomain.tld también tiene un formulario que envía automáticamente (utilizando un javascript) credenciales válidas para acceder a la red WLAN. La mejor opción aquí es usar códigos TOTP o algo así, para evitar que las personas lo eviten.
Si lo desea, puede tener una página de términos de servicio, pero el botón "Acepto" está dentro de dicho formulario TOTP detrás de Iframe (en lugar de un envío automático de javascript, entonces el iframe debe ser un poco más grande). Si el usuario no ha instalado la CA raíz, el botón "Acepto" no se cargará y el usuario no puede aceptar los términos.
El resultado es un portal cautivo, que REQUIERE la instalación de un certificado raíz de CA en el navegador para obtener acceso a Internet. Dado que la página está protegida con un certificado real, el usuario no podrá acceder (si HSTS no tiene página de bloqueo de recurso) si validate.captive.yourdomain.tld no puede validar, lo que haría si no hubiera importado la raíz de CA.
El usuario no necesita autenticarse en el portal cautivo, esto sucede automáticamente siempre que haya importado la raíz de CA.
Aquí hay un video de cómo se ve: enlace (Pero se puede implementar en cualquier dispositivo de portal cautivo que permita cargar una página de autenticación personalizada)
Luego, cuando haya hecho esto, puede usar cualquier proxy intermedio con este proxy de intercepción SSL para filtrar el contenido por palabras clave, URL o lo que considere oportuno.
Lea otras preguntas en las etiquetas network