Estoy creando un UTM usando ubuntu. ¿Cómo puedo bloquear el tráfico HTTPS usando el filtrado de URL? (Por ejemplo, quiero bloquear enlace )
Estoy usando Squid como un servidor proxy transparente. Soluciones que no quiero usar: Bloqueo de sitios web por IP, Squid-in-the-middle SSL Bump
La forma ortodoxa de lograr esto sería utilizar la intercepción SSL, como SSLBump, con Squid.
Si no desea interceptar el tráfico SSL, puede hacerlo a través de DNS. Esto tendría el efecto de bloquear todo el sitio web independientemente del protocolo, por ejemplo. http vs https vs ftp, basado en DNS. Por lo tanto, podría incluir en la lista negra "facebook.com" y hacer que su servidor DNS lo redirija a un sitio "Esta página está bloqueada" alojado en una IP interna. Un ejemplo de un servicio para dicho filtrado de DNS es OpenDNS.
Los usuarios podrían evitar este tipo de solución DNS si tienen la capacidad de editar la configuración de DNS de su estación de trabajo para usar otro servidor DNS o editar un archivo de hosts. También podrían usar varios sitios web que ofrecen un proxy para Facebook y otros sitios (que son cuestionables ya que pueden interceptar la contraseña de los usuarios) para transmitir la conexión.
Debido a las debilidades de usar una configuración basada en DNS, cuando se busca inspeccionar el tráfico HTTPS, generalmente es más efectivo usar su proxy de calamar como un motor ssl-man-in-the-middle e inspeccionar el tráfico descifrado, esto conducir a un filtrado mucho mejor.
filtre las solicitudes http entrantes según los encabezados HTTP "Host" para bloquear el acceso a ciertos sitios web.
a medida que usa linux, puede usar IPTABLES para bloquear el acceso a las direcciones IP enlace
de nuevo, la pregunta parece un poco vaga, pero este es mi mejor intento de responder.
Cuando el tráfico es HTTPS, no puede ver la url completa visitada por el usuario sin hacer un MiTM (sslbump).
Dicho esto, puede ver el dominio solicitado mirando la cadena después de que el cliente haya enviado "CONECTAR" a su proxy o inspeccionando el inicio del protocolo de enlace TLS (gracias a extensión SNI ).
También puedes bloquear usando DNS.
Necesita instalar un servidor DNS si no está usando uno propio (por ejemplo, enlace) y respete todos los dominios excepto los que desea bloquear (rediríjalos a 127.0.0.1).