Blokování stránek s HTTPS

Poskytovatelé a technologie, dial-up, ADSL, kabel, optika, bezdrátové připojení

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Nightrider1122 21. 7. 2016 23:13

Ahoj všichni, zkoušel jsem najít nějaké diskuze o blokaci stránek s protokolem HTTPS, ale našlo mi to vše o blokování na HTTP. Potřeboval bych zablokovat stránky různých seznamek a fb. Na všechny tyto stránky se dá dostat pomocí zadání HTTPS, můžete mi s tím někdo poradit?
Nightrider1122
Kolemjdoucí

Odeslat příspěvekod zrom 22. 7. 2016 00:30

https se blokuje dost špatně, navíc pokuid už to u tebe v síti zablokuješ tak si uživatelé najdou cestu v podobě vpn, proxy, Tor sítě...
Záleží jakej se používá router a jaký má možnosti.
zrom
Junior

Odeslat příspěvekod soban 22. 7. 2016 05:36

A kde je problém blokuje se to úplně stejně jako jakýkoliv jiný server.

Prostě zablokuješ příslušný server v firewallu a je to.

Potíž je že na jedné IP může být serverů více a tak zablokuješ všechny.

A jak už ti zde řekly firewall se dá obejít že použiješ nějakou proxi, vpn v internetu takže je to k ničemu.

Vykašli se na to nemá to cenu, vynaložená námaha nezodpovídá výsledku.
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod m.kv 22. 7. 2016 06:14

Co zablokovat všechno a nastavit Whitelist?
m.kv
Ex-moderátor
Uživatelský avatar

Odeslat příspěvekod zoomfire 22. 7. 2016 07:02

Ve firmě používáme Kerio, přes Kerio control jde nastavit maska blokování, takže "https://*" a je to.
zoomfire
Kolemjdoucí

Odeslat příspěvekod Nargon 22. 7. 2016 07:44

soban píše:Potíž je že na jedné IP může být serverů více a tak zablokuješ všechny.

Například u takového FB bude problém přesně opačný. tj jedna adresa facebook bude dynamicky směrována na několik různých IP adres aby se rozložila zátěž.

Jinak co se týče blokování https tak to lze udělat snadno a levně pomocí vlastního dns serveru, který pro doménu facebook.com bude vracet IP například 127.0.0.1, tím se uživatelům neotevře. A aby jsi zabránil tomu že si uživatel nastaví jiný DNS server tak stačí použít NAT a přesměrovat veškerou komunikaci co by šla ven na port 53 tak aby šla na ten tvůj dns server. Tím myslím odfiltruješ většinu případů a bude to úspěšně blokováno.
Samozřejmě tím lze zablokovat pouze celá doména. Tj nepůjde celý facebook. Nelze blokovat jen část "za lomítkem" tj aby facebook.com/jarda fungovalo a facebook.com/martina nefungovalo. A taky to lze obejít VPNkou a podobně, ale tomu se asi nikdy nevyhneš.
Pak už jen záleží co máš za síť a síťové prvky kde to chceš blokovat. Jestli ti umožní provést tak specifické nastavení dns serveru a natu. Například Mikrotik routery to zvládají.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod K8 22. 7. 2016 08:48

Ono blokovat všechen https provoz je dneska už dost problém, neboť třeba taký google.cz už automaticky přesměrovává na https, takže by nefungovalo ani vyhledávání na googlu. A těch webů, které dneska jedou už na https je docela dost.
K8
Pokročilý

Odeslat příspěvekod vanamond 22. 7. 2016 09:04

Čisté blokování stránek není problém - například na škole není problém zakázat jakékoli DNS dotazy z vnitřní sítě ven a v síti nasměrovat všechny DNS dotazy na svůj jediný DNS server a tam si upravit a nastavit co chcete. Tedy je třeba manipulovat s DNS a tento systém není odolný vůči tomu, že si někdo udělá VPN ven ze sítě a nastaví si svůj dns skrz tu VPN.
To co chcete je content filtering - tedy filtrace obsahu stránek. U HTTP žádný problém, to umí kdejaký routřík, HTTPS je v principu věc šifrovaná a tedy jediná možnost je proxy - je třeba, aby hraniční firewall sítě fungoval jako proxy - tedy aby když uživatel chce HTTPS spojení někam (fb) , tak aby se tohle spojení vytvořilo mezi jeho PC a proxymodulem firewallu a ten aby navázal další spojení mezi sebou a cílovou stránkou (např ten fb). Data ve firewallu jsou pak nešifrovaná a lze je kontrolovat na nechtěné weby, obsah atd. Tohle umí každý rozumný firewall, sračky nikoli.
Teoreticky je tohle včetně logování provozu povinná dělat každá škola kvůli blokaci porn webů, drogwebů a obdobných čuňáren.
Podniky to dělat nemusí, ale při případném průšvihu je plně zodpovědný buď statutární zástupce, anebo pokud ten přenesl prokazatelně zodpovědnost za IT na někoho, tak ten někdo. I trestně zodpovědný, samozřejmě.
Trust in God and keep your powder dry !
vanamond
Junior
Uživatelský avatar

Odeslat příspěvekod Nightrider1122 22. 7. 2016 22:26

Mám docela problém, že třeba takový badoo automaticky přesměruje na https, jelikož v routeru ve filtru nejde napsat / (takže nejde filtrovat https://badoo.com), tak jsem si zkoušel zjistit přes nslook ip badoo, vyhodilo mi to dvě, když jsem to dal do filtru, tak to i nadále fungovalo.
Nightrider1122
Kolemjdoucí


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků