Как заблокировать определенный HTTPS-трафик?

Согласно описанию HTTPS :

Безопасный протокол передачи гипертекста (HTTPS) представляет собой комбинацию протокола передачи гипертекста (HTTP) с протоколом SSL / TLS. Он обеспечивает шифрованную связь и безопасную идентификацию сетевого веб-сервера.

И для SSL / TLS :

Протокол TLS позволяет клиент-серверным приложениям взаимодействовать по сети таким образом, чтобы предотвратить подслушивание и подделку.

Поскольку большинство протоколов можно использовать как с TLS (или с SSL), так и без него, необходимо указать серверу, является ли клиент подключением TLS или нет. Существует два основных способа достижения этого, один из вариантов – использовать другой номер порта для соединений TLS (например, порт 443 для HTTPS). Другой – использовать обычный номер порта и запросить клиент, чтобы сервер переключил соединение с TLS с использованием специфичного для протокола механизма (например, STARTTLS для почтовых и новостных протоколов).

Из этих объяснений мы можем понять, что трафик HTTPS использует 443 TCP-порт с шифрованием, я имею в виду, что прокси-сервер не может интерпретировать трафик и блокировать нежелательные сайты, поскольку он зашифрован.

В моей компании люди обычно используют https: // для доступа к facebook, hotmail и другим сайтам, которые блокируются корпоративным прокси. Итак, мне было интересно, возможно ли заблокировать даже https trafic для определенных сайтов, используя прокси-сервер или другую технику за пределами и интегрированную с фактическим прокси-решением? Можно фильтровать или блокировать определенные сайты по слою https?

Хотя пример, который вы цитируете в своем вопросе, тривиально для достижения с помощью прокси-сервера, потому что URL-адреса не шифруются и поэтому легко добавлять в черный список, можно проверить HTTPS-трафик, проходящий через прокси-сервер.

Обычно развертывание предприятия достигает этого путем развертывания внутреннего доверенного сертификата на всех установленных компьютерах конечного пользователя. Подключения к прокси-серверу выполняются через этот сертификат (независимо от того, понимают ли пользователи это или нет), где прокси-программное обеспечение может расшифровывать полезную нагрузку, проверять ее и принимать решение о ее действительности. Последующая связь с конечным сайтом выполняется с помощью «реальных» сертификатов.

На самом деле это грустное положение дел, так как оно разрушает надежную модель SSL и TLS, но я знаю, что это действительно так, как это происходит, когда я работаю.

Блок сайта https с системой предотвращения вторжений (inline), такой как snort и suricata, прост.

Оба выше IPS могут использовать одни и те же подписи.

Ниже приведены некоторые правила IPS для домена, порта, IP-адреса и блока расширения файлов.

http://kb.simplewallsoftware.com/help-faq/answers/useful-suricata-rules/

Я обнаружил, что блокирование конечной точки IP для службы HTTPS очень эффективно. Я смог заблокировать (брандмауэр) доступ к facebook с помощью этого метода. Вот IP-область facebook

31.13.24.0/21 31.13.64.0/18 31.13.64.0/19 31.13.64.0/24 31.13.65.0/24 31.13.66.0/24 31.13.68.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.73.0/24 31.13.74.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.82.0/24 31.13.83.0/24 31.13.84.0/24 31.13.85.0/24 31.13.86.0/24 31.13.87.0/24 31.13.90.0/24 31.13.91.0/24 31.13.93.0/24 31.13.96.0/19 66.220.144.0/20 66.220.144.0/21 66.220.152.0/21 69.63.176.0/20 69.63.176.0/21 69.63.184.0/21 69.171.224.0/19 69.171.224.0/20 69.171.239.0/24 69.171.240.0/20 69.171.255.0/24 74.119.76.0/22 103.4.96.0/22 173.252.64.0/19 173.252.96.0/19 179.60.192.0/22 179.60.192.0/24 179.60.193.0/24 185.60.216.0/22 204.15.20.0/22 
  • Проблемы с подключением через HTTPS / SSL через собственный клиент Java
  • Как переопределить шифрованный список, отправленный на сервер Android при использовании HttpsURLConnection?
  • Расшифровка трафика SSL в Wireshark. Только заголовки получают расшифровку
  • Chrome говорит: «Эта страница содержит некоторые ресурсы, которые не защищены» на всех https-сайтах
  • Страницы SSL в ASP.NET MVC
  • Подключение к WebSphere MQ в Java с помощью SSL / Keystore
  • Как разрешены имена серверов сертификатов SSL / Можно ли добавлять альтернативные имена с помощью keytool?
  • Не удалось найти допустимый путь сертификации для запрошенной целевой ошибки даже после импорта сертификата
  • Пользовательская обработка SSL перестала работать на Android 2.2 FroYo
  • Как проверяются сертификаты ssl?
  • Можно ли заменить обычный разъем на SSLSocket?
  • Давайте будем гением компьютера.