faq обучение настройка
Текущее время: Чт мар 28, 2024 13:17

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
СообщениеДобавлено: Вт мар 11, 2014 08:44 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
что бы можно было простым методом закрывать одноклассников и вк
т.е. задаем имя ресурса
и систем резолвит его ip (по заданному периоду) и блокирует их, создвая динамические правила блокировки, обновляя их при следующем резолве


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 11, 2014 10:06 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Поднимаете в сетке Проксю, и простыми методами блокируете соцсети

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 11, 2014 10:51 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
да тут не прокся вопрос . поднять то можно ... не вопрос .

но сейчас многие сайты перезжают на https, поэтому вопрос впринцепи актуальный .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 11, 2014 21:40 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Большие братья DFL умеют HTTPS ALG, поэтому надежда на данную фичу на старших устройствах есть.
Хотя, по прошествии большого количества времени...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 12, 2014 01:18 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
MTRX писал(а):
Поднимаете в сетке Проксю, и простыми методами блокируете соцсети

прокся это прошлый век (и в прямом смысле тоже:)), контентная фильтрация рулит, т.е. wcf (только там категории напутаны)
соц. сети щас не только на https переехали, а еще ip адреса у них плавают, раз в день или в полдня точно меняются, не все, но один из трех смотришь - другой, я вроде диапазон отловил за несколько дней, но они через некоторое время могут поменять диапазон

iptables так умеет делать, т.е. - пишешь правила на vk.com, он автоматом создает правила с IP адресами


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 12, 2014 05:20 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Прокси это всего лишь инструмент для L7 фильтрации.
На основании контента или просто по DNS - уже вам решать.
Методики анализа HTTPS есть, наверное, для всех известных прокси.
Их же можно завернуть прозрачно.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 12, 2014 07:40 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
Корректно фильтровать HTTPS практически невозможно "по определению", для этого нужно либо украсть закрытые ключи сертификатов серверов, либо взломать криптоалгоритм. Можно, конечно, попытаться отключить предупреждения в браузерах пользователей, либо надеяться, что они не обратят на них внимания, но тогда проще просто заблокировать HTTPS -- большинство сайтов пока сохраняют HTTP как бекап.

А вот усовершенствовать фильтрацию по IP-адресам, позволив DNS-имена, на DFL неплохо было бы. Работает же DNS для точек терминации туннелей. Это всё равно будет фильтрация по IP, при нескольких сайтах на одном IP будут блокироваться все, и надежность ниже, но зато удобнее -- почему бы не предоставить пользователю выбор.

Shkiper, раз в день или чаще IP адреса обычно не меняются, просто их несколько, смотреть нужно не пингом, а nslookup (для Windows).


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 12, 2014 09:15 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 586
alex63 писал(а):
Корректно фильтровать HTTPS практически невозможно "по определению"

в squid есть механизм подстановки своих сертификатов, так что вполне можно

nslookup выдает 3 адреса, и они меняются по одному в течении дня
можно использовать разные днс сервера и будут разные ip при одновременном запуске:)
это все про vk.com


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 12, 2014 14:55 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
Shkiper писал(а):
alex63 писал(а):
Корректно фильтровать HTTPS практически невозможно "по определению"

в squid есть механизм подстановки своих сертификатов, так что вполне можно

Сертификат должен быть выдан под конкретный сервер, например, google.com и подписан авторитетным центром, например, VeriSign. Вряд ли VeriSign будет всем подряд выдавать "подстановочные" сертификаты для google.com, хотя спецслужбам -- да, выдает :).
Если бы всё было так просто, то Интернет-банкинг и онлайн-магазины ни за что бы не использовали https,
ведь хакеру достаточно было бы поставить squid :).

Shkiper писал(а):
nslookup выдает 3 адреса, и они меняются по одному в течении дня
можно использовать разные днс сервера и будут разные ip при одновременном запуске:)
это все про vk.com

Я это и имел в виду, но сама эта тройка (может быть и десятка, например) относительно стабильна.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср мар 12, 2014 21:47 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
alex63 писал(а):
Shkiper писал(а):
nslookup выдает 3 адреса, и они меняются по одному в течении дня
можно использовать разные днс сервера и будут разные ip при одновременном запуске:)
это все про vk.com

Я это и имел в виду, но сама эта тройка (может быть и десятка, например) относительно стабильна.

Увы, стабильности у многих сервисов нет т.к. сейчас очень распространены CDN решения.
Про Geo DNS я вообще молчу...

Shkiper писал(а):
alex63 писал(а):
Корректно фильтровать HTTPS практически невозможно "по определению"

в squid есть механизм подстановки своих сертификатов, так что вполне можно

Механизм сработает, но юзер увидит что подписан сертификат вашим squid - цепочка не доверенная.
Для доменных юзеров, конечно, есть финт ушами - внедрить свой CA в доверенные по политике.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 27


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB