faq обучение настройка
Текущее время: Вс июл 27, 2025 13:53

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
 Заголовок сообщения: DFL-860E блокирование https (443)
СообщениеДобавлено: Пн апр 15, 2013 13:19 
Не в сети

Зарегистрирован: Сб апр 28, 2012 16:05
Сообщений: 27
Добрый день.
Как на DFL-860E блокировать не только http://vk.com/, но и httpS://vk.com/?
Лочить 443 порт не вариант, по понятным причинам.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E блокирование https (443)
СообщениеДобавлено: Пн апр 15, 2013 13:21 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
alg НАЛОЖИТЬ НА 443 порт нельзя - блочить по IP.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E блокирование https (443)
СообщениеДобавлено: Пн апр 15, 2013 13:55 
Не в сети

Зарегистрирован: Сб апр 28, 2012 16:05
Сообщений: 27
т.е. вы (специалисты D-Link в целом), предлагаете блокировать сайт vk.com по ip-адресу? И больше никаких инструментов нет? По моему это мягко говоря странно...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E блокирование https (443)
СообщениеДобавлено: Пн апр 15, 2013 14:10 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
pokul писал(а):
т.е. вы (специалисты D-Link в целом),

я не специалист длинка - я такой же участник форума ( у меня нет ни где логотипа в аватарке )

предлагаю блокировать . тк основываюсь в большей части на личном опыте и на опыте других участников форума .
HTTPS тарффик шифрованый и ALG на него не наложить , поэтому выход блокировка по IP.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E блокирование https (443)
СообщениеДобавлено: Пн апр 15, 2013 14:44 
Не в сети

Зарегистрирован: Сб апр 28, 2012 16:05
Сообщений: 27
Да я понимаю, что вы не сотрудник D-Link, прошу прощения.
Просто я немного удивлен, что DFL не умеет подобного, вот и "разошелся" :)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E блокирование https (443)
СообщениеДобавлено: Пн апр 15, 2013 23:34 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
На данный момент, DFL такому (в общих терминах - man in the middle, в терминах DFL - HTTPS ALG) "учится", но пока не умеет.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E блокирование https (443)
СообщениеДобавлено: Вт апр 16, 2013 17:41 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
Вообще-то https для того и зашифрован, чтобы никто посередине не мог совать туда нос :). "Научиться" фильтровать его DFL может только нечестными методами, например:
1) Выпросить у Verizone и пр. закрытые ключи сертификатов (достаточно корневые заиметь);
2) Найти дырки в броузерах, позволяющие отключать предупреждения о левых сертификатах;
3) Найти способ взломать всю эту криптографию.

А вот почему базовые правила без ALG не могут использовать DNS вместо явного ip -- загадка.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E блокирование https (443)
СообщениеДобавлено: Чт апр 18, 2013 05:35 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
IP Rules не используют DNS объекты специально, из-за возможной компрометации внешнего DNS сервера.

Для того, чтобы "заглянуть" в HTTPS соединение, сейчас существует и успешно применяется технология man in the middle, когда оборудование подменяет сертификат на свой и держит уже два шифрованных канала. В целом уже несколько лет успешно применяется в одноклассниках DFL и есть все основания полагать что такой функции дождемся и мы.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E блокирование https (443)
СообщениеДобавлено: Чт апр 18, 2013 15:00 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
danilovav писал(а):
IP Rules не используют DNS объекты специально, из-за возможной компрометации внешнего DNS сервера.


Ну, это уже мой выбор: использовать блокирование по IP и иметь геморрой при его смене или
использовать DNS и рисковать. Если речь идет о блокировании одноклассников и т. п. -- "риском" можно пренебречь :). И почему тогда в HTTP ALG DNS можно использовать?

danilovav писал(а):
Для того, чтобы "заглянуть" в HTTPS соединение, сейчас существует и успешно применяется технология man in the middle, когда оборудование подменяет сертификат на свой и держит уже два шифрованных канала. В целом уже несколько лет успешно применяется в одноклассниках DFL и есть все основания полагать что такой функции дождемся и мы.


Ага, соединяюсь я по https для онлайн-банкинга, а какой-то man in the middle успешно применяет технологию, узнает мой номер кредитки и пароль и ворует мои денежки. Зачем тогда https вообще?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E блокирование https (443)
СообщениеДобавлено: Пт апр 19, 2013 07:44 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
alex63 писал(а):
Ага, соединяюсь я по https для онлайн-банкинга, а какой-то man in the middle успешно применяет технологию, узнает мой номер кредитки и пароль и ворует мои денежки. Зачем тогда https вообще?

что бы не воровали ваши денюЖки

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860E блокирование https (443)
СообщениеДобавлено: Пт апр 19, 2013 21:39 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Вы все таки почитайте. Технология подразумевает подмену сертификатов, однако на клиенте вы увидите что а) сертификат выдан не тем сервером б) сертификат будет вообще самоподписным. Так что просто будьте внимательны.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 217


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB