Bar*_*rim 6 webfilter open-source
我们曾经有一个过滤/代理设置,该设置被配置为通过基于 Unix 的系统路由大约 500 个用户,该系统运行带有 SquidGuard 的 SQUID,以阻止有问题的内容并记录用户的行为。我们发现有些人能够通过使用 HTTPS 协议的免费在线代理来绕过该块。我找不到一种方法来阻止 HTTPS 流量而不完全禁用它,这对采购和人力资源(或银行网站的普通用户)不起作用。
有没有办法用 SQUID/Squidguard 阻止或过滤 HTTPS 流量?或者其他一些开源监控程序?其他人如何在不求助于商用电器的情况下处理它?
编辑:我们不是要观察交通。我们正在尝试监控网址并在必要时阻止它们。我们不想要信用卡号之类的……我们想知道 Johnny 何时访问https://schoolssucksoweproxyforyou.com/playboy.com,将域添加到阻止文件中,并防止他们再次这样做。请参阅下面的一些添加评论...
EDIT2:(回复:说到人力资源、银行等...)你可能不会这么想,但我们有一个人做采购,我们区覆盖了分散在县城周围的 7 栋楼,所以我们有专人负责分发材料和库存,我们有相同的人处理检查和银行记录,我们有负责员工工会的人,另一个负责教职员工,我们有负责处理保险、伤害索赔和责任等人力资源信息的人。 . 有很多事情涉及到办学,我认为一般公众从未想过。此外,我们确实存在一些问题,即阻止员工/教职员工进行网上银行业务被认为是专横的,
无论如何,继续您关于仅阻止某些人的建议,我没有看到一种方法可以将功能集成到每个用户的身份验证中;如果 Windows 可以传递凭据,因此用户不需要继续使用另一个密码进行身份验证,这将是一个可行的解决方案,但我发现的任何东西都是笨拙的,并且无法可靠地工作。然后是让人们记住另一个密码(或学生/员工窃取/共享密码)的问题。我个人喜欢对教职员工和学生进行全面的过滤,而不是将其视为教师可以做 X 而学生被认为是做同样事情的人不够的问题。
最后,我找不到让服务器可靠地针对 Active Directory 进行身份验证的方法(以集中用户管理并减少要记住的密码),或者如果我使用不同的身份验证方案,则意味着另一个数据库要保持同步用...什么,最后计数,大约 1200 个用户?每年我们都有孩子进出学区、毕业和新来的孩子,流失率很高?...
HTTPS 流量的全部意义在于它在服务器和最终用户之间进行了加密,因此没有其他人可以窥探它 - 包括您的过滤器。您将无法对其进行任何内容过滤。您可以执行的唯一 HTTPS 过滤是阻止特定 IP 地址的 SSL 端口。
如果您将其列入白名单,则会出现大量误报——您没有想到的银行、需要 HTTPS 登录或访问的有用网站等。每秒向上。
这是需要在政策层面解决的问题,而不是技术层面。如果有人在工作中在色情网站上闲逛并使用代理来绕过您的过滤器,人力资源部门应该打他们的手并威胁如果继续下去就会终止。
这是一个由商业供应商实施的非常丑陋的解决方案:
用您自己的内部证书替换浏览器的 CA 证书
当请求连接到未知地址时,代理会与其自己的客户端连接,并获取站点的证书
然后为该站点生成一个假证书,由您自己的 CA 签名
然后代理有效地充当 MITM(中间人)
你不能用股票 Squid 做到这一点,但我需要大约一天的 mod_perl hacking 才能用 Apache 实现它。
我不打算在这里讨论道德问题 - 也许您想在所有您不“知道”域名的网站上执行此操作......无论如何,道德问题放在一边:
有可能,肯定需要为squid2 添加位,但据我所知,squid3 会开箱即用地执行此操作。一些商业网络过滤器供应商也是如此。MITM 式攻击通常是唯一的方法。
| 归档时间: |
|
| 查看次数: |
13640 次 |
| 最近记录: |