Περιορισμός πρόσβασης σε https σελίδες

Ξεκίνησε από tallis, 06 Δεκ 2010, 04:14:34 ΜΜ

« προηγούμενο - επόμενο »
Εκτύπωση
Κάτω Σελίδες1
User actions

tallis

06 Δεκ 2010, 04:14:34 ΜΜ
Εδώ και καιρώ χρησιμοποιώ στο σχολείο μου έναν squid-proxy + dansguardian για να έχω και ωραία filter lists και προστασία από ιούς.
Το συνιστώ ανεπιφύλακτα.

Πρόβλημα έχω μόνο με κάποιους web-proxy και σελίδες που τρέχουν σε http secure ( https )
όπως

https://kproxy.com
https://facebook.com

τους οποίους δεν μπορεί να κόψει το squid και οι μαθητές μου τους έχουν ήδη ανακαλύψει.

Έχει να προτείνει κανείς κάποια λύση;
Απόστολος Γιόκας
ΠΕ20 - ΕΠΑΛ Ορεστιάδας

apanagio

#1
06 Δεκ 2010, 06:48:00 ΜΜ
μπορείς να δημιουργήσεις μια λίστα από site τα οποία θα κόβεις κατευθείαν από το squid (χωρίς τη μεσολάβηση του dansguardian).

Δημιουργείς το αρχείο banned_domains.acl και το αποθηκεύεις στο /ets/squid3/banned_domains.acl
Εκεί βάζεις τα site τα οποία θα κόβεις.

Στο αρχείο /etc/squid3/squid.conf προσθέτεις τις 2 γραμμές:
acl banned_domains url_regex -i "/etc/squid3/banned_domains.acl"
http_access deny banned_domains


Δεν ξέρω ακριβώς πώς είναι το αρχείο squid.conf στη δική σου περίπτωση αλλά κατά πάσα πιθανότητα θα έχει ένα σημείο που θα λέει INSERT YOUR OWN RULES HERE. Εκεί θα βάλεις τους καινούριους κανόνες. Είναι σημαντικό να μπουν οι 2 γραμμές πάνω από τις γραμμές που αναφέρονται στο dansguardian ώστε ο καινούριος κανόνας να έχει προτεραιότητα έναντι των κανόνων του dansguardian.

Για πιο επιθετική αντιμετώπιση υπάρχει και το whitelist σενάριο. Φτιάχνεις δηλαδή μια λίστα με τα site που επιτρέπονται και κόβεις όλα τα άλλα. 

tallis

#2
06 Δεκ 2010, 11:14:29 ΜΜ
Έχω μια τέτοια λίστα από τον καιρό πριν βάλω το dansguardian και δεν λειτουργεί.

Τον squid τον έχω ρυθμισμένο σαν transparent proxy και το πρόβλημα μου είναι ότι η https κίνηση προσπερνάει τον squid και το dansguardian.

Απόστολος Γιόκας
ΠΕ20 - ΕΠΑΛ Ορεστιάδας

tallis

#3
06 Δεκ 2010, 11:18:26 ΜΜ
Το πρόβλημα μου είναι ότι ο proxy είναι transparent. Αν όμως το απενεργοποιήσω οι υπολογιστές θα έχουν πρόσβαση στο net από άλλα προγράμματα εκτός απο τον browser?
Απόστολος Γιόκας
ΠΕ20 - ΕΠΑΛ Ορεστιάδας

apanagio

#4
07 Δεκ 2010, 01:28:43 ΠΜ
Όπως είπες δεν μπορείς να έχεις transparent proxy σε https πρωτόκολλο. (Αλλιώς μπορείς να πραγματοποίησεις man in the middle επίθεση).

Αυτό που μπορείς να κάνεις είναι να ρυθμίσεις τον proxy ως κανονικό και να ρυθμίσεις το router να δέχεται συνδέσεις μόνο από τον proxy server (αν έχεις πρόσβαση στον router ρυθμίζεις κατάλληλα την μάσκα υποδικτύου)

Έτσι αν κάποιος/α προσπαθήσει να βγει κατευθείαν στο δίκτυο δεν θα τα καταφέρει, και επιπλέον αφού ο proxy δεν θα είναι transparent θα δουλεύει και με https.

tallis

#5
07 Δεκ 2010, 09:11:06 ΠΜ
apanagio η ιδέα σου είναι πάρα πολύ σωστή.

Θα δοκιμάσω να το υλοποιήσω μαζί με αυτόματα proxy-settings.

ευχαριστώ
Απόστολος Γιόκας
ΠΕ20 - ΕΠΑΛ Ορεστιάδας
Εκτύπωση
Πάνω Σελίδες1
User actions