Text only | Text with Images

Το Στέκι των Πληροφορικών

Γενικά => Τεχνική υποστήριξη => Linux => Μήνυμα ξεκίνησε από: tallis στις 06 Δεκ 2010, 04:14:34 ΜΜ

Τίτλος: Περιορισμός πρόσβασης σε https σελίδες
Αποστολή από: tallis στις 06 Δεκ 2010, 04:14:34 ΜΜ
Εδώ και καιρώ χρησιμοποιώ στο σχολείο μου έναν squid-proxy + dansguardian για να έχω και ωραία filter lists και προστασία από ιούς.
Το συνιστώ ανεπιφύλακτα.

Πρόβλημα έχω μόνο με κάποιους web-proxy και σελίδες που τρέχουν σε http secure ( https )
όπως

https://kproxy.com
https://facebook.com

τους οποίους δεν μπορεί να κόψει το squid και οι μαθητές μου τους έχουν ήδη ανακαλύψει.

Έχει να προτείνει κανείς κάποια λύση;
Τίτλος: Απ: Περιορισμός πρόσβασης σε https σελίδες
Αποστολή από: apanagio στις 06 Δεκ 2010, 06:48:00 ΜΜ
μπορείς να δημιουργήσεις μια λίστα από site τα οποία θα κόβεις κατευθείαν από το squid (χωρίς τη μεσολάβηση του dansguardian).

Δημιουργείς το αρχείο banned_domains.acl και το αποθηκεύεις στο /ets/squid3/banned_domains.acl
Εκεί βάζεις τα site τα οποία θα κόβεις.

Στο αρχείο /etc/squid3/squid.conf προσθέτεις τις 2 γραμμές:
Κώδικας [Επιλογή]

acl banned_domains url_regex -i "/etc/squid3/banned_domains.acl"
http_access deny banned_domains


Δεν ξέρω ακριβώς πώς είναι το αρχείο squid.conf στη δική σου περίπτωση αλλά κατά πάσα πιθανότητα θα έχει ένα σημείο που θα λέει INSERT YOUR OWN RULES HERE. Εκεί θα βάλεις τους καινούριους κανόνες. Είναι σημαντικό να μπουν οι 2 γραμμές πάνω από τις γραμμές που αναφέρονται στο dansguardian ώστε ο καινούριος κανόνας να έχει προτεραιότητα έναντι των κανόνων του dansguardian.

Για πιο επιθετική αντιμετώπιση υπάρχει και το whitelist σενάριο. Φτιάχνεις δηλαδή μια λίστα με τα site που επιτρέπονται και κόβεις όλα τα άλλα. 
Τίτλος: Απ: Περιορισμός πρόσβασης σε https σελίδες
Αποστολή από: tallis στις 06 Δεκ 2010, 11:14:29 ΜΜ
Έχω μια τέτοια λίστα από τον καιρό πριν βάλω το dansguardian και δεν λειτουργεί.

Τον squid τον έχω ρυθμισμένο σαν transparent proxy και το πρόβλημα μου είναι ότι η https κίνηση προσπερνάει τον squid και το dansguardian.

Τίτλος: Απ: Περιορισμός πρόσβασης σε https σελίδες
Αποστολή από: tallis στις 06 Δεκ 2010, 11:18:26 ΜΜ
Το πρόβλημα μου είναι ότι ο proxy είναι transparent. Αν όμως το απενεργοποιήσω οι υπολογιστές θα έχουν πρόσβαση στο net από άλλα προγράμματα εκτός απο τον browser?
Τίτλος: Απ: Περιορισμός πρόσβασης σε https σελίδες
Αποστολή από: apanagio στις 07 Δεκ 2010, 01:28:43 ΠΜ
Όπως είπες δεν μπορείς να έχεις transparent proxy σε https πρωτόκολλο. (Αλλιώς μπορείς να πραγματοποίησεις man in the middle επίθεση).

Αυτό που μπορείς να κάνεις είναι να ρυθμίσεις τον proxy ως κανονικό και να ρυθμίσεις το router να δέχεται συνδέσεις μόνο από τον proxy server (αν έχεις πρόσβαση στον router ρυθμίζεις κατάλληλα την μάσκα υποδικτύου)

Έτσι αν κάποιος/α προσπαθήσει να βγει κατευθείαν στο δίκτυο δεν θα τα καταφέρει, και επιπλέον αφού ο proxy δεν θα είναι transparent θα δουλεύει και με https.
Τίτλος: Απ: Περιορισμός πρόσβασης σε https σελίδες
Αποστολή από: tallis στις 07 Δεκ 2010, 09:11:06 ΠΜ
apanagio η ιδέα σου είναι πάρα πολύ σωστή.

Θα δοκιμάσω να το υλοποιήσω μαζί με αυτόματα proxy-settings.

ευχαριστώ
Text only | Text with Images