HTTPS流量的開源過濾
我們曾經配置過過濾/代理設置,以便大約 500 個使用者通過基於 Unix 的系統路由,該系統執行 SQUID 和 SquidGuard,以阻止可疑內容並記錄使用者的行為。我們發現,有些人可以通過使用 HTTPS 協議的免費線上代理來繞過阻止。我無法找到一種方法來阻止 HTTPS 流量而不完全禁用它,這對採購和人力資源(或銀行網站的普通使用者)不起作用。
有沒有辦法使用 SQUID/Squidguard 阻止或過濾 HTTPS 流量?還是其他一些開源監控程序?其他人如何在不使用商用設備的情況下處理它?
編輯:我們不是想看交通。我們正在嘗試監控這些 url並在必要時阻止它們。我們不想要信用卡號碼之類的……我們想知道 Johnny 何時訪問https://schoolssucksoweproxyforyou.com/playboy.com,將域添加到塊文件中,並阻止他們再次訪問。請參閱下面的一些添加評論…
EDIT2:(回复:說到人力資源、銀行等……)你可能不會這麼想,但是我們有一個人做採購,我們區覆蓋了分散在全縣各地的 7 個建築物,所以我們有一個人負責分配材料和庫存,我們有相同的人來處理檢查和銀行記錄,我們有一個負責員工工會的人,另一個負責教職員工,我們有負責處理諸如保險和傷害索賠和責任等人力資源資訊的人。 . 辦學涉及到很多我認為公眾從未想過的事情。另外,我們確實存在一些問題,即阻止員工/教職員工進行網上銀行業務被認為是霸道的,
無論如何,繼續您關於僅阻止某些人的建議,我沒有看到一種方法可以將功能集成到每個使用者的身份驗證中;如果 Windows 可以傳遞憑據,因此使用者不需要繼續使用另一個密碼進行身份驗證,這將是一個可行的解決方案,但我發現的任何東西都是雜亂無章的,並且不能可靠地工作。然後是讓人們記住另一個密碼(或學生/員工竊取/共享密碼)的問題。我個人喜歡為教職員工和學生公平地進行全面過濾,而不是讓它成為教師可以做 X 的問題,而學生被認為不足以做同樣的事情。
最後,我找不到讓伺服器可靠地針對 Active Directory 進行身份驗證的方法(以集中使用者管理並減少要記住的密碼),或者如果我使用不同的身份驗證方案,則意味著另一個數據庫要保持同步與…什麼,最後一次計數,大約 1200 個使用者?每年我們都有孩子進出學區,畢業和新來的孩子,因此流失率很高?…
我不打算在這裡討論道德問題-也許您想在所有您不“了解”該域的站點上執行此操作……無論如何,道德問題除外:
有可能,肯定需要為squid2 添加位,但 AFAIK squid3 會開箱即用。一些商業網路過濾器供應商也是如此。MITM 式攻擊通常是唯一的方法。
HTTPS 流量的全部意義在於它在伺服器和最終使用者之間進行了加密,因此沒有其他人可以窺探它 - 包括您的過濾器。您將無法對其進行任何內容過濾。您唯一能夠執行的 HTTPS 過濾是將 SSL 埠阻止到特定 IP 地址。
如果您將其列入白名單,則會出現大量誤報 - 您沒有想到的銀行、需要 HTTPS 登錄或訪問的有用網站等。如果您將其列入黑名單,則會出現大量誤報 - 新的代理網站會彈出每秒都在上升。
這是需要在政策層面而不是技術層面解決的問題。如果有人在工作時在色情網站上偷偷摸摸,並使用代理繞過你的過濾器,HR 應該打他們的手,如果繼續下去,威脅要解僱他們。