Добавление httpS-фильтрации "из-коробки"



  • После выступлений пресловутого Эдварда Сноудена началась всемирная истерия по повышению защищенности всего и вся от всепроникающего ока Большого Брата АНБ сша (оно и понятно - никому не приятно, когда без его ведома уточняют цвет и модель, например, семейных трусов одетых кем-то из нас сегодня на работу).
        Мои наблюдения по неприятному развитию и продвижению, не побоюсь сказать, всеобщей миграции сервисов в HTTPS - таких как ВКонтакте, FaceBook (последние засунулись не только в https, но уже и в tor - для пущей демонстрации "надежности" каналов связи по доступу к их серверам, на которых настырный народ своими же руками заполняет ежедневные досье на самих же себя), поисковики google и yandex и, внимание, такой всеми (не-)любимый Skype. Уверен, что перечень можно продолжить, и что он будет всё больше расширяться. Просто это то, что мне навскидку пришло на ум из того, что мешает жить лично мне в подконтрольных мне сетях. Если кто-либо из ваших подопечных пользователей полезет смотреть ролики из ВК по https-у вы сможете увидеть только лишь его соединение на 443ий порт в pftop-е и щёлкающие на глазах мегабайты(по которым вы поймете, что там внутри идёт видеопоток), но ничего с этим поделать не сможете без избирательной https-фильтрации (разве что вручную скинуть ему states).

    Вот ссылки для ликбеза, например, по скайпу http://www.sovit.net/articles/technologies/how_to_block_skype/
    https://support.skype.com/ru/faq/FA148/kakie-porty-neobhodimo-otkryt-dla-ispol-zovania-skype-dla-rabocego-stola-windows
    Попытки зарубить https-а (порт 443) накорню на раб.станциях приводят к полной блокировке скайпа, который видимо авторизуется только по https. А лично у меня задача зарезать в локалках ВК, FB с их бесконечными видео-роликами и аудио-музыкальными выкладками-пожирателями трафика через HTTPS, НО при этом обеспечить работу Skype.

    Учитывая уже имеющийся топик https://forum.pfsense.org/index.php?topic=83472.0 , в котором, к сожалению, не раскрыта катастрофичность ситуации - прошу старожилов и корифеев высказаться и проголосовать за ВВЕДЕНИЕ в стандартную из коробки возможность https-фильтрации. По типу добавления дополнительной "галки" при установке squid-а с ssl-фильтрацией для подтягивания доп.пакетов Diladele Web Safety 3.4 и прописывания дополнительных записей в конфигах.
    Т.к. самопальная доустановка Diladele Web Safety 3.4 по методологиям http://sichent.wordpress.com/2014/02/22/filtering-https-traffic-with-squid-on-pfsense-2-1/ и https://forum.pfsense.org/index.php?topic=72528.0 (что почти одно и тоже) с САМОдописными "костылями" ЛИШАЕТ возможности БЕЗпроблемного апдейта версий самого pfSense при выходе обновлений (как в случае появления 2.0, затем 2.1 с подверсиями), т.к. образует НЕстандартную конфигурацию, не известную стандартному-универсальному движку pfSense.



  • и корифеев высказаться и проголосовать за ВВЕДЕНИЕ в стандартную из коробки возможность https-фильтрации

    Ну выскажемся, ну проголосуем и что ? Кодить кто будет?
    Это вы к Ermal-у обращайтесь в англоветке.



  • @werter:

    и корифеев высказаться и проголосовать за ВВЕДЕНИЕ в стандартную из коробки возможность https-фильтрации

    Ну выскажемся, ну проголосуем и что ? Кодить кто будет?
    Это вы к Ermal-у обращайтесь в англоветке.

    Обратился, насколько позволили знания англ. грамматики - ждём ответа. Отпишу его здесь (если он вообще последует).



  • Помимо письма непосредственно Ermal-у, завел еще и соответствующий топик у них, в англ-яз. ветке, - https://forum.pfsense.org/index.php?topic=83913.0
    Шел день третий - ответов и комментариев не поступало… (это в порядке отчетности о нулевых результатах)



  • Вот правильный раздел для хотелок.



  • @dvserg:

    Вот правильный раздел для хотелок.

    Опубликовал там своё воззвание - оно провисело где-то полчаса, его прочитали около десятка раз и затем оно исчезло. Совсем, как будто его там и не было вовсе никогда.



  • Может все-таки кто-то поделится как он смог побороть https? Отписывался в прошлой теме, что штатно pfsense режет https, но весь сырбор в сертификате  са. Браузеры не хотят его принимать. https://toster.ru/q/43184 Здесь расписали что генерить сертифкат с дефолтными настройками не комильфо. Кто попробует править у себя? У меня не получилось.



  • http://habrahabr.ru/post/127643/

    CA - это центр сертификации (а не сам сертификат), т.е. подписывающий орган. Если ваш сертификат подписан правильным центром - все будет ок.



  • @werter:

    http://habrahabr.ru/post/127643/

    Увы я так и не разберусь. Cертификат что выдается никак не принимается pfsense. После вставки в поле используемого CA и ребута сквида https вообще не открывается, даже с предложением на свой страх и риск открыть страницу. Может уважаемый Werter поделится знаием как заполучить

    CA - это центр сертификации (а не сам сертификат), т.е. подписывающий орган. Если ваш сертификат подписан правильным центром - все будет ок.

    Я понимаю что ca должен выдавать сертификаты клиентам и что браузеры ругаются на самоподписанные сертификаты от этого центра, даже если его руками добавили в доверенные. Мне интересно лишь как получить нормальный ca. http://habrahabr.ru/post/168515/ Показывает что должно работать и с самоподписанными сертификатами.



  • Проще всего сделать если у Вас AD!
    Необходимо развернуть свою инфраструктуру PKI

    Корневой сертификат CA установить на pfSense
    Сгенерировать все необходимые сертификаты и установить на pfSense

    Для всех компьютеров в домене корневой сертификат и все Ваши сертификаты будут доверенными
    Для компьютеров вне домена, импортировать корневой сертификат Вашего CA в Trusted Root Certificates Authoriries



  • @hmh:

    Проще всего сделать если у Вас AD!
    Необходимо развернуть свою инфраструктуру PKI

    Корневой сертификат CA установить на pfSense
    Сгенерировать все необходимые сертификаты и установить на pfSense

    Для всех компьютеров в домене корневой сертификат и все Ваши сертификаты будут доверенными
    Для компьютеров вне домена, импортировать корневой сертификат Вашего CA в Trusted Root Certificates Authoriries

    Домена нет и не предвидится, парк пк на вин7хом



  • @Luka:

    Я понимаю что ca должен выдавать сертификаты клиентам и что браузеры ругаются на самоподписанные сертификаты от этого центра, даже если его руками добавили в доверенные. Мне интересно лишь как получить нормальный ca. http://habrahabr.ru/post/168515/ Показывает что должно работать и с самоподписанными сертификатами.

    1. Использовать сертификат, сгенерированный и подписанный StartSSL. Его CA должен нормально восприниматься браузерами

    2. Или самому сгенерировать сертификат и подписать его в StartSSL.

    Я это так понимаю. Надо проверять.


Log in to reply