Фильтрация HTTPS - Форум Kerio-rus
Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 21.03.2018, 06:48   #1
Шайтаныч
 
Аватар для Шайтаныч
 
Регистрация: 11.01.2018
Сообщений: 19
По умолчанию Фильтрация HTTPS

Доброе время суток. Керио настроено и работает, но есть нюанс...
Исходные
-керио 9.2.4.2223 лицензия. отдельная машина без всяких гипервизоров
-подключена в домен, юзеры берутся в том числе и из домена
-авторизация работает
-днс используется доменный (на ДК), который запросы пересылает через тот же керио через отдельное правило в правилах траффика
-днс форвардинг на керио выключен
судя по мануалу если форвардинг не используется то сайты исключения из фильтрации HTTPS будут отрабатывать только при вводе ИП.
А теперь, собственно, вопрос:
Неужели все пишут эти портянки из айпишников ручками и никто не заипался?
Или у всех сделано через днс-форвардинг?
Если через форвардинг, то как? У меня так и не завелось.
Изображения
Тип файла: jpg 6.jpg (9.5 Кб, 69 просмотров)
Тип файла: jpg 7.JPG (44.6 Кб, 64 просмотров)
Тип файла: jpg 8a.JPG (40.7 Кб, 60 просмотров)
Тип файла: jpg 9.JPG (89.2 Кб, 60 просмотров)

Последний раз редактировалось Шайтаныч; 21.03.2018 в 08:46.
Шайтаныч вне форума   Ответить с цитированием Вверх
Старый 21.03.2018, 12:54   #2
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,821
По умолчанию Re: Фильтрация HTTPS

Шайтаныч, смотри куда пишешь.

Тема перенесена.
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 26.04.2018, 17:45   #3
datusername
Знатный писарь
 
Аватар для datusername
 
Регистрация: 26.04.2018
Сообщений: 357
По умолчанию Re: Фильтрация HTTPS

Цитата
Сообщение от Шайтаныч Посмотреть сообщение
Неужели все пишут эти портянки из айпишников ручками и никто не заипался?
Нормальные решения делают MitM и через подмену сертификатов позволяют фильтровать HTTPS. По сути это функционал DPI.
Цитата
Сообщение от Шайтаныч Посмотреть сообщение
У меня так и не завелось.
И не заведется, потому что у тебя DNS запросы не проходят через Керио (хоть включай фовардинг, хоть нет). Указывая любой другой DNS ты не сможешь работать в AD. Так что отфильтровать HTTPS ты можешь только купив какой нибудь Fortigate за гору денег.
datusername вне форума   Ответить с цитированием Вверх
Старый 27.04.2018, 05:19   #4
Шайтаныч
 
Аватар для Шайтаныч
 
Регистрация: 11.01.2018
Сообщений: 19
По умолчанию Re: Фильтрация HTTPS

ДНС запросы проходят через керио. Об этом говорит первый же рисунок (правило постоянно используется), днслокап с сервера и с рабочих станций, да и если отключить соотвествующее правило интернет пропадает.
Шайтаныч вне форума   Ответить с цитированием Вверх
Старый 27.04.2018, 10:19   #5
datusername
Знатный писарь
 
Аватар для datusername
 
Регистрация: 26.04.2018
Сообщений: 357
По умолчанию Re: Фильтрация HTTPS

Цитата
Сообщение от Шайтаныч Посмотреть сообщение
ДНС запросы проходят через керио. Об этом говорит первый же рисунок (правило постоянно используется), днслокап с сервера и с рабочих станций
У тебя есть правило DNS и NTP с локального сервера в мир и никаких рабочих станций. Твоё правило это может быть и NTP трафик, если что. Но это не важно. Важно то, что для того что бы это всё работало у тебя клиент должен спросить у Керио где сайта.нет? а Керио ему должен ответить "а тебе туда нельзя". Сейчас у тебя клиент спрашивает у DNS-сервера, сервер лезет в инторнет и выдаёт "сайта.нет - вон там" клиент подключается по адресу "вон там" через HTTPS и Керио ничего с этим сделать не может. Сурьёзные DPI тупо подменяют серт, лезут в клиентский трафик, на лету расшифровывают HTTPS и дают клиенту по рукам в любом случае, поэтому срать хотели на DNS-запросы.
datusername вне форума   Ответить с цитированием Вверх
Старый 27.04.2018, 15:55   #6
Sawa
Знатный писарь
 
Аватар для Sawa
 
Регистрация: 18.03.2011
Сообщений: 244
По умолчанию Re: Фильтрация HTTPS

Цитата
Сообщение от Шайтаныч Посмотреть сообщение
Или у всех сделано через днс-форвардинг?
Если через форвардинг, то как? У меня так и не завелось.
А что собственно сделано то? И твои скрины абсолютно ничего не отражают.
Цитата
Сообщение от datusername Посмотреть сообщение
И не заведется, потому что у тебя DNS запросы не проходят через Керио (хоть включай фовардинг, хоть нет). Указывая любой другой DNS ты не сможешь работать в AD. Так что отфильтровать HTTPS ты можешь только купив какой нибудь Fortigate за гору денег.
Тут вообще какойто несвязанный по смыслу поток мысли, какое отношение DNS форвардинг имеет к HTTPS фильтрации?
Цитата
Сообщение от datusername Посмотреть сообщение
Сурьёзные DPI тупо подменяют серт, лезут в клиентский трафик, на лету расшифровывают HTTPS и дают клиенту по рукам в любом случае, поэтому срать хотели на DNS-запросы.
Как раз керио именно так и делает.

А про настройки днс вообще, то ты включи на керио форвардинг, по дхцп всем рассказывай что DNS сервер живет на керио (а не на AD), а локальные DNS запросы переадресовывай уже домен контроллеру (это у тебя вроде написано)
Цитата
Сообщение от Шайтаныч Посмотреть сообщение
Об этом говорит первый же рисунок (правило постоянно используется)
То что правило используется, говорит только о том что правило используется, то есть DNS запросы могут проходить туда и не возвращаться или проходить не все или это ваще NTP... другими словами это ни о чем не говорит.
Sawa вне форума   Ответить с цитированием Вверх
Старый 27.04.2018, 16:29   #7
datusername
Знатный писарь
 
Аватар для datusername
 
Регистрация: 26.04.2018
Сообщений: 357
По умолчанию Re: Фильтрация HTTPS

Цитата
Сообщение от cshyka Посмотреть сообщение
какое отношение DNS форвардинг имеет к HTTPS фильтрации?
Есть такой старинный механизм фильтрации http/https трафика, когда не отдаётся/подменяется адрес в ответ на DNS запрос. Для этого работы такой системы шнипель как раз нужен DNS релей, который будет знать что подменять. В итоге пользователь видит ошибку сертификата или подмененную http страницу или ошибку 404. Я так понял, что ТС об этом и писал:
Цитата
Сообщение от Шайтаныч Посмотреть сообщение
у всех сделано через днс-форвардинг?

Цитата
Сообщение от cshyka Посмотреть сообщение
Как раз керио именно так и делает.
Ох, отстал я от жизни походу. Тогда нужно расшифровывать, а не заниматься фигнёй с редиректами всего и всея, которые работают через анус.
datusername вне форума   Ответить с цитированием Вверх
Старый 27.04.2018, 16:33   #8
Sawa
Знатный писарь
 
Аватар для Sawa
 
Регистрация: 18.03.2011
Сообщений: 244
По умолчанию Re: Фильтрация HTTPS

Цитата
Сообщение от datusername Посмотреть сообщение
Есть такой старинный механизм фильтрации http/https трафика
это мне известно, но в контексте данного топика, да и этого форума в целом это неуместно ибо керио этим механизмом никогда не владел
Sawa вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 00:09. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях