在 HTTPS 上阻止网站并在 HTTP 上允许它(以强制执行安全搜索)

在 HTTPS 上阻止网站并在 HTTP 上允许它(以强制执行安全搜索)

我想在 HTTPS 版本上屏蔽一些网站,并在 HTTP 版本上允许它们。主要涉及的网站是 Youtube 和 Google 图片/视频。这是因为在 HTTP 版本上,我可以在这些平台上强制执行 Safesearch 过滤器,而在 HTTPS 版本上则不能。对我来说,这是一个非常严重的问题,它破坏了 Google 提供的许多很棒的 Safesearch 功能。

有没有什么软件/配置可以做到这一点?

我正在使用过滤软件(K9 Web Protection),它会在我提到的网站的 HTTP 版本上强制执行安全搜索,但无法在 HTTPS 版本上执行此操作。

我想我需要在计算机级别实现这一点,因为绕过路由器的过滤解决方案非常容易,尤其是当它们依赖于 DNS 配置时。

答案1

有两种方法可以做到这一点:

1) 根据目标 IP 地址和端口在防火墙处阻止它。例如,当我从我的位置查找 YouTube 时,我得到:

C:\Users\mark.henderson>nslookup
默认服务器:enetsdc2.enets.local
地址:192.168.161.2

>youtube.com
服务器:enetsdc2.enets.local
地址:192.168.161.2

名称:youtube.com
地址:2404:6800:800b::88
          74.125.237.135
          74.125.237.136
          74.125.237.142
          74.125.237.128
          74.125.237.134
          74.125.237.129
          74.125.237.131
          74.125.237.130
          74.125.237.133
          74.125.237.132
          74.125.237.137

>

这为您提供了一个相当清晰的列表,列出了要阻止的内容,显然 HTTPS 是端口443。因此,如果您要阻止出站到这些 IP 地址,那么443这是一个开始。对每个域重复并冲洗。

问题在于,这只会阻止初始访问。可能还有其他方法可以访问视频,例如使用不同 IP 地址的子域。例如,Google 地图由数十个子域提供,每个子域可以拥有不同的 IP 地址。反复试验几乎是解决此问题最简单的方法。

2) 中间人 SSL 检查。我相信 Microsoft TMG 防火墙可以做到这一点(尽管我还没有真正检查过)。基本上,YouTube 和您的网络之间的 SSL 连接终止于您的防火墙。然后防火墙解密会话,检查流量,应用其过滤器,然后重新加密它有自己的、受信任的证书,复制原始证书中的详细信息。

为了实现这一点,防火墙基本上充当了自己的 CA,为不属于自己的域颁发证书。为了实现无缝衔接,每个浏览器/客户端都必须信任防火墙 CA,因为证书将由它颁发,而不是由实际证书颁发。任何有一点知识的人都可以轻松检测到这一点(通过检查证书链)。如果设置不正确,将给每个用户带来证书错误。

总而言之,我建议采用第一种方法,原因很简单,这意味着您不会意外解密会计师的网上银行会话,因此,如果首席执行官为其情妇保留的银行账户中丢失了 100,000 美元,您也不能受到指责。


针对您下面的评论,还有第三个选项,据我所知只有 Google 提供。只有当您所在的网络运行自己的 DNS 服务器并且您知道如何覆盖某些网站的公共 DNS 条目时,此选项才有效。

根据针对学校的 Google 安全搜索和 SSL 搜索,你可以用for覆盖A的记录。这将执行初始 SSL 握手,但随后会立即将用户重定向回非 SSL 进行搜索。www.google.comcnamenosslsearch.google.com

这不适用于 YouTube 或其他服务,除非他们也提供此服务。


其他注意事项:您说得对,DNS 阻止是一种阻止访问的糟糕方法,因为它可以被绕过。但是,如果您在公司网络上,则很可能在内部运行自己的 DNS,因此您可以始终阻止发往网络外部的 DNS 流量,但明确允许的内部 DNS 服务器除外。但另一方面,您只能使用 DNS 进行阻止,而不是协议。因此,您可以阻止 youtube.com,但不允许它在 HTTP 上访问,并在 HTTPS 上阻止它。

但你认为路由器不适合做这件事,这是错误的。事实上,仅有的如果您想获得最高的成功几率,您可以这样做。因为路由器(及其背后的防火墙)是进出网络的唯一途径,所以您可以 99% 地确保流向互联网的任何流量都通过您的控制。(另外 1% 是将 PC 绑定到智能手机以获取互联网访问权限的人,但这是一个管理/社会问题,而不是技术问题)。

相关内容