Bluecoat 代理:允许 HTTPS 访问网站,同时禁止 TCP 隧道(SSH/…)

Bluecoat 代理:允许 HTTPS 访问网站,同时禁止 TCP 隧道(SSH/…)

我们使用 BlueCoat ProxySG(软件 6.4.3.1)设置了明确的(=不透明的)代理。


当我创建如下 Web 访问层规则时:

  • 协议:HTTPS -> 所有 HTTPS:允许,
  • 协议:所有 TCP 隧道:拒绝,然后

我仍然可以通过代理在外面进行 SSH。


相反,当指定类似的东西时

  • 协议:全部 Shell:DENY

(没有明确声明 HTTPS)我也可以通过代理执行 SSH。


唯一有帮助的(使用 SSH)是指定All TCP Tunneling: DENY。然而在这种情况下 HTTPS 也不再起作用。

因此,HTTPS 似乎被视为 TCP 隧道。这也是跟踪文件在 HTTPS 请求中显示的内容:

 CONNECT tcp://www.xxx.com:443/

我知道只要有人被允许创建传出加密连接,他们就可能能够做几乎任何事情。但我不想让事情变得太容易。

那么如何识别 HTTPS 而不允许太多其他内容呢?(如果不设置 MitM 等内容,可能就不可能了。)为什么有一个名为 HTTPS 的对象,而当我使用它时它不会改变任何东西。我真的不明白这一点。

答案1

好吧,

寻找在SSH等情况下不存在的User-Agent标头是官方答案。

常规 HTTPS 会话通常会将这些标头与对 HTTP CONNECT xxx:443 方法的调用一起传输(在隧道连接的情况下)。我们确实只允许连接到代理上的端口 80,因此所有非 HTTP 内容(不再)通过隧道传输。

这是通过隐蔽性来实现的安全性,但是我想在这种情况下使用这种设备很难做很多事情...

相关内容