我们使用 BlueCoat ProxySG(软件 6.4.3.1)设置了明确的(=不透明的)代理。
当我创建如下 Web 访问层规则时:
- 协议:HTTPS -> 所有 HTTPS:允许,
- 协议:所有 TCP 隧道:拒绝,然后
我仍然可以通过代理在外面进行 SSH。
相反,当指定类似的东西时
- 协议:全部 Shell:DENY
(没有明确声明 HTTPS)我也可以通过代理执行 SSH。
唯一有帮助的(使用 SSH)是指定All TCP Tunneling: DENY。然而在这种情况下 HTTPS 也不再起作用。
因此,HTTPS 似乎被视为 TCP 隧道。这也是跟踪文件在 HTTPS 请求中显示的内容:
CONNECT tcp://www.xxx.com:443/
我知道只要有人被允许创建传出加密连接,他们就可能能够做几乎任何事情。但我不想让事情变得太容易。
那么如何识别 HTTPS 而不允许太多其他内容呢?(如果不设置 MitM 等内容,可能就不可能了。)为什么有一个名为 HTTPS 的对象,而当我使用它时它不会改变任何东西。我真的不明白这一点。
答案1
好吧,
寻找在SSH等情况下不存在的User-Agent标头是官方答案。
常规 HTTPS 会话通常会将这些标头与对 HTTP CONNECT xxx:443 方法的调用一起传输(在隧道连接的情况下)。我们确实只允许连接到代理上的端口 80,因此所有非 HTTP 内容(不再)通过隧道传输。
这是通过隐蔽性来实现的安全性,但是我想在这种情况下使用这种设备很难做很多事情...