我运营一个学校网络,并实施了 BYOD 计划。我有一个 Linux 代理 (squid),使用 Mind(dansguardian 的分支)进行内容过滤。HTTP 上一切都运行良好,问题当然是孩子们开始使用 HTTPS 时出现的。我最大的问题是 Apple 已切换到在 Safari 中进行谷歌搜索时使用 HTTPS。这样孩子们就可以进行搜索,而无需 MinD 强制安全搜索。我想知道我能做些什么。有什么办法可以阻止这种情况吗?在此先感谢任何帮助!
答案1
现在可以要求谷歌将安全搜索重定向到 http -https://support.google.com/websearch/answer/186669?hl=en是有关该主题的 Google 帮助页面。他们建议使用 DNS 技巧,这在 Windows 2008r2 中可能很难实现 - 我个人更喜欢使用连接头重写来实现相同的目标,这可以在所有好的 Web 过滤器(以及一些不好的过滤器)中完成。
我为光滑墙他们提供的过滤器不仅具备这种功能,而且还具备执行其他 SSL 过滤的能力。我有偏见,但我建议您看看。当遇到棘手的问题时,这比自己动手容易得多。为了公平起见,还有其他 Web 过滤器 :)
答案2
Squid 支持一个称为使用 Bump-Server-First 的 SslBump。这基本上意味着浏览器将尝试在它们和主机之间建立安全连接。Squid 缓存获取拦截的连接,Squid 建立外部连接。然后完成与用户的安全连接。Squid 本质上是用户/Squid 部分的证书颁发机构,因此它可以解密流量并缓存/过滤它。
由于 SSL 设计者认为这可能是一种攻击媒介,因此需要克服一些障碍。Squid 支持动态证书生成因此证书域在客户端匹配,并具有一些原始的证书信息传递到客户端。如果您的客户端设备可以信任您的 CA 证书,那么这一切都可以相当顺利地进行。如果人们使用自己的设备,那么这会有点困难。
- iOS 可以使用iPhone 配置实用程序
看起来不像机器人上可能- 最近的机器人可以添加 CA 证书
- 视窗/OSX当然可以。
- Linux 有点复杂,这取决于您使用的应用程序以及它们用作密钥存储的内容。
需要注意的是,您的缓存现在由这些设备的第三方信任控制。动态证书中模仿的信息在某种程度上可以缓解这种情况,但可以配置 squid 盲目信任可能对用户不利的东西,例如,如果有人在远离您的代理的地方进行真正的中间人攻击。
答案3
你能做的并不多。你可以为 google.com 生成一个自签名 SSL 证书,并对流量进行 MITM,然后你将能够检查它并根据需要进行阻止,但这取决于孩子们有多狡猾,以及他们是否会在接受你的自签名证书的过程中上当。
这也可能是非法的。你可以完全阻止 HTTPS 流量,但这可能会破坏各种东西。