[survivor]

Доброго дня,

 

Есть задача закрыть в нескольких компаниях определенные сайты. Как правило это соц.сети, всякие facebook/vkontakte/odnoklassniki и youtube. Раньше это делал через acl'ы squid'а, подключенного к циско шлюзу по wccp или прямо на циске через match protocol http host "*facebook*" в связке с nbar'ом.

 

Однако в последние годы все изменилось - везде https... Через match protocol secure-http можно заблокировать только ВЕСЬ https, что не подходит. Squid работает с https через метод CONNECT и не видит HTTP/1.1 команды Host:facebook.com. Думал может ASA может как-то помочь, но вот нашел:

HTTPS filtering is not supported on ASA. ASA cannot do deep packet inspection or inspection based on regular expression for HTTPS traffic, because in HTTPS, content of packet is encrypted (SSL)

и расстроился.

 

У меня на SCE в отчетах facebook отображается в отдельном графике, по видимому SCE его как-то отличает от остального HTTP. Но не поставить же SCE каждому корпоративному клиенту :) Есть более бюджетное решение?

[NikBSDOpen]

Есть более бюджетное решение?

Блекхолить "вредные" AS на бордере. :)

[darkagent]

Но не поставить же SCE каждому корпоративному клиенту :) Есть более бюджетное решение?

загнать всех корпоративных клиентов за свою sce, как вариант

[survivor]

Блекхолить "вредные" AS на бордере. :)

не все клиенты берут мой интернет. И нужно именно корпоративное решение.

[NikBSDOpen]

загнать всех корпоративных клиентов за свою sce, как вариант

 

Это все - битва с ветряными мельницами. Бесполезное занятие изначально.

Если конторка маленькая, то помогут только административные меры, если крупная, то пусть покупают софт либо железные решения.

Несколько раз наблюдал, как секретари успешно "пользуют" tor для обхода блокировок на уровне proxy, а когда не могут попать куда-либо используют опсосов как резервный канал.

 

Зачем вообще блокировать что-либо? Запретный плод сладок. Режте просто по скорости. Собирайте статистику.

 

А так, смотрите в сторону младших srx. По стоимости сотовый телефон, по функционалу вполне себе.

Из софта SurfControl.

Edited April 9, 2014 by NikBSDOpen

[survivor]

Режте просто по скорости.

для этого надо сначала проmatchить. А вот это уже проблема - нужно отделить одни https сайты от других.

то пусть покупают софт либо железные решения

вот этого и добиваюсь :) посоветуйте что-нибудь.

а когда не могут попать куда-либо используют опсосов как резервный канал

да нет проблем, потому что:

Зачем вообще блокировать что-либо?

цель - сэкономить основной канал (за который платит контора) для более важных целей. А что делает юзер за свой счет через опсоса, это его проблемы. Тут уже выходим за рамки технической темы и переходим к административно-организационным вопросам: чем можно и чем нельзя заниматься работнику на рабочем месте в рабочее время (чесаться, жрат/пить/курить, шариться по смартфону), это к данной теме не относится :)

 

А так, смотрите в сторону младших srx. По стоимости сотовый телефон, по функционалу вполне себе.

Из софта SurfControl.

Понял, погуглю :)

Edited April 9, 2014 by survivor

[NikBSDOpen]

цель - сэкономить основной канал (за который платит контора) для более важных целей

Прошу прощение, понимаю обстоятельства, клиенты голову морочят, но как же QoS в плане более важных целей.

А что, есть еще конторы, которые покупают трафик?

 

По поводу софта, указал выше. По поводу "железных" (в какой то степени) решений, srx100h2 пережует канал, который "необходимо экономить".

[survivor]

Про SRX (вы juniper имели ввиду?) читаю:

Enhanced Web Filtering supports HTTPS requests; however, the destination IP is used for Web filtering instead of actual plain text URLs. You cannot decrypt HTTPS requests to obtain the URL; however, you can extract the source IP from the IP header.

то есть... он тоже не умеет смотреть содержимое запроса? А matchить по destination ip - так это и древняя 2600 циска сможет... Или я что-то не так понимаю?

 

А что, есть еще конторы, которые покупают трафик?

нет, к счастью, это уже кануло в вечность :)

речь как раз про qos - нужно чтобы facebook и youtube не убивали 10мегабитный канал офиса. Для этого нужно как-то проmatchить отдельные https ресурсы. Просто qos более требовательная к CPU задача, а в большинстве случаев клиенту drop развлекательного траффика вполне достаточен. Если можно сделать priority или bandwidth - это плюс :)

Edited April 9, 2014 by survivor

[NikBSDOpen]

В SRX, AppFW по сигнатурам на политику, вполне рабочий вариант, правда со своим блекджеком и ***ми, но все же. Мы же рассматриваем именно корпоративный вариант, правильно? Не ISP? Тогда смело закрывайте https, для политики, которая исключает vip пользователей.

[survivor]

Тогда смело закрывайте https, для политики, которая исключает vip пользователей.

да, пока это единственный вариант, который есть.

А что с srx100h2? По деньгам очень не плохо выходит. Или нужно будет еще докупать лицензию?

Вот тут: http://forums.anandtech.com/showthread.php?t=2345470

пишут:

I'm a fan of the Cisco RV042/RV082 series but even the latest revs with latest firmware still seem to have a limitation where they do not block https:// sites.

и там же:

Juniper's Enhanced Web Filtering on their SRX platform works with HTTPS.

[NikBSDOpen]

да, пока это единственный вариант, который есть.

А что с srx100h2? По деньгам очень не плохо выходит. Или нужно будет еще докупать лицензию?

 

У меня srx100 дома стоит. :)

Старшего ребенка (насколько это вообще возможно) "контролирует". Собственно ситуация с лицензиями там обчная. Тестовая 30 дней, но как раз AppFW после ее окончания продолжает работать, правда обновить сигнатуры не получится.

 

А так то да, лицензии покупаются. По цене к радованам, но не думаю, что лицензии очень дороги.

Edited April 9, 2014 by NikBSDOpen

[survivor]

NikBSDOpen то есть на нем выборочно можно фильтровать https сайты?

[NikBSDOpen]

то есть на нем выборочно можно фильтровать https сайты?

 

Некоторые можно. В SRX по подписке есть integrated SurfControl, без нее можно завернуть на внешний, со всеми вытекающими ...

У меня сын, как настоящий corp пользователь. Если что то упустил, то будет все найдено и использовано, в плане безопасности лучший тестер.

Специально для него сделал несколько зон безопасности. Хочешь все и сейчас, гуляй в гостевой vlan со скоростью близкой к... в суде собственно это приравняли бы к доведению до самоубийства.

Все остальное под контролем, в той или иной степени.

Сигнатуры добавляются просто в политику, вот пример для книгилица и контакта.

Собственно понятно, как, кого и каким способом, можно довести до истерики. Стим и т.д. тоже присутствуют.

 

 

[edit security]
  application-firewall {
      rule-sets bl {
          rule vk {
              match {
                  dynamic-application [ junos:VK-POST junos:VK-UPLOAD junos:VKONTAKTE ];
              }
              then {
                  deny;
              }
          }
          rule face {
              match {
                  dynamic-application [ junos:FACEBOOK-ACCESS junos:FACEBOOK-ACCESS-SSL junos:FACEBOOK-APP junos:FACEBOOK-APPLICATIONBUILDER junos:FACEBOOK-BIGPHOTO junos:FACEBOOK-BUMPERSTICKER
                  junos:FACEBOOK-CARICATURE junos:FACEBOOK-CAUSES junos:FACEBOOK-CDN-SSL junos:FACEBOOK-CHAT junos:FACEBOOK-CIRCLEOFMOMS junos:FACEBOOK-COLLECTHEARTS junos:FACEBOOK-CONTESTS   junos:FACEBOOK-DAILYHOROSCOPE
                  junos:FACEBOOK-DECORATIVEWRITING junos:FACEBOOK-DOGBOOK junos:FACEBOOK-EXTENDEDINFO junos:FACEBOOK-FAMILYLINK junos:FACEBOOK-FAMILYTREE
                  junos:FACEBOOK-FANAPPZ junos:FACEBOOK-FARMVILLE junos:FACEBOOK-FLIXSTER junos:FACEBOOK-FRASESDIARIAS junos:FACEBOOK-FUNNYPHOTO junos:FACEBOOK-GALLETASDELAFORTUNA junos:FACEBOOK-GODWANTSYOUTOKNOW
                   junos:FACEBOOK-HALLMARKSOCIALCALENDAR junos:FACEBOOK-HONESTYBOX junos:FACEBOOK-HUGGED junos:FACEBOOK-ICAST junos:FACEBOOK-IKARMA junos:FACEBOOK-ILIKE-MUSIC junos:FACEBOOK-ILIKETHISARTIST 
                    junos:FACEBOOK-MAIL junos:FACEBOOK-MARKETPLACE junos:FACEBOOK-MIXPODMUSIC junos:FACEBOOK-MOBILE-CHAT junos:FACEBOOK-MUSIKGW junos:FACEBOOK-MYARABICNAME
junos:FACEBOOK-MYBAND
                     junos:FACEBOOK-MYBESTFRIENDS junos:FACEBOOK-MYPERSONALITY junos:FACEBOOK-MYTOPFANS junos:FACEBOOK-NETWORKEDBLOGS junos:FACEBOOK-PHOTOOFTHEDAY junos:FACEBOOK-PICNIK junos:FACEBOOK-PROFILEBOX junos:FACEBOOK-PROFILEHTML junos:FACEBOOK-QUIZMONSTER junos:FACEBOOK-ROCKYOULIVE junos:FACEBOOK-SKETCHME junos:FACEBOOK-SLIDEFUNSPACE junos:FACEBOOK-SOCIALRSS junos:FACEBOOK-SUPERPOKE              junos:FACEBOOK-SWEEPSTAKES junos:FACEBOOK-TOPFRIENDS junos:FACEBOOK-UPLOAD junos:FACEBOOK-VIDEO-STREAM junos:FACEBOOK-VISUALBOOKSHELF 
                     junos:FACEBOOK-WELCOMETAB junos:FACEBOOK-WINDOWSLIVEMESSENGER junos:FACEBOOK-YEARBOOK junos:FACEBOOK-YOURJAPANESENAME junos:FACEBOOK-YOUTUBEBOX junos:FACEBOOK-YOUTUBEVIDEOBOX junos:FACEBOOK-ZOOSK ];
              }
              then {
                  deny;
              }
          }
          default-rule {
              permit;
          }
      }
  }

[MonaxGT]

NikBSDOpen, а отдельным каналом заворачиваете netflow и вечером перед сном ищете, чтобы еще закрыть?))

Напомнило сцену из фильма Муви43)

[NikBSDOpen]

а отдельным каналом заворачиваете netflow и вечером перед сном ищете, чтобы еще закрыть?))

Зачем закрывать? Возвращаемся к началу топика.

У меня есть административный ресурс т.е. ремень и карманные деньги.

 

Да, srx не умеет netflow, но можно сливать инцинденты в сислог.

Edited April 9, 2014 by NikBSDOpen

[Ivan_83]

Подсети по ип заблочить и всё.

Либо с днс "поиграть".

[NikBSDOpen]

Подсети по ип заблочить и всё.

Либо с днс "поиграть".

 

Есть альтернативные DNS, в конце концов, как я уже писал tor. Не вариант обсолютно.

[dignity]

Пускать в интернет только через proxy, SQUID/ISA. Заклеить USB. Запретить привелегированный доступ. Отбирать мобильники на входе в офис.

[Antares]

Отбирать мобильники на входе в офис.

Можно просто глушилку поставить :)

[dignity]

Ага и камеры наблюдения над каждым столом.

[NikBSDOpen]

Запретить привелегированный доступ

Что то я не разу не встречал начальника, который добровольно себе закроет что-либо.

Обычно, на удивление быстро, просыпается синдром вахтера. Тому можно, а этому нельзя, если рассматривать именно "корп" уровень. Причем просыпается в крайне извращенном понимании, иногда "хотелки" бывают круче, чем тараканы в голове Мезулиной.

[Casuistic]

Скажите, пожалуйста, можно ли на циске ограничить определенные https хосты ?

[Ivan_83]

Есть альтернативные DNS, в конце концов, как я уже писал tor. Не вариант обсолютно.

Это уже человеческие взаимоотношения а не техническая проблема а решается административно.

[NikBSDOpen]

Это уже человеческие взаимоотношения а не техническая проблема а решается административно.

 

Технически, я описал самый безболезненный вариант. Брать либо "мелкий" srx, либо surfcontrol (можно кстати последний, "прилепить" к первому вполне возможно).