Proxy pro https

[Viktor]

Pekny den preji, potrebujem do firmy poridit firewall/router s podporou filtrovani https. Koukal jsem na ZyWall, ktery ma podle dokumentace moznost napojeni na domain controller - pro nas idealni. Potrebuju provadet omezeni webovych adres per uzivatel/skupina.  Jak resite vy blokaci webu s https? Neznate nejake alternativy k ZyWallu?
Pozadavky na router/firewall -
 - dual wan (WAN - WAN; WAN - USB)
 - nastavitelne routovani mezi VLANy nejlepe pomoci firewallu (jak to jde na mikrotiku); aktualne mame Cisco rv320 kde jde jen povolit inter vlan nebo zakazat - uplne na hov..)
 - trafic shaping per ip/uzivatel/sluzba
 - VPN (l2tp/openvpn - idealni/ptpp/...)
 - DHCP server per vlan
 - DHCP static lease
 - DHCP server podpora option 42 (ntp server)
 - NAT/PAT
Pokud nebudete mit nic k tematu a budete chtit jen kritizovat politiku firmy a psat o pokutach zamestnancum apod tak radeji neprispivejte do vlakna. Potrebuju problem resit a ne poslouchat proc to tak nedelat/delat.

[Reklama]

[asdf111]

hociaka proxy s podporou MITM podhadzovania certifikatov, kludne napriklad squid. Ale rataj s tym, ze moderne weby prestanu fungovat. v dobe CDN je to ajtak bud zakazes vsetko, alebo povolis... ziadna cesta medzi tym neexistuje.

[Tuxik]

Nebudu kritizovat politiku firmy, říkat ti ať to neděláš, ani jiný voloviny, je to tvoje volba (tvé firmy), ale počítej s tím, že rozbiješ DANE, což sice momentálně asi zásadně nevadí, ale do budoucna by to mohl být trošku problém.

Edit: Ještě počítej s tím, že tím absolutně zabiješ jakoukoliv důvěryhodnost certifikátů, takže třeba i kdyby jsi měl super poučenou a svědomitou účetní, nebude mít absolutně žádnou možnost ověřit si, že stránky banky, na kterých chce poslat příkaz z firemního účtu, jsou opravdu stránky banky a ne nějaký podvod.

[StandaXXL]

Dost čechů si nechá vysvětlit, že to co chtějí udělat je hloupost. Ovcoprc to bude chtít zrealizovat vždycky...

[?]

Jo jo, není nad to když zaměstnavatel automaticky podvrhuje všechny certifikáty svým. To pak nefunguje ani to, co má fungovat, takže zaměstnanci často nemůžou ani pořádně vykonávat svojí práci, natož rozumně trávit volný čas. Ale jo, bezpečnost na prvním místě.

Vlastně ani ta ne, protože si zaměstnanci zvyknout automaticky odklikávat všechny bezpečnostní varování, přestanou fungovat automatické aktualizace software a podobně.

Podobnou politiku jsme taky ve firmě měli. Dopadlo to tak, že každý měl na PC vlastní proxy přes TOR, případně jiný VPN software, stažený kdoví odkud, protože všechny officiální stránky kde to získat byly zablokované. Takže ve výsledku to dopadlo tak, že IT oficiálně všecko "škodlivé" zablokovalo a nikdo si nestěžoval, a na všech počítačích přitom běžel software kdo ví odkud, a data tekla kdo ví kudy. Všichni spokojeni.

A věř mi, že vždycky se najde někdo kdo tvůj skvělý systém ojebe, třeba si do počítače zapojí vlastní modem/wifi kartu a na celou síť se ti vyjebe. Místo hraní prohlížečových her si budou lidi nosit vlastní hry na datových nosičích, opět pochybného původu, aby měli co hrát.

[Reklama]

[Filip Jirsák]

V první řadě si musíte rozmyslet, co znamená „webová adresa“ – zda je to jen doménové jméno, nebo celá URL. V prvním případě můžete kontrolovat jen SNI a zakázat navázat HTTPS spojení bez SNI. V druhém případě musíte dešifrovat HTTPS spojení, tedy podvrhnout všechny certifikáty, a to už jsme u té nebezpečnostní politiky firmy, kde vám maximálně popřeju hodně štěstí. Že se tím rozbije DANE je řekl bych prkotina, dnes je horší, že se tím rozbije HPKP – nevím, zda prohlížeče umožňují nějak administrátorsky HPKP vypnout.

[Tuxik]

Abych byl trochu konstruktivní, doporučuju směrovat port 53 TCP i UDP natvrdo na vlastní DNS, aby někdo neměl blbý nápady použít gouglí DNS a a logovat jen dotazy. Sice nezjistíš, na kterou stránku kdo leze, ale zjistíš alespoň doménu, což by ti mělo většinou stačit. Spárovat potom data z DNS (doménu) a z firewallu (počet přenesených dat, počet a délka spojení) je celkem triviální úkol. Nic se tím nerozbije, ale přijdeš tím o přesný URL (což nebude zase tak moc zásadní) a obsah komunikace. Pokud mají uživatelé administrátorský přístupy na stanice, dá se to teoreticky obejít zapsáním záznamu do hosts, čímž se vyhne tvé DNS, ale na druhou stranu stejně většinu takové komunikace odhalíš dostatečně přes reverzní záznamy, nebo přes whois. Nicméně, pokud mají ke stanici admin práva, stačí celkem libovolnej otevřenej port ven a kdo bude chtít, tak si to protuneluje.

[j]

Nebudu kritizovat politiku firmy, říkat ti ať to neděláš, ani jiný voloviny, je to tvoje volba (tvé firmy), ale počítej s tím, že rozbiješ DANE, což sice momentálně asi zásadně nevadí, ale do budoucna by to mohl být trošku problém.

Nejen ze rozbije dane(to by se ostatne dalo podvrhnout taky), rozbije toho o dost vic ... napriklad firemni csob pres to fungovat nebude vubec, protoze certifikaty resej pres appku a kdyz web vrati jinej, tak se to proste vubec nepripoji. A pak tu mame jeste ty uzasny HPKP hlavicky, to rozbije taky naprosto dokonale. Takze pokud to nejakej web posila, tak se k nemu z ty firmy taky nikdo nikdy nepripoji.

BTW: Taky sem nekolikrat proxy zprovoznoval, zcela 100% to skoncilo do 14 dnu jejim vypnutim. Samo neni nad nazornou ukazu, na upozorneni ze to nebude a nemuze fungovat nikdo nereflektoval.

[Viktor]

Super dekuji za reakce - co se tyce bank a certifikatu to me vubec nenapadlo.
Jsem rad ze se vlaknonezvrhlo v kritiku firmy. Neni moje ale delam pro ni Kazdopadne problem blokace facebook a streamovacich sluzeb je obrobvsky. Jak donutite aby lidi ve firme necuceli na videa? Nejde o to, ze cuci, at si to pusti o tom zadna. At si ctou na netu, ale jak zacnou volat lidi, ze jim nejdou stahnout emaily, protoze nejaky dement ve vyrobe ma zaple full hd video z youtubu, ksichtbook, ... to je na posrani. Vedeni firmy se proto rozhodlo to radikalne resit. Napadlo me jeste vyuzit vlastni dns server, ale ty prolinky to je neresitelne.

[Viktor]

Abych byl trochu konstruktivní, doporučuju směrovat port 53 TCP i UDP natvrdo na vlastní DNS, aby někdo neměl blbý nápady použít gouglí DNS a a logovat jen dotazy. Sice nezjistíš, na kterou stránku kdo leze, ale zjistíš alespoň doménu, což by ti mělo většinou stačit. Spárovat potom data z DNS (doménu) a z firewallu (počet přenesených dat, počet a délka spojení) je celkem triviální úkol. Nic se tím nerozbije, ale přijdeš tím o přesný URL (což nebude zase tak moc zásadní) a obsah komunikace. Pokud mají uživatelé administrátorský přístupy na stanice, dá se to teoreticky obejít zapsáním záznamu do hosts, čímž se vyhne tvé DNS, ale na druhou stranu stejně většinu takové komunikace odhalíš dostatečně přes reverzní záznamy, nebo přes whois. Nicméně, pokud mají ke stanici admin práva, stačí celkem libovolnej otevřenej port ven a kdo bude chtít, tak si to protuneluje.

Nemaji admin prava,  jen uzivatelska. Mame DC takze i DNS - zkusim do nej vlozit nechtene weby.

[Heh?]

ale jak zacnou volat lidi, ze jim nejdou stahnout emaily, protoze nejaky dement ve vyrobe ma zaple full hd video z youtubu, ksichtbook, ... to je na posrani.

Ale to je potom chybny navrh siete. Preco vyroba je v rovnakom subnete ako office? A preco nemas aplikovane QOS pripadne shaping na ten subnet? Riesit to generalnym blockom je trochu ako kanon na komara

[Viktor]

Ale to je potom chybny navrh siete. Preco vyroba je v rovnakom subnete ako office? A preco nemas aplikovane QOS pripadne shaping na ten subnet? Riesit to generalnym blockom je trochu ako kanon na komara

Navrh site je v poradku. Vyroba je separovana do vlanu ale do ted se neresilo omezeni. Shaping bych chtel a mel resit viz. muj dotaz. Hledam router ktery to umi. A blokovat celou domenu pomoci dns nebude asi ta spravna cesta a asi by to ani neproslo u vedeni.Opet se vracim zpet k proxy, pres kterou bych hnal jen usery, kteri maji mit provoz filtrovany. Tzn neco jako vychozi praidlo povol vse a nezasahuj do pripojeni, ale pokud je pripojeni na nezadouci stranky blokuj. Tim by se nezasahovalo do pripojeni napr k bankam a pod. Otazka je jestli to jde a taky s jakym hardwarem.

[MP]

Ale to je potom chybny navrh siete. Preco vyroba je v rovnakom subnete ako office? A preco nemas aplikovane QOS pripadne shaping na ten subnet? Riesit to generalnym blockom je trochu ako kanon na komara

Navrh site je v poradku. Vyroba je separovana do vlanu ale do ted se neresilo omezeni. Shaping bych chtel a mel resit viz. muj dotaz. Hledam router ktery to umi. A blokovat celou domenu pomoci dns nebude asi ta spravna cesta a asi by to ani neproslo u vedeni.Opet se vracim zpet k proxy, pres kterou bych hnal jen usery, kteri maji mit provoz filtrovany. Tzn neco jako vychozi praidlo povol vse a nezasahuj do pripojeni, ale pokud je pripojeni na nezadouci stranky blokuj. Tim by se nezasahovalo do pripojeni napr k bankam a pod. Otazka je jestli to jde a taky s jakym hardwarem.

Jediny co bude fungovat, je banlist, ne whitelist, v pripade proxy. Jinak se bude pro kazdy povolovany web muset osetrit kazdy externi zdroj, ktery ta stranka pouziva. A ze jich je (google api, cdn, atd). A na MITM certifikaty bych zapomel rovnou - stacilo videt, kdyz Avast sahnul do https spojeni a komercni web na https zobrazoval varovani o chybnem certifikatu. Nejlepsi cesta je otestovat omezeni na vedeni, aby videli, jak se to chova.

[?]

Jakýkoliv blacklist ti obejdou například TORem, VPN a podobně. Asi to ale nebudou dělat nějaký pipiny v kanclu, ale ani to nelze vyloučit, protože stačí se zeptat googlu a kliknout na první odkaz. Je úplně jedno, zda jim to zprovozní fb nebo ne, ale spustí ti na PC nějakou aplikaci kdo ví odkud.

[smoofy]

HPKP by v tomto pripade byt problem nemelo za predpokladu pouziti vlastniho duveryhodneho certifikatu.
"The RFC 7469 standard recommends disabling pinning violation reports for "user-defined" root certificates, where it is "acceptable" for the browser to disable pin validation."

Problem s bankovnictvim v pripade kontrolni aplikace se da zase vyresit separatni vlanou pro oddeleni ktere to bezpodminecne potrebuje a ostatni at si tam lezou z domova.