Filtrování protokolu HTTPS

radek

Re: Filtrování protokolu HTTPS
« Odpověď #15 kdy: 05. 05. 2011, 19:43:19 »
ono je fakt zbytecnost neco zakazovat. ja kdyz chodil na stredni, tak jsme meli povolenou vetsinu port (http,ftp,https,icq,...posleze jsem vydupal jabber, ssh, telnet,...) a delalo se to jednoduse- ten co umel to co ucitel rikal, tak byl na netu a ten co nevedel a byl na netu, tak dostal 5 z 5ti minutoveho testiku na konci hodiny... a ono to fungovalo, ten co neumel si nedovoiil brouzdat.


mattv

  • ***
  • 123
    • Zobrazit profil
    • E-mail
Re: Filtrování protokolu HTTPS
« Odpověď #16 kdy: 05. 05. 2011, 21:38:53 »
Proxy mám nastavené přes GPO na celou doménu a když si ho nějaký šikovný žáček vyhodí z prohlížeče, má prostě smůlu :-) Nepomůže mu ani HTTPS či jiné ptákoviny, protože to si zase ošetří SQUID => vykašlete se na transparentní proxy :-)

Vasi studenti asi lezou jen na ten FB, jinak by vedeli, ze existuji takove veci jako
OpenVPN over HTTPS
IP over ICMP
nebo dokonce IP over DNS

kdo opravdu chce tak si vzdy nejakou cestu ven najde.

Je vidět, že jste spravoval síť buď na VŠ nebo na žádné škole :D Vzhledem k tomu, že ICMP mají blokované tak, že mají povolené 2 pakety za vteřinu, tak jim by to bylo jedno... Nevim kam by se připojovali přes OpenVPN a hlavně jak z Windows (Linux ve škole na desktopech fakt nepoužívám, protože to je blbost) a s IP over DNS by asi neprošli taky, neb nejbližší DNS je u nás na Windows Server a ten by to podle mě pustit neměl....

Navíc, vy české studenty asi přeceňujete. Všichni nemakají v IT oboru (přes 90%) a ti fakt neví, co tohle vůbec je :-)

Mordae

Re: Filtrování protokolu HTTPS
« Odpověď #17 kdy: 06. 05. 2011, 09:54:38 »
Nevim kam by se připojovali přes OpenVPN a hlavně jak z Windows (Linux ve škole na desktopech fakt nepoužívám, protože to je blbost)
Ono to ani na Linuxu bez roota nejde uplne snadno.

Citace
a s IP over DNS by asi neprošli taky, neb nejbližší DNS je u nás na Windows Server a ten by to podle mě pustit neměl....
Ale? Takze kdyz se nekdo zepta na a1.tunel.tld, tak se to neresolvne DNS serverem tunel.tld? Pokud tam taky neni nejaky rate limiter, tak to musi projit. Na druhou stranu, aby to bylo k necemu dobre, clovek by potreboval vyrobit ten tunelovy interface... root.

michal

Re: Filtrování protokolu HTTPS
« Odpověď #18 kdy: 06. 05. 2011, 11:57:42 »
Na druhou stranu, aby to bylo k necemu dobre, clovek by potreboval vyrobit ten tunelovy interface...

To se da lehce vyresit. Pred casem jsem pro kamarada, ktery mel zamestnavatele debila, sestavil maly QEMU image (ten pod windows pustite bez prav admina) s nakonfigurovanym OpenWRT. V tom byla tinyproxy, ktera poskytovala tem widlim proxy na portu 8888. A v tom linuxu uz si dle libosti nainstalujete OpenVPN, tor, iodine...

Kit

Re: Filtrování protokolu HTTPS
« Odpověď #19 kdy: 06. 05. 2011, 12:17:52 »
ono je fakt zbytecnost neco zakazovat. ja kdyz chodil na stredni, tak jsme meli povolenou vetsinu port (http,ftp,https,icq,...posleze jsem vydupal jabber, ssh, telnet,...) a delalo se to jednoduse- ten co umel to co ucitel rikal, tak byl na netu a ten co nevedel a byl na netu, tak dostal 5 z 5ti minutoveho testiku na konci hodiny... a ono to fungovalo, ten co neumel si nedovoiil brouzdat.
Podle mne je to jediné správné řešení uvedeného problému. Technické či netechnické zákazy se dají dříve či později nějak obejít - třeba vlastním připojením na net z mobilního zařízení.


Zopper

  • *****
  • 657
    • Zobrazit profil
Re: Filtrování protokolu HTTPS
« Odpověď #20 kdy: 06. 05. 2011, 19:02:32 »

1. vo firewalle nepovolím https port - nezakážem ho, ale nepovolím
   NAT pre tento port.

2. Následne povolím port 443 (https default port) pre konkrétnu MAC
   adresu v sieti nasledujúcim pravidlom: (vytvoril som to pravidlo
   dobre? Malo by fungovať?)

iptables -A FORWARD -p tcp --destination-port 443 -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
S iptables se moc nekamarádím, ale pokud jsem pochopil - chcete povolit https pouze pro stroje učitelů a studentům https znemožnit? A co když si někdo bude chtít poslat emailem třeba výsledek své školní práce? Bez https se na většinu webů, včetně mailserverů, nemáte šanci přihlásit... Opravdu bych raději použil vlastní DNS nebo skript, který by přidával na firewall IP facebooku a podobně.

Stejně tak nechápu, proč říkáte, že vám nevadí FB ale https ano - chcete snad zachytávat sessions?

Re: Filtrování protokolu HTTPS
« Odpověď #21 kdy: 06. 05. 2011, 20:01:26 »
Linux ve škole na desktopech fakt nepoužívám, protože to je blbost.
Nevím, proč by to měla být blbost.
U nás na Gymplu máme Minty, na jedné učebně dualboot s xp, na druhé jen linux. Podle mě je to optimální řešení, alespoň se studenti naučí používat i něco jiného než Mrkwosoftí sw. Většina ho moc nemusí, ale jak jim tam jede internet, jsou spokojení. Samozřejmě existují i výjimky (já).

Zopper

  • *****
  • 657
    • Zobrazit profil
Re: Filtrování protokolu HTTPS
« Odpověď #22 kdy: 06. 05. 2011, 20:59:47 »
U spojení "školy+linux" je problém ve financích. Nevím, jak je to aktuálně, ale když jsem se o tuto oblast zajímal, tak byl stav +- takový, že na stroje s windows dostala škola dotace + samozřejmě nižší ceny pro školy, zatím co na stroje bez windows by nedostala škola ani korunu (nebo aspoň ne tolik). Taky mám pocit, že byl nějaký problém s osnovami. No a když si tohle dáte dohromady, zkuste přesvědčit ředitele, který je rád, že umí zapnout Word. Je to ale už pár let, možná se to změnilo a absolutně netuším, jak je to na slovensku.

ahahaha

Re: Filtrování protokolu HTTPS
« Odpověď #23 kdy: 03. 07. 2011, 22:01:12 »
A proč jste na ty chudáky děti tak zlý? Snad každý učitel si o hodině dokáže ohlídat, co jeho žáci dělají a o přestávkách či hodinách volna to může být každému úplně jedno :)

Karel

Re: Filtrování protokolu HTTPS
« Odpověď #24 kdy: 13. 08. 2011, 21:21:36 »
Je vidět, že jste ve školství nedělal. Zkuste si ohlídat 25 fakanů a k tomu ještě něco vysvětlovat.

nedam

Re: Filtrování protokolu HTTPS
« Odpověď #25 kdy: 13. 08. 2011, 23:32:12 »
Je vidět, že jste ve školství nedělal. Zkuste si ohlídat 25 fakanů a k tomu ještě něco vysvětlovat.

<offtopic>Jestli ono to nahodou neni tim ze i cumeni do zdi je neskutecne produktivni cinnost ve srovnani se skolou...</offtopic>




Xjmeno363klm

Re: Filtrování protokolu HTTPS
« Odpověď #26 kdy: 14. 08. 2011, 01:32:34 »
Jenom taková poznámka - moje zkušenost ze školení Red Hat Certified Engineer celý týden bez jediného připojení ven a šlo to - dokonce se člověk bez netu po chvíli začne tak nudit, že se radši pustí do práce...

na FB a podobný ptákoviny ať si lezou zaměstnanci doma a za své a ne v práci a studentíci o přestávkách a můžou být rádi, že jim z daní platíme elektriku a konektivitu.
pak jich 30% vyletí u státnic a děsně se diví, že je ten FB nic nenaučil...

PS: mám napsaný skript, kterým jednoduše po autorizaci na učebně učitel deaktivuje forwarding a dle žádostí můžu selektivně upravovat. Jediný co bylo zatím potřeba povolit jsou klíče na serverech Acadu a updaty http ubuntu. Učitel pochopitelně konektivitu má

Trident

Re: Filtrování protokolu HTTPS
« Odpověď #27 kdy: 14. 08. 2011, 14:06:37 »
Jenom taková poznámka - moje zkušenost ze školení Red Hat Certified Engineer celý týden bez jediného připojení ven a šlo to - dokonce se člověk bez netu po chvíli začne tak nudit, že se radši pustí do práce...

na FB a podobný ptákoviny ať si lezou zaměstnanci doma a za své a ne v práci a studentíci o přestávkách a můžou být rádi, že jim z daní platíme elektriku a konektivitu.
pak jich 30% vyletí u státnic a děsně se diví, že je ten FB nic nenaučil...

PS: mám napsaný skript, kterým jednoduše po autorizaci na učebně učitel deaktivuje forwarding a dle žádostí můžu selektivně upravovat. Jediný co bylo zatím potřeba povolit jsou klíče na serverech Acadu a updaty http ubuntu. Učitel pochopitelně konektivitu má

Byt studentem, tak stravim den a noc nad tim jak vam to hacknout:) Uz jen proto ze jsem par let jako ucitel pracoval ba dokonce jsem si mezi studentkami nasel pritelkyni, takze mam opravdu objektivni pohled;)
Jsou studenti sikovni. Ti at si delaji co chteji. Klidne at koukaji na porno, ale hlavne abych o tom nevedel. Logy na proxy bych  smazal;)
Jakekoliv omezovani ktere jsme testovali vedlo k tomu ze se studenti nedostali na treba stranky s medicinskou tematikou, ci sexus.cz byl taky v blacklistech a stejne tak hrabstvi essex.
Vzhledem k tomu ze dneska uz muze mit za par supu student svoje mobilni pripojeni k internetu, je to o to vic blbost.

Xjmeno363lkmlk

Re: Filtrování protokolu HTTPS
« Odpověď #28 kdy: 14. 08. 2011, 15:13:33 »
být studentem bla bla bla - choval byste se jako každý jiný, nemachrujte. na střední jste věděl tak akorát jak se pouštěj widle a na vejšce jste začal objevovat iptables. Drže se při zemi - úroveň studentíku v EU je někde jinde než si představujete

zatím to nikdo nehack (nebo se nepochlubil) a až to hackne tak má u mě zápočet jasnej

Xjmeno363lkmlk

Re: Filtrování protokolu HTTPS
« Odpověď #29 kdy: 14. 08. 2011, 15:15:58 »
PS: nějak se to tu začíná bohužel zase zvrhávat od tématu na nesmyslnou diskuzi o ničem (díky spoustě filozofů co nemají k tématu nic konkrétního, páč nic konkrétního neumí)

Takže bych uvítal kdyby se někdo podělil o další technická řešení