BYODプログラムを導入した学校ネットワークを運営しています。 Mind(dansguardianのフォーク)によるコンテンツフィルタリングを備えたLinuxプロキシ(squid)があります。すべてがHTTPで正常に機能します。問題は、子供がHTTPSを使い始めたときの問題です。私の最大の問題は、サファリでグーグル検索を行うときにAppleがHTTPSの使用に切り替わったことです。これにより、子供たちはMinDでセーフサーチを強制せずに検索を行うことができます。私に何ができるか知りたいです。これについて。これを止める方法はありますか?助けてくれてありがとう!
安全な検索をhttpにリダイレクトするようにグーグルに依頼することが可能になりました- https://support.google.com/websearch/answer/186669?hl=en この件に関するグーグルのヘルプページです。彼らはDNSトリックを使用することを提案していますが、これはWindows 2008r2では難しい場合があります-私は個人的に、同じ目標を達成するために接続ヘッダーの書き換えを好みます。これはすべての優れたWebフィルター(および一部の悪いフィルター)で実行できます。
私は Smoothwall で働いており、そのような機能を備えたフィルターと、他のSSLフィルタリングを実行する機能を提供しています。私は偏見がありますが、ぜひご覧になることをお勧めします。タフなものになると、自分でロールするよりもはるかに簡単です。公平性のために、他にもWebフィルターがあります:)
Squidは Bump-Server-Firstを使用したSslBump という機能をサポートしています。これは基本的に、ブラウザがブラウザとホストの間に安全な接続を確立しようとすることを意味します。 Squidキャッシュは傍受された接続を取得し、Squidは外部接続を確立します。次に、ユーザーへの安全な接続を完了します。 Squidは基本的にユーザー/イカ部分の認証局であるため、トラフィックを解読してキャッシュ/フィルタリングできます。
これはSSLを設計した人々が攻撃ベクトルである可能性があると考えたものであるため、乗り越えるにはいくつかの問題があります。 Squidは 動的な証明書生成 をサポートしているため、証明書ドメインはクライアント側で一致し、元の 証明書情報はクライアントに渡されます の一部を持ちます。クライアントデバイスがCA証明書を信頼できる場合、これはすべてかなりシームレスに実行できます。人々が自分のデバイスを使用している場合、それは少し難しいです。
注意すべき点は、キャッシュがこれらのデバイスに対するサードパーティの信頼を制御していることです。動的証明書で模倣される情報は、これを軽減するために何らかの方法で役立ちますが、誰かがプロキシからさらに離れた中間者攻撃を行う場合、ユーザーに悪影響を及ぼす可能性のあるものを盲目的に信頼するようにsquidを構成することは可能です、 例えば。
できることはたくさんありません。google.comの自己署名SSL証明書を生成し、トラフィックをMITMすると、子供たちの機知に依存する場合を除いて、必要に応じて検査してブロックすることができます。であり、自己署名証明書を受け入れるプロセスに該当するかどうか。
それもおそらく違法です。 HTTPSトラフィックを完全にブロックすることもできますが、それはおそらくあらゆる種類のものを壊すでしょう。