Здравствуйте.

Есть достаточно распространённый вариант организации локальной сети предприятия: канал в интернет -- шлюз NAT (он же прозрачный прокси под Ubuntu Server) -- локальная сеть.

Думаю, что ни для кого не секрет, что фильтровать стандартными способами (используя прокси-сервер) https трафик невозможно, т.к. реализуется MITM-атака (http://ru.wikipedia.org/wiki/%D7%E5%EB%EE%E2%E5%EA_%EF%EE%F1%E5%F0%E5%E4%E8%ED%E5). И весь смысл https пропадает.

Наверняка существует какой-то класс программ или пристроек при помощи которых можно фильтровать трафик. Подскажите как можно реализовать фильтрацию трафика по URL с использованием https:\\?

Tonny_Bennet, Если мне память не изменяет то новая бета SQUID 3 умеет фильтровать https трафик.
И такой фильтр не спасет от MITM атаки.
Лучшая защита от MITM это статические ARP таблицы или использование IDS.

Tonny_Bennet, Если мне память не изменяет то новая бета SQUID 3 умеет фильтровать https трафик. »
Похоже что в прозрачном режиме не умеет http://habrahabr.ru/post/168515/ http://serverfault.com/questions/369829/setting-up-a-transparent-ssl-proxy

И такой фильтр не спасет от MITM атаки.
Лучшая защита от MITM это статические ARP таблицы или использование IDS. »
Вопрос не в том, что спасёт или нет. А в том, что если просто попробовать завернуть трафик 443 порта на прокси то работать это дело не будет :(

Может есть методы без использования прокси сервера?

Tonny_Bennet,
Я не понимаю смысл этого.
Если только фильтрация то лучше способа чем squid я лично не знаю.
Если интересует защита от перехвата то желательно использовать IDS ибо спасет не только от MITM но и от другой заразы типа Exploit.
И те статьи уже не актуальный, ищите информацию на сайте SQUID.

Может есть методы без использования прокси сервера? »
я тут недавно озадачился просто биллингом трафика. Настроил syslog-логи о трафике отправлять на сервер.
Весь трафик прекрасно видится, кроме HTTPS и SSH.
И дело не в том, что шлюз не видит этот трафик или сквид, просто SSL шифрует трафик на клиенте и что там смотреть? Кашу?
Фильтровать, скорее всего можно, но на уровне - разрешить\запретить. Прокси для этого не обязателен. Достаточно на фаерволе запретить 443 порт на запретный ресурс.
Но порт же можно поменять на веб-сервере...

exo,
Есть декрипторы https трафика.
Например Fiddler2 (http://fiddler2.com/).

Rezor666, у нас в организации установлен жёсткий запрет на использование социальных сетей в рабочее время. Squid c этим справляется - блокирует и подсети и доменные имена. Но как только мы вводим https://vk.com - трафик на прокси не заворачивается. А если все сайты перейдут на https? Такими методами ограничить доступ не получится....

Можно конечно придумать костыль и через BIND возвращать IP адреса какой-нибудь локальной гневной странички, а в iptables запретить доступ в подсети социальных сетей. Но как быть с правилами, работающими по времени? С авторизацией пользователей? С динамическими адресами в сети? С логированием адресов посещаемых сайтов?

Tonny_Bennet,
Вариант самый легкий - блокировать ip адреса социальных сетей. На сколько мне известно на этих ip больше нечего не весит.
Вариант труднее - Качать новый squid и пробовать.
Вариант самый трудный, блокировать по Layer7, но тогда всякие лайки и прочая муть тоже работать не будет.

Ах да, или просто дампить трафик а потом к директору на стол, всех любителей https.

Rezor666, можно проще - запретить локальным актом, а потом рублем наказывать. Ну или план работы на день давать такой, что б до социалок руки не доходили.
Совсем недавно на работе видел товарища со своим планшетом и 3G - ему ж не запретить работать. BYOD решает )))

Совсем недавно на работе видел товарища со своим планшетом и 3G - ему ж не запретить работать. »
Глушилкой нафиг.
Кстати у нас на работе было, стоит отметить что очень хорошо когда тебе не кто не звонит и ты можешь спокойно работать.
В первые дни правда было трудно отвыкнуть а потом привыкаешь.

Rezor666, а если у меня мелкий ребенок дома ОДИН? Или у Вас работа няню позволяет нанимать?

Rezor666, а если у меня мелкий ребенок дома ОДИН? Или у Вас работа няню позволяет нанимать? »
У меня жена дома.
И я всегда могу с ней связаться через интернет или позвонить когда выйду на улицу.
В крайнем случае есть рабочий телефон.

у нас в организации установлен жёсткий запрет на использование социальных сетей в рабочее время »
значит, если запретить нельзя, просто смотрите кто где что посещает - а потом на ковёр.
Есть декрипторы https трафика. »
я так понял, это ставится на локальную машину, но не на роутер, где у меня логи генерятся.

я так понял, это ставится на локальную машину, но не на роутер, где у меня логи генерятся. »
Ну... Я думаю что и под Linux есть подобное и что можно с легкость установить на шлюз.

Я думаю что и под Linux есть подобное и что можно с легкость установить на шлюз. »
у меня шлюз - Juniper SSG5 со своей осью. Я так понял, там что-то из БЗД. Но ставить что-либо в роутер... не хочу нарушать работающий функционал.
Через два месяца ожидается смена провайдера и появление реальных адресов - буду прозрачный прокси ставить. Только тс-с-с-с...

Через два месяца ожидается смена провайдера и появление реальных адресов - буду прозрачный прокси ставить. Только тс-с-с-с... »
Правильный выбор :clapping: Скажем НЕТ анонимности пользователей :laugh:

Rezor666, дело то не в анонимности. а то, чем они занимаются в рабочее время.

Rezor666, дело то не в анонимности. а то, чем они занимаются в рабочее время. »
Как будто мы целыми днями работаем.
Мы тоже иногда зависаем на форумах или еще где-то.
У нас на работе можно в тренировочный зал сходить, сходить погулять, помыться, на тренинги разные и.т.д
Все мы люди и нельзя все время только работать.

Мы тоже иногда зависаем на форумах или еще где-то. »
это и есть наша работа )

У нас на работе можно в тренировочный зал сходить, сходить погулять, помыться, на тренинги разные и.т.д »
Какая интересная у Вас работа однако.

Через два месяца ожидается смена провайдера и появление реальных адресов - буду прозрачный прокси ставить. »
Кстати, нечто подобное и у нас планируется. 21 век на дворе, а мы всё на модеме с минимальной отдачей.

Цитата Rezor666:
Мы тоже иногда зависаем на форумах или еще где-то. »
это и есть наша работа ) »
+1