Солбон Опубликовано 19 Февраля 2022 Жалоба Поделиться Опубликовано 19 Февраля 2022 Здравствуйте! Подскажите пожалуйста, почему не отрабатывает контент фильтр прокси сервера? Настроили Межсетевой экран на Vipnet Coordinator HW1000. Настроили прокси сервер в прозрачном режиме. Прокси сервер отрабатывает: Раздает инет при вкл, отключает инет при выкл для локальной открытой сети. Но не отрабатывает контент фильтр Прокси сервера. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 20 Февраля 2022 Жалоба Поделиться Опубликовано 20 Февраля 2022 18 часов назад, Солбон сказал: Здравствуйте! Подскажите пожалуйста, почему не отрабатывает контент фильтр прокси сервера? Настроили Межсетевой экран на Vipnet Coordinator HW1000. Настроили прокси сервер в прозрачном режиме. Прокси сервер отрабатывает: Раздает инет при вкл, отключает инет при выкл для локальной открытой сети. Но не отрабатывает контент фильтр Прокси сервера. В прозрачном режиме работать не будет. Сейчас 90% ресурсов раюотает по tls, на координатор поступает шифрованный трафик, он не может разобрать что внутри. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Солбон Опубликовано 20 Февраля 2022 Автор Жалоба Поделиться Опубликовано 20 Февраля 2022 3 часа назад, R.Sheyn сказал: В прозрачном режиме работать не будет. Сейчас 90% ресурсов раюотает по tls, на координатор поступает шифрованный трафик, он не может разобрать что внутри. а в обычном режиме будет работать ? ("Прозрачный" режим выключен). Указали IP-адрес и порт прокси-сервера в веб-браузере, все равно не отрабатывает контент фильтр(хотя если задать полностью запрет в контент фильтре, то интернет пропадает). Может не правильно прописываю правила? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 20 Февраля 2022 Жалоба Поделиться Опубликовано 20 Февраля 2022 50 минут назад, Солбон сказал: а в обычном режиме будет работать ? ("Прозрачный" режим выключен). Указали IP-адрес и порт прокси-сервера в веб-браузере, все равно не отрабатывает контент фильтр(хотя если задать полностью запрет в контент фильтре, то интернет пропадает). Может не правильно прописываю правила? Должно работать Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 21 Февраля 2022 Жалоба Поделиться Опубликовано 21 Февраля 2022 Оно и в обычном не будет работать. И по той же самой причине. Хочется фильтровать на прокси - осваивайте MiTM :) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 21 Февраля 2022 Жалоба Поделиться Опубликовано 21 Февраля 2022 6 часов назад, basid сказал: Оно и в обычном не будет работать. И по той же самой причине. Хочется фильтровать на прокси - осваивайте MiTM Че это не будет? Mitm нужен для инспекции, а для фильтрации по хостнеймам нет. Если прокси настрен в explicit режиме, то при обращении через прокси браузер отправляет на прокси connect запрос с хостнеймом в открытом виде. На этом этапе и производится фильтрация по хостнеймам. Да, после этого уже будет построен туннель в котором уже не поковыряешься, но в данном случае этого и не требуется. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 21 Февраля 2022 Жалоба Поделиться Опубликовано 21 Февраля 2022 DNS сервера на конечных машинах еще посмотрите... DNS запросы на стронние DNS сервера через координатора не должны проходить... может не в тему Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 21 Февраля 2022 Жалоба Поделиться Опубликовано 21 Февраля 2022 5 часов назад, R.Sheyn сказал: Если прокси настрен в explicit режиме, то при обращении через прокси браузер отправляет на прокси connect запрос с хостнеймом в открытом виде. RFC 2817 опубликован в мае двухтысячного. И нет ни малейшей гарантии, что upgrade-запрос уйдёт в том виде, который вы ожидаете. Частично, если не ошибаюсь, "спасает" SSL-bump-инг, когда прокси смотрит SNI из TLS-обмена, но и для этого уже придумали eSNI. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 22 Февраля 2022 Жалоба Поделиться Опубликовано 22 Февраля 2022 15 часов назад, basid сказал: RFC 2817 опубликован в мае двухтысячного. И нет ни малейшей гарантии, что upgrade-запрос уйдёт в том виде, который вы ожидаете. Частично, если не ошибаюсь, "спасает" SSL-bump-инг, когда прокси смотрит SNI из TLS-обмена, но и для этого уже придумали eSNI. Апгрейд уходит в таком же коннект запросе, читайте 5й пункт. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 22 Февраля 2022 Жалоба Поделиться Опубликовано 22 Февраля 2022 Хорошо, поясню. "Классический" SSL не позволяет организовать виртуальный хостинг, что несколько расточительно в смысле требуемых IP-адресов. Поэтому уже в июне 2003 был опубликован RFC 3546, где (среди прочих) описано "Server Name Indication". Следовательно, браузер может запросить TLS-upgrade по IP-адресу и указать желаемый хост в процессе установления TLS-соединения с этим IP-адресом. Поэтому SSL-bumping - работает, а фильтрация по именам - нет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 22 Февраля 2022 Жалоба Поделиться Опубликовано 22 Февраля 2022 1 час назад, basid сказал: Хорошо, поясню. "Классический" SSL не позволяет организовать виртуальный хостинг, что несколько расточительно в смысле требуемых IP-адресов. Поэтому уже в июне 2003 был опубликован RFC 3546, где (среди прочих) описано "Server Name Indication". Следовательно, браузер может запросить TLS-upgrade по IP-адресу и указать желаемый хост в процессе установления TLS-соединения с этим IP-адресом. Поэтому SSL-bumping - работает, а фильтрация по именам - нет. абсолютно необязательно бампить, чтобы смотреть в sni, sni передается в незашифрованном виде. Ни еSNI ни, тем более ECH, еще не получили массового распространения, а eSNI вообще у нас блокируется(должен) провайдерами. Еще раз, когда прокси работает в explicit режиме абсолютно необязательно расшифровывать TLS, чтобы фильтровать по хостнеймам. Достаточно заглянуть в клиент хеллоу или иное сообщение с хостнеймом, для это необязаиетельно вставать посреди туннеля. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 22 Февраля 2022 Жалоба Поделиться Опубликовано 22 Февраля 2022 Чтобы "заглянуть" в TLS-приветствие требуется "специально обученный" прокси. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 22 Февраля 2022 Жалоба Поделиться Опубликовано 22 Февраля 2022 46 минут назад, basid сказал: Чтобы "заглянуть" в TLS-приветствие требуется "специально обученный" прокси. тут согласен. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 22 Февраля 2022 Жалоба Поделиться Опубликовано 22 Февраля 2022 52 минуты назад, basid сказал: Чтобы "заглянуть" в TLS-приветствие требуется "специально обученный" прокси. Так координатор это может? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 22 Февраля 2022 Жалоба Поделиться Опубликовано 22 Февраля 2022 53 минуты назад, KostiK2011IT сказал: Так координатор это может? на факт, насколько я помню инфотекс вообще хотел отказаться от прокси на координаторе, а в xfw сделать нормальный прокси с распаковкой tls Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 22 Февраля 2022 Жалоба Поделиться Опубликовано 22 Февраля 2022 2 минуты назад, R.Sheyn сказал: на факт, насколько я помню инфотекс вообще хотел отказаться от прокси на координаторе, а в xfw сделать нормальный прокси с распаковкой tls в xFw 5, помимо опций фильтрации, которые есть в координаторе, есть DPI... это оно? Только начинаю разбираться xFw, запросил на тест в поддержке... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 22 Февраля 2022 Жалоба Поделиться Опубликовано 22 Февраля 2022 46 минут назад, KostiK2011IT сказал: в xFw 5, помимо опций фильтрации, которые есть в координаторе, есть DPI... это оно? Только начинаю разбираться xFw, запросил на тест в поддержке... Рано запросили: https://infotecs.ru/webinars/archive/vipnet-xfirewall-5-6-0-novye-vozmozhnosti-shlyuza-bezopasnosti-klassa-ngfw.html Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 22 Февраля 2022 Жалоба Поделиться Опубликовано 22 Февраля 2022 1 час назад, zero сказал: Рано запросили: https://infotecs.ru/webinars/archive/vipnet-xfirewall-5-6-0-novye-vozmozhnosti-shlyuza-bezopasnosti-klassa-ngfw.html Точно, был же вебинар, жалко, что онлайн пропустил, надо посмотреть будет. Версию 5.6 на тест дают уже? Я так понял, в ней как раз, что писали выше и сделали - SSL Inspection) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 22 Февраля 2022 Жалоба Поделиться Опубликовано 22 Февраля 2022 Только что, KostiK2011IT сказал: Точно, был же вебинар, жалко, что онлайн пропустил, надо посмотреть будет. Версию 5.6 на тест дают уже? Я так понял, в ней как раз, что писали выше и сделали - SSL Inspection) по моему еще не дают. Пока 5.4. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Солбон Опубликовано 22 Февраля 2022 Автор Жалоба Поделиться Опубликовано 22 Февраля 2022 23 часа назад, KostiK2011IT сказал: DNS сервера на конечных машинах еще посмотрите... DNS запросы на стронние DNS сервера через координатора не должны проходить... может не в тему Да, всё заблокировано, dns на конечных машинах прописан адрес Координатора, и проброс координатор - server dns Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 22 Февраля 2022 Жалоба Поделиться Опубликовано 22 Февраля 2022 2 минуты назад, zero сказал: по моему еще не дают. Пока 5.4. Спасибо! 5.4.1 получил уже, буду тестировать... потом обновление попробую запросить до 5.6 И как я понимаю xFw позиционируется, как комплексный шлюз безопасности. А HW - больше крипто шлюз с межсетевым экраном - в нем "тонко" фильтровать трафик во "внешний мир", как xFw не получится. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 22 Февраля 2022 Жалоба Поделиться Опубликовано 22 Февраля 2022 4 часа назад, KostiK2011IT сказал: Спасибо! 5.4.1 получил уже, буду тестировать... потом обновление попробую запросить до 5.6 И как я понимаю xFw позиционируется, как комплексный шлюз безопасности. А HW - больше крипто шлюз с межсетевым экраном - в нем "тонко" фильтровать трафик во "внешний мир", как xFw не получится. Основное назначение hw - шифровать, xfw - файрволить. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.