[Rezor666]

Tonny_Bennet, Если мне память не изменяет то новая бета SQUID 3 умеет фильтровать https трафик.
И такой фильтр не спасет от MITM атаки.
Лучшая защита от MITM это статические ARP таблицы или использование IDS.

[Tonny_Bennet]

Цитата Rezor666:

Tonny_Bennet, Если мне память не изменяет то новая бета SQUID 3 умеет фильтровать https трафик. »

Похоже что в прозрачном режиме не умеет http://habrahabr.ru/post/168515/ http://serverfault.com/questions/369...rent-ssl-proxy

Цитата Rezor666:

И такой фильтр не спасет от MITM атаки. Лучшая защита от MITM это статические ARP таблицы или использование IDS. »

Вопрос не в том, что спасёт или нет. А в том, что если просто попробовать завернуть трафик 443 порта на прокси то работать это дело не будет

Может есть методы без использования прокси сервера?

[Rezor666]

Tonny_Bennet,
Я не понимаю смысл этого.
Если только фильтрация то лучше способа чем squid я лично не знаю.
Если интересует защита от перехвата то желательно использовать IDS ибо спасет не только от MITM но и от другой заразы типа Exploit.
И те статьи уже не актуальный, ищите информацию на сайте SQUID.

[exo]

Цитата Tonny_Bennet:

Может есть методы без использования прокси сервера? »

я тут недавно озадачился просто биллингом трафика. Настроил syslog-логи о трафике отправлять на сервер.
Весь трафик прекрасно видится, кроме HTTPS и SSH.
И дело не в том, что шлюз не видит этот трафик или сквид, просто SSL шифрует трафик на клиенте и что там смотреть? Кашу?
Фильтровать, скорее всего можно, но на уровне - разрешить\запретить. Прокси для этого не обязателен. Достаточно на фаерволе запретить 443 порт на запретный ресурс.
Но порт же можно поменять на веб-сервере...

[Rezor666]

exo,
Есть декрипторы https трафика.
Например Fiddler2.

[Tonny_Bennet]

Rezor666, у нас в организации установлен жёсткий запрет на использование социальных сетей в рабочее время. Squid c этим справляется - блокирует и подсети и доменные имена. Но как только мы вводим https://vk.com - трафик на прокси не заворачивается. А если все сайты перейдут на https? Такими методами ограничить доступ не получится....

Можно конечно придумать костыль и через BIND возвращать IP адреса какой-нибудь локальной гневной странички, а в iptables запретить доступ в подсети социальных сетей. Но как быть с правилами, работающими по времени? С авторизацией пользователей? С динамическими адресами в сети? С логированием адресов посещаемых сайтов?

[Rezor666]

Tonny_Bennet,
Вариант самый легкий - блокировать ip адреса социальных сетей. На сколько мне известно на этих ip больше нечего не весит.
Вариант труднее - Качать новый squid и пробовать.
Вариант самый трудный, блокировать по Layer7, но тогда всякие лайки и прочая муть тоже работать не будет.

Ах да, или просто дампить трафик а потом к директору на стол, всех любителей https.

[topotun32]

Rezor666, можно проще - запретить локальным актом, а потом рублем наказывать. Ну или план работы на день давать такой, что б до социалок руки не доходили.
Совсем недавно на работе видел товарища со своим планшетом и 3G - ему ж не запретить работать. BYOD решает )))

[Rezor666]

Цитата topotun32:

Совсем недавно на работе видел товарища со своим планшетом и 3G - ему ж не запретить работать. »

Глушилкой нафиг.
Кстати у нас на работе было, стоит отметить что очень хорошо когда тебе не кто не звонит и ты можешь спокойно работать.
В первые дни правда было трудно отвыкнуть а потом привыкаешь.