Sziasztok!
Lehet e proxy használatot beállítani úgy, hogy a böngészőben nem állítjuk be a proxyzást?(és mégis le lesznek tiltva oldalak)
- 377 megtekintés
Hozzászólások
lehet
- A hozzászóláshoz be kell jelentkezni
Szia!
Igen, a hálózati beálltástól függően a webproxy kiszolgálók tudnak transzparens módon, a kliensek számára nem láthatóan a forgalomba ékelődni.
Ha SSL-t is bontani akarsz a forgalom vizsgálathoz, meg kell tudni oldani, hogy minden kliensre felkerüljön (központilag vagy manuálisan) a proxy által bontásra használt (jellemzően Subordinate CA) tanúsítvány.
Érdemes bizonyos webkategóriákat (pl.: bankolásra használt oldalakat) SSL kivételre (bypassra) felvenni, valamint a kliens alkalmazások működéséhez külön kezelni az egyes kivételeket.
Sok alkalmazás már vizsgálja a kapcsolat felépítésekor, hogy a kliens a gyártó által beégetett tanúsítvánnyal próbál-e a saját távoli szerveréhez kapcsolódni, vagy "kéretlenül" beleállsz a forgalomba (MITM), így kapcsolódni, működni sem fognak.
A klienseket tájékoztatni kell a forgalom monitorozásáról valamint a keletkezett adataik miként lesznek kezelve.
Mind hálózati konfigurációval, mind szabályozással javasolt tiltani az eszköz kikerülésére való módosítási kísérleteket.
- A hozzászóláshoz be kell jelentkezni
Ha azon gondolkozol, hogy oldalakat ne lehessen elérni, akkor proxy-ás helyet DNS alapú szűrésen is lehetne gondolkodni. Talán egyszerűbb kivitelezni, de kevésbé biztonságosnak tartják.
- A hozzászóláshoz be kell jelentkezni
Főleg, hogy a DNS over HTTPS kissé nehézzé is teszi a DNS alapú letiltást.
- A hozzászóláshoz be kell jelentkezni
Még mindig van WPAD, nem?
- A hozzászóláshoz be kell jelentkezni
van, csak ha beallitod a bongeszoben hogy nincs proxy, akkor nem hasznalja.
illetve ha a dhcp updateli a dns-t, akkor meg kell oldani, hogy ha valaki csatlakozik a halozatra egy wpad nevu geppel, akkor megse updatelje a dns-t, kulonben azon megy keresztul a forgalom.
neked aztan fura humorod van...
- A hozzászóláshoz be kell jelentkezni
Ahhoz az is kell, hogy a wpad nevű gép produkáljon valid konfigot. Persze ettől még szándékosan el lehet téríteni, mert tippre a DHCP-s konfigurálás kb. orosz rulett.
- A hozzászóláshoz be kell jelentkezni
szerintem ha valaki azt a nevet adja a gepenek hogy wpad, az nem a veletlen muve.
neked aztan fura humorod van...
- A hozzászóláshoz be kell jelentkezni
Naja, felettébb gyanús, hehe.
- A hozzászóláshoz be kell jelentkezni
Fixen beépített neveket nem tudom melyik dhcp szerver írná át, emlékeim szerint az isc dhcpd pl. csak akkor piszkál egy meglévő rekordot, ha tud a hozzá tartozó TXT-ről. AD-be meg a gépneveket az Admin regisztrálja (domain join).
- A hozzászóláshoz be kell jelentkezni
Nekem elsőnek az ugrott be, hogy van egy keresési sorrend vagy mi.
Azaz először keresi a wpad.subdomain.domain.tld -t, aztán ha az nem okés, akkor a wpad.domain.tld -t. Na, és ha a wpad.domain.tld a hivatalos, akkor közbe lehet furakodni. Persze ezt kivédeni tényleg elég felvenni egy wpad rekordot a DNS-be.
Már ha nem értek félre valamit :)
- A hozzászóláshoz be kell jelentkezni
Mondjuk ez igaz. Wikipedia szerint még mindig van wpad.co.uk. És valóban van ilyen, éppen parkol :D
- A hozzászóláshoz be kell jelentkezni