Proxy tartalom szűrés kijátszása

Hálózatok egyéb

Üdv mindenkinek!

A minap merült fel egy érdekes probléma. Hogyan lehet kikerülni a tartalomszűrést?Adott egy belső hálózat ahonnan egy squid+dansguardian+clamav proxy megoldáson keresztül lehet kimenni az internetre. A proxy-n megfelelő tartalomszűrés van beállitva: kártékony kódok szűrése, stb...

Normális esetben ez jól működik, de ha valaki felépít egy titkosított csatornát egy külső proxy-n keresztül, akkor csődöt mond a tartalomszűrés. Minek következtében bármilyen tartalomhoz (pl. virusok) hozzáférhetnek a belső hálózatról.

Ilyen kikerülő megoldást kínál például ez: http://tor.eff.org/overview.html.en
és itt a konkrét program: http://www.torrify.com/

Van valamilyen megoldás az ilyen trükkök kivédésére?

A külső proxy-k elérésének tiltását képtelenség beállítani a csomagszűrésben mert nagyon sok van belőlük. Valami olyan megoldásra gondolok, hogy a két fél közé állva "harmadikként" elhiteti a két féllel, hogy rendben van a titkosított csatorna, de eközben képes a tartalomhoz hozzáférni.

Létezik ilyen megoldás?

  • 10377 megtekintés

( bounty v | 2006. 11. 03., p – 17:05 )

Nálunk is felmerült ez a probléma. Igazából a dansguardian tartalomszűrése nagyrészt megoldja, hisz egy pornóoldalt hiába nézel külső proxyn keresztül, a tartalma ugyanaz lesz és emiatt letiltódik.

Másrészt a proxy oldalak nagyrészét is ki lehet tiltani dansos súlyozott listákkal, van eleve mellékelve hozzá proxykra vonatkozó szólista. Mi ezeket a szabályokat állítgattuk, és több, mint 90%-ban tiltja így ezeket az oldalakat, sőt pl. google-ben nem is tudsz ilyenekre keresni, mert a találati oldalt is kitiltja :)

pl. ez a torrify se jön be, pedig nem tiltottuk direktben

...egy pornóoldalt hiába nézel külső proxyn keresztül, a tartalma ugyanaz lesz...

Hát pont ez az hogy sajnos nem... mert titkosítva megy az adatforgalom és a dansguardian nem tud hozáférni a tartalomhoz.

Másrészt a proxy oldalak nagyrészét is ki lehet tiltani dansos súlyozott listákkal...

Több száz vagy több ezer ip címmel (nincs dns bejegyzés) én nem tudok mit kezdeni. Nem tudom hogy a konkrét felsorolásukon kívül hogyan lehetne megfogni őket.

...google-ben nem is tudsz ilyenekre keresni, mert a találati oldalt is kitiltja...

Csak akkor van baj hogy ha otthonról beviszi a dolgozó a programot... :) Még telepíteni sem kell.

Próbáld csak ki! Töltsd le a programot http://www.freehaven.net/~arrakis/release/Torpark_1.5.0.7.exe és próbáld ki. Amikor elindult a program akkor az eszköztáron lévő kis hagyma ikonon ne legyen piros iksz.

--
maszili

( wildy | 2006. 11. 03., p – 17:22 )

Mi az hogy felepit egy titkositott csatornat??? Rendes korlatozasokat kell kialakitani, minden csak proxy-n keresztul mehessen (proxy != squid). A squid-en a minimum a CONNECT csak bizonyos helyekre engedelyezese, hogy ne tudjon mindenki tunnel-ezni. SZVSZ a Zorp a legjobb ebben, azzal igencsak bele lehet nyulni az SSL-t hasznalo protokollokba is, a kicsomagolt HTTP-ben meg beleblokkolsz pl. a proxy tipusu keresekbe.

Rendes korlatozasokat kell kialakitani, minden csak proxy-n keresztul mehessen (proxy != squid)

Természetesen minden csak a proxy-n keresztül mehet. Fizikailag nem lehet a proxy-t (a gépet) megkerülve kijutni az internetre. A gond az hogy "logikailag" kerüli ki a tartalomszűrést.

Mi az hogy felepit egy titkositott csatornat???

Azt csinálja hogy a program egy ilyen külső proxy-val felépít egy titkosított csatornát (ssl vagy mittudomén) és a továbbiakban azon keresztül kommunikálnak. A külső proxy nem korlátozza a hozzáféréseket igy a program segítségével mármihez hozzáfér a kliens. Az igy letöltött tartalomhoz viszont a titkosítás miatt nem fér hozzá a dansguardian. Csak keresztül megy rajta minden tartalomszűrés nélkül.

--
maszili