Страница печати | Закрыть окно

О контроле HTTPS

Распечатать форум: Форум компании Смарт-Софт
Категория: Главный раздел
Название форума: Traffic Inspector - технические вопросы.
Описание форума: Вопросы по установке, настройке, возможностям и т.п.
URL: http://forum.smart-soft.ru/forum_posts.asp?TID=24139
Дата печати: 23-Мар-19 в 21:45
Версия ПО: Web Wiz Forums 10.14 - http://www.webwizforums.com


Тема: О контроле HTTPS
Автор: Teplo Kolomny
Тема: О контроле HTTPS
Дата отправки: 06-Апр-18 в 16:08
Все пользователи, даже не зарегистрированные в ТИ, прекрасно заходят на всякие сайты, работающие по HTTPS-протоколу, в т.ч. в разные соцсети. Т.е. фильтрация по URI/URL на них не действует. Пришлось некоторые ресурсы заблокировать тупо по IP.

Справку почитал, но толком ничего по поиску "HTTPS" не нашел.

Что надо включить, чтобы заработала фильтрация по URL для HTTPS-соединений?



Ответов:
Автор: VladimirK
Дата отправки: 09-Апр-18 в 08:41
В разделе Сервисы-Анализ SSL/TLS включается данный функционал. Обратите внимание, что на клиентах необходимо установить специальный коневой сертификат. Легче всего это сделать если у вас доменная сеть, иначе установка производится на каждом ПК.

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: Teplo Kolomny
Дата отправки: 23-Апр-18 в 10:34
А где ж его взять этот специальный корневой сертификат?

В разделе "Анализ SSL/TLS" на вкладке "Настройки" нажал ссылку "Корневой сертификат".
После длительных раздумий высветилось окошко:

Error

Cannot open file "C:\Program Files\TrafInsp\MITM\MITMCA.cer". Не удается найти указанный файл.

И в самом деле его там нет.
Где брать - непонятно. Вызов справки показывает справку по пользованию MMC.


Автор: VladimirK
Дата отправки: 23-Апр-18 в 15:53
Попробуйте нажать кнопку "получить" ещё раз, сертификат должен сгенерироваться.

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: Teplo Kolomny
Дата отправки: 23-Апр-18 в 17:02
А где эта кнопка "Получить"?

Искал, искал ... не нашел.


Автор: VladimirK
Дата отправки: 24-Апр-18 в 08:18
Это та самая ссылка которая приводила к ошибке. Сертификат не всегда может сгенерироваться и тогда выдаётся ошибка. Попробуйте нажать на ссылку ещё раз.

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: Teplo Kolomny
Дата отправки: 24-Апр-18 в 09:16
Еще раз:

1. В разделе "Анализ SSL/TLS" на вкладке "действия" нажал ссылку "Настройки".
2. На вкладке "Действия" появилась ссылка "Корневой сертификат" (не сразу - пришлось уйти из этого раздела и войти снова).
3. При нажатии на эту ссылку сообщает, что сертификат не найден. И так шестнадцать раз подряд - хоть обожмись на нее.

В справке нашел что-то по поводу сертификатов. Написано, что надо выполнить издательство сертификата в разделе настроек Web-сервиса. Это оно или нет?


Автор: VladimirK
Дата отправки: 24-Апр-18 в 16:07
Не должно быть 16 раз уж точно.
Какая версия ТИ у вас на данный момент?



-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: Teplo Kolomny
Дата отправки: 24-Апр-18 в 17:00
Версия 3.0.2.916.

Сколько раз не пытался - не находит сертификат.


Автор: VladimirK
Дата отправки: 25-Апр-18 в 12:49
У вас на машине с ТИ установлено антивирусное ПО?

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: Teplo Kolomny
Дата отправки: 26-Апр-18 в 13:47
Да ... ESET NOD32.

Убрать его оттуда затруднительно, т.к. этот экземпляр централизованно скачивает обновления и раздает затем локальным клиентам.

Могу только временно отключить проверку файлов.


Автор: VladimirK
Дата отправки: 26-Апр-18 в 14:24
Попробуйте добавить в его исключения всё что связано с ТИ. Перезапустите систему и повторите создание сертификата.

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: Teplo Kolomny
Дата отправки: 26-Апр-18 в 15:48
Добавлял в исключения и папку MITM и корень TrafInsp. Отключал контроль файлов при открытии/создании. Совсем отключал NOD32 ... Заодно на всякий случай отключал HIPS.

Однофигственно не помогает.

В логах NOD32 никаких ссылок на папки TranfIsp за исключением некоторых скачиваемых файлов в папке tmp, нет. Так что, это не в нем дело.


Автор: Teplo Kolomny
Дата отправки: 26-Апр-18 в 15:51
В настройках безопасности дал полные права на доступ к папке TrafInsp и ее содержимому ВСЕМ!!!

Не помогло ...


Автор: VladimirK
Дата отправки: 27-Апр-18 в 08:42
Пришлите, пожалуйста, ваш конфиг и описание (что не генерируется сертификат) мы проверим, влияние конфига на данную проблему.

-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: Teplo Kolomny
Дата отправки: 27-Апр-18 в 13:02
Конфигурацию с кратким описанием проблемы выслал.


Автор: Teplo Kolomny
Дата отправки: 19-Дек-18 в 14:12
Вот наконец снова руки добрались до HTTPS ...

1. Сертификат мне ТП выслала. Установил его у всех пользователей через "Управление сертификатами" в GP.

2. Создал URL-список такого содержания:
(^|\.)facebook\.com
(^|\.)klub-drug\.ru
(^|\.)my.mail\.ru
(^|\.)odnoklassniki\.ru
(^|\.)ok\.ru
(^|\.)vk\.com
(^|\.)vkontakte\.ru
(^|\.)vkrugudruzei\.ru

3. Создал в "Правилах пользователей" запретительное правило для этого URL-списка.

4. Пытался поместить это правило в Общие фильтры, но там только разрешительные правила помещаются. А запретительные можно назначить для неавторизованных, но мне это не нужно. Не нашел куда его поместить, поэтому не стал никуда помещать.

В результате этого нетерминальные пользователи как ходили на OK, так и ходят без помех.
А пользователи терминального сервера теперь вообще никуда ходить по HTTPS не могут. Даже на Яндекс.

Что я сделал не так? Что пропустил?




Автор: Teplo Kolomny
Дата отправки: 19-Дек-18 в 16:48
Нашел, куда это правило "впихнуть". Там же в свойствах "Правил пользователей" в список фильтров "До группы".

Получилось вообще странное:

Анализ SSL/TLS для разбора HTTPS не включал, но на терминальном сервере все работает теперь корректно и без него.

А вот у нетерминальных пользователей - не все так просто.
Если у них включена автоконфигурация прокси для браузеров, то запрет работает. Но если эта галка снята, то проскакивает со свистом.

Т.к. URL-списки работают только с прокси, то как как быть?
В настройках HTTP (TCP#80) есть галка принудительно заворачивать на прокси. А вот для HTTPS такого нет.

И что делать, если хочется работать именно по URL-спискам, а не по IP-спискам?

И почему, собственно говоря, без включенного анализа SSL/TLS это работает? Разве URL сайта при работе по HTTPS не в зашифрованном виде передается?


Автор: SergeyV
Дата отправки: 20-Дек-18 в 15:44
Что бы быстрее помочь Вам, пишите на supprot.
Так же нужно будет удаленное подключение.


-------------
Техническая поддержка
Телефоны: +7(495)77-55-991, +7(496)615-49-21
E-mail: support(coбака)smart-soft.ru


Автор: Teplo Kolomny
Дата отправки: 20-Дек-18 в 16:11
Вот пройдет в понедельник/вторник оплата за продление ТП - и напишу.

А то у нас по 44-ФЗ каждая закупка должна пройти все инстанции от двух недель (у единственного поставщика) до бесконечности (через конкурсную процедуру).


Автор: SergeyV
Дата отправки: 21-Дек-18 в 08:24
Вы можете написать, мы Вам поможем.

-------------
Техническая поддержка
Телефоны: +7(495)77-55-991, +7(496)615-49-21
E-mail: support(coбака)smart-soft.ru



Страница печати | Закрыть окно