Блокировка https средствами iptables(mikrotik)

[Farad'n]

Задача простая, есть ряд сайтов, которые необходимо заблокировать. С http все решается пересылкой на прозрачный proxy, а вот с https все не так просто.

Сразу скажу, что используется не нормальный linux(в который можно поставить новые модули ядра, snort, squid ssl и пр.), а ограниченный RouterOS от Mikrotik.

Испробованные решения:
1. Блокировать подсеть адресов.
Работает далеко не во всех случаях, например vk.com таким образом блочится на ура, а youtube.com или plus.google.com нет(у пользователей есть почта на gmail и они начинают возмущаться).

2. Использовать -m string(в терминологии микротика Content) либо l7- firewall.
Работает призабавнишем образом. Режет запросы содержащие блокируемые адреса к dns серверу, в принципе работает, но если у пользователя остался адрес в кеше dns(или есть немножко мозга), без проблем обходится.

3. Использование локального dns.
Та-же ситуация, что в предыдущем пункте

4. Скриптом отлавливать нежеланные сайты в dns-кеше и добавлять их адреса в список запрещенных ip.
Способ рабочий, но не режет уже установленные коннекты(как вариант модифицировать скрипт что-бы он искал и резал соответствующие коннекты). В микротике достаточно топорный язык и приходится извращаться(например хранить адреса в массиве и сравнивать с массивом кеша dns, в итоге получается не быстро).

Какие еще могут быть варианты? Посмотрел в сниффере на https пакеты, действительно все данные передаются в зашифрованном виде. Есть конечно мысль зашифровать необходимые адреса тем-же сертификатом и подставить в l7-firewall, но сертификаты имеют свойство истекать и обновляться.

P.S. Блокировать «приказом от руководства» не предлагать, пройденный этап — не работает.

[Bizdelnick]

-p tcp -dport 443 не?

[Farad'n]

-p tcp -dport 443 не?

Увы нет. Слишком много точек и пользователей на них, если пойти по пути Deny All, то придется добавлять исключения для кучи ресурсов, плюс список может пополняться, в общем в итоге все недовольны будут. Хотя я за Deny all - это единственный способ убить тот-же skype.

[Bizdelnick]

Вы не так поняли. Я имел в виду - добавить это к правилам для п. 1.

[Farad'n]

А ну это да, тут суть не в том как блокировать, а найти то что надо блокировать.

[Bizdelnick]

Однажды в курилке пользователи стали возмущаться, что Сисадмин закрыл всем доступ на сайт "Одноклассники". Инь Фу Во услышал об этом и нахмурился.
– Почему ты закрыл людям доступ? – спросил он у Сисадмина, когда они после перекура пили кофе.
– Потому что такие сайты не нужны для работы.
– А курить нужно для работы?
– Вообще-то нет...
– А кофе пить?
– Ну...
– Ну тогда, – сказал Учитель, – открой людям доступ.

[Farad'n]

Это надо высшему руководству объяснять, я просто зарплату отрабатываю...)

[Bizdelnick]

В случае с google задача, скорее всего, нерешаемая: его сервисы слишком интегрированы друг с другом, и запретить одни, оставив доступ к другим, вряд ли получится. Но если проблема только в почте, то IMAP/SMTP останутся открытыми при блокированиии только 443 порта.