Telia.fi etusivulle Telia.fi etusivulle

ZyXEL P-870HN-51b, HTTPS -osoitteiden blokkaus

  • 17 February 2017
  • 4 kommenttia
  • 6 katselukertaa
T

Hei,

 

en saa blokattua kyseisen modeemin ylläpitosetuksista Advanced -> Parental Control -> URL Filter HTTPS -osoitteita, enkä myöskään HTTP -sivuja, jotka ohjaavat hakupyynnön HTTPS -protokollaan. Tämä ongelma on tullut esiin YouTuben kanssa, joka on ilmeisesti siirtynyt käyttämään vain HTTPS:ää.

 

URL Filter -näkymässähän voi määritellä myös portin, mutta portti 443 ei tuota toivottua tulosta - oli osoite sitten http:// tai https:// - vaan sivu latautuu normaalisti.

 

Löysin netistä + ZyXELin sivuilta vain seuraavan tiedon koskien toista modeemimallia:

 

Can the Parental Control function limit the end user’s from accessing HTTPS websites on VMG8924-B10A?

 

Vastauksessa mainitaan, että HTTPS -osoitteiden blokkaaminen ei ole mahdollista Parental Control -asetusten kautta tuossa mallissa.

 

Onnistuuko muilla HTTPS -osoitteiden blokkaus P-870HN-51b:lla?

4 kommenttia

irritus
Arvonimi
Käyttäjätaso 7
Kunniamerkki +16

HTTPS-osoitteiden esto osoitteen itsensä perusteella on hyvin raskas prosessi.

 

Ensinnäkään, se ei onnistu lainkaan ilman, että asennat kaikille eston kohteena oleville koneille omat varmenteesi. Lisäksi liikenteen joutuu ohjaamaan läpinäkyvän https-proxyn kautta, joka purkaa yhteyksien salauksen, vakoilee sisällön ja salaa yhteyden uudelleen.

 

Kotilaitteista, kuten P-870HN-51b tai VMG8924-B10A tällaisia palomuuriominaisuuksia ei löydy.

 

Https-estojen sijaan toteutuskelpoisempi ratkaisu voisi olla dns-estot.

T

Ok, selvä juttu.

 

Kun kyseessä on vain yksi Linux -kone, jolta verkkoyhteys muodostetaan, lisäsin YouTuben osoitteen /etc/hosts -tiedostoon. Tämä ilmeisesti on yhdenlainen DNS -esto.

 

127.0.0.1       www.youtube.com

 

Se jäi vielä mietityttämään, miksi http://www.youtube.com -osoite toimi, vaikka se oli lisätty modeemin URL Filter -listalle. Toimi siis siten, että uudelleenohjasi haun https://www.youtube.com -osoitteeseen. Eikö tuo uudelleenohjaus kuitenkin vaadi, että ensimmäinen hakupyyntö menee perille kohdepalvelimelle asti?

irritus
Arvonimi
Käyttäjätaso 7
Kunniamerkki +16
@tonyboy kirjoitti:

Kun kyseessä on vain yksi Linux -kone, jolta verkkoyhteys muodostetaan, lisäsin YouTuben osoitteen /etc/hosts -tiedostoon. Tämä ilmeisesti on yhdenlainen DNS -esto.

Kyllä, tämä on yksinkertaisin mahdollinen DNS-esto.

 

 

@tonyboy kirjoitti:

 

Se jäi vielä mietityttämään, miksi http://www.youtube.com -osoite toimi, vaikka se oli lisätty modeemin URL Filter -listalle.

Syynä lienee selaimen HTTP Strict Transport Security-ominaisuus. Selain on esiohjelmoitu tai oppinut sivustolla käydessään, ettei Youtubeen ole mitään asiaa http:llä. Näin selain ei edes yritä http-yhteyttä vaan avaa suoraan https-yhteyden.

 

Lisää HSTS:stä suomeksi Vesa Viljasen artikkeli Lievennä MITM-uhkaa HSTS:n avulla tai englanniksi HTTP Strict Transport Security - Wikipedia.

T
@irritus kirjoitti:

Syynä lienee selaimen HTTP Strict Transport Security-ominaisuus. Selain on esiohjelmoitu tai oppinut sivustolla käydessään, ettei Youtubeen ole mitään asiaa http:llä. Näin selain ei edes yritä http-yhteyttä vaan avaa suoraan https-yhteyden.

 

Arvelinkin hieman, että kyse voisi olla jostain tällaisesta.

 

Kiitokset hyvistä vastauksista.

Vastaa


Käyttöehdot
Evästeasetukset