日本电子维修技术 网络ROS/Mikrokit用于企业,能否过滤出https并阻止访
以前用过ROS。我想买Mikrokit的硬件,主要是公司使用,
想阻止员工访问某些网站(尤其是https),不知是否可行?
或者说,它的监测能过滤出https地址么?
比如,某个用户上班时间访问某个不知名的 https,能否揪出来地址,并阻止访问?
主要目的:禁止员工在上班时间访问与工作无关的网站。
很多人 还达不到 自我约束,所以必须采取这样的措施。
不止是https,还有其它的,像在线视频甚至游戏 等一些协议。
评论
另外:
1、ros与UBNT有什么关系或区别么?百度谷歌了一下没有比较明显解答的文章;
2、各位都在哪里购买Mikrokit的硬件?京东上没卖。
评论
再:如果自己DIY一个硬件,装入ROS,可行性 如何?
有类似Mikrokit的现成的硬件么?桃宝上看了一下,要5-8百左右。
我只在ESXi上安装过ROS并使用(服务器环境,做端口转发等)。还没试过 将ROS作为企业办公设施,不知道是否有现成的硬件,装入ROS就能支持、带动无线网卡 发射WiFi使用的?
评论
再有,想用256M内存的,但是偏贵。
不知道128M的内存,适合带多少个无线设备?
有人做过这方面的估算么?都是办公设备。
评论
你要的答案都在文档里
https://wiki.mikrotik.com
评论
真麻烦……
一个企业级路由就可以解决……我说的是磊科这类的……能限制到QQ的登陆……
评论
看你的目的
~想监测和读取HTTPS流量,这个专业说法叫https inspection。类似用证书做MIM,比阻断更高级的玩法,可能会被某些应用或者网站判定成中间人攻击
~~
想以阻断HTTPS为目的的话,直接block域名就是了,大部分国内的流控都可以做,至于QQ内容,PY一下腾讯,流控商就能获取里面信息
~~
有一句说一句,https inspection是很流氓的行为,外企别用,会吃隐私官司的
评论
现在正规网站90%都是https的吧,过滤域名吧
评论
@lzp729 wiki打不开啊,错误码 105 (net::ERR_NAME_NOT_RESOLVED)
@vva
@ceguangxu
@yajian2
有,目前用的是TP-Link企业级路由器,内置了一些网址,也可以自己再增加,阻止或放行。
但是有些员工上班时间看小说。
却无法从路由器上 揪出网址。
所以才想到ROS,不知道它是否支持这么做。。。
另外,小说网站不像大站,域名很小众。
评论
chiphell不能 @ 啊。
这样的话,如果 想让网站证书不显示异常的情况下 揪出员工访问的 https 地址,无法做到?
评论
我不想知道他们访问的具体页面内容,
只是想 过滤出 他们访问的网址,
可疑的域名 必要的话 就加入黑名单 禁止访问
评论
刚才域名解析不出来,这会可以访问了。
粗略找了一下 没找到解决我这个目的的相关文章。
我印象中记得 以前将ROS在服务端使用的时候,有一项功能,是可以过滤出,所有访客 当前访问的网址。
但现在是用在公司网络,不知道是否也有类似的功能。。
哪位知道的话 给具体说一下,或给个关键词,谢谢。
评论
当时也是看别人在用的那个功能,这会一下子 可能还没法找到那个功能项。
ROS太强大,也太复杂了。。
评论
可以啊、买他们家的证书就能用了、刚装的时候好像有试用期
当然有
ESXi 的话可能要专门给个 port group 打开混杂模式(不然有些功能用不了),这样和别的机器互访也比较麻烦…(记得 CHR 的授权相对便宜点
现成的硬件?淘宝找软路由成品(没用过,理论上无线型号支持就行,或者直接买 bugtik 家的 Routerboard 也行(
评论
1、两家公司、都做网络设备、没啥关系
2、淘宝
评论
HTTPS 证书里面域名是明文的,理论上可以写L7规则根据域名过滤,规则怎么写请看手册(我反正懒得搞没写过)
其他协议你确定要自己维护的话就去写吧……(以前搜了一圈没找到有人维护的规则
评论
如果你不懂,建议找人出个方案给你而不是自己瞎猜
ROS是很强但是干这个就是杀鸡用牛刀,而且还没人给你维护特征库
评论
试试pfsense+pfblockerNG
评论
我们公司就用啊 非白名单的https网站证书全是内网的。。。 chrome提示不安全
评论
额,你们公司做的不完整,可以做真实有效的中间证书,基本上看不出来
~
但是某些应用会发现的,还会触发一下莫名其妙的问题,理论测试都做过
~~
真流氓,这个很缺德的,我们公司争议太大,没人敢做,GPDR会吃官司的
评论
那你没必要,对内容不感兴趣的话,国产的流控就能做,
~
目的地址都是明文,和https没关系
~
再不济netflow导出来做个分析就有域名,然后直接block
评论
只有浏览器会这样 而且会提前弹出警告(包括http和https) 95%的网站是无感的 我连家里的就报警,虽然有lets encrypt的证书
评论
另外这些非白名单的网址,DNS解析池很快就会扔掉而且会有一段解析冻结期。。。
评论
锁域名锁QQ微信锁关键字基础功能,国产搞这事简单,而且效率最高,歪果仁产品反而数据库不全
~
我以为LZ要做https inspection,白鸡冻了
评论
楼主的要求 爱快估计可以了。。
评论
我脑洞了一个思路: 所有的小说类网站都有广告(贪玩蓝月那种),能否检测到广告则自动加入黑名单?
评论
百度发出抗议
评论
论 赛门铁克的倒掉
评论
我以为LZ要做https inspection,白鸡冻了
----------------
这样看来 你在研究 https inspection,或者对此比较感兴趣?哈哈...
是满足心理需求,还是其他目的?
评论
爱快不是听说会劫持流量做 aff 么?
netflow?第一次听到这个名词,
是指 将网络设备中 所有流量地址 导出的意思么?
还是说 有相关的软件/硬件 可以快速实现(导出netflow的)需求?
评论
土豪当然可以随意,
非土豪才得自己研究。
这不是瞎猜,要先找有实践过的人 确认能实现,才能往这个方向研究去。。。
评论
非常感谢一个个问题解答!!
话说,bugkit是指Mikrokit么?我百度了一下 好像没找到叫bugkit的?
桃宝上看过Mikrokit的硬件,挺贵的,双频的都要5、6百甚至7、8百以上。
普通的双频路由器也才百来块,它这个贵了几倍了。
也想买,可惜狗东没卖。。
最近几年买3C产品都喜欢在狗东,派送速度比较快。。
评论
自己瞎鼓捣导致误工不是损失更大?个人用才自己研究,单位用你也敢自己弄啊
评论
以前的黑历史吧 我没用过
评论
既然你是用企业,而且需求简单,就不用纠结太多
~
~
找个供应商帮你做国产流控的方案就是了
~
我研究是因为吃这碗饭的,过气网工,论坛还有好几个过气网工
评论
是指 Mikrotik 没错(而且是 tik 不是 kit),因为经常遇到各种 bug 所以时不时有人这么吐槽(比如 IPSec AES GCM key 长度不对的 bug report 里说下个版本就修了结果隔了两年才修好(当然比国内某些连在售产品固件有安全漏洞都完全不理的廉价品牌要好得多(
文档也不怎么好,有不少东西不好找,还有过时的、错的、不能用的(也算 bug 吗),不过至少算是有文档这么一回事(
他家硬件的参数都是有给性能和架构的,可以看着自己需求买
无线路由是不便宜,还很多不便宜的旧型号一直在卖,无线连接质量据说也不怎么样(当然比一两百水平的看评价还是更好),不过我基本不用来做接入点所以没怎么在意(
我买 hAP ac2 的时候好像只要360左右(然后过两个礼拜回去评价的时候发现涨了几十…今年这汇率啊…
速度也不会太慢,一般就京东第二天,淘宝第三天…这种小众点的路由器都在那些看起来是代理商的店才有,发货时间都是很标准的5点或者6点前下单当天发货…
说起来要做网址过滤的话,好像还是指定代理访问外网这样比较方便做…刚刚试了 RouterOS 自带那个代理可以用…就是 HTTPS 没有返回信息…
评论
bluecoat看看?
另外域名黑名单是要随时更新的
舍得花人力跟得上维护?
楼主公司的内网没有proxy?
有proxy中转不就有网站访问记录了么
小说网站又不是没有域名特点
自己拉个清单做个分析直接block呗
评论
感谢解答!
你的意思是说,架设代 理,让所有流量都经过代 理,这样就能记录下 所有经过代 理访问的域名?
然后,https没有返回信息,是指https的域名无法记录下来,还是指 https无法正常代 理上网?
评论
通过blucoat在内网架proxy,这样就能记录下所有url记录?
不知道https是不是也能记录下来?
评论
对,代理是肯定知道你要访问哪里的,域名的问题一开始就说了是能看到的,也能正常根据域名过滤,但是 HTTPS 是加密的所以不能正常返回 HTTP 的回应,会直接提示代理连不上……
TLS1.3 可以加密 SNI,不过那是另一个话题了…
评论
看钱,需求简单
~~还是国产流控吧,便宜啊
~~~bluecoat的订阅也是要钱的,而且价格嘛。。。
评论
「但是 HTTPS 是加密的所以不能正常返回 HTTP 的回应,会直接提示代理连不上」
这句还是没理解过来。。如果通过ros架代理,那理论上,用户可能访问的是http,也可能是https。那相当于是两种情况,应该互不影响才对?还是,说的不是这个点?
感谢解答!
评论
直接买带审计的网关或者防火墙产品不就是了
评论
说句难听的,一个还在用tp的企业,还在乎员工上班看不看小说呢?先让老板有信息化的意识再说吧。
评论
ros直接淘宝找人买脚本编辑好的不就可以了,ros的硬件贵是因为有正版软件授权,你esxi玩ros都是盗版当然便宜。。
评论
443端口全部drop就行了
评论
那QQ微信之类的岂不是也挂了?
评论
刚好看到,回个陈年老帖,https连接时有个SNI能看到域名,完整的URL是看不到的了。如果单单想知道终端都上过那些网站ROS应该可以抓取出来。
评论
上海利乐表示你在说什么,我听不见。外企明确规定上班时间不能做非工作相关的工作,否则发广告让众人敬仰~怕是你没去过外企吧,别人敢监控你,就有相应的公司条例。
评论
中间人攻击,除非你强制终端信任你的根证书,否则有什么办法做真实有效的中间证书?
wosign怎么倒的?
评论
你需要一台Paloalto Networks 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收
·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 {日本国际学校}梅田インターナショナルスクール
·日本学校 LINE:sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場 一時1ドル=140円台まで上昇?
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办?