Перейти к содержимому


Фото
- - - - -

Офисный контроль, улучшения


  • Please log in to reply
38 ответов в этой теме

#1 Kroler

Kroler

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 22 Апрель 2021 - 23:04

Реализуем в организации белые списки сайтов через офисный контроль, парк 200+ машин, возникло пару предложений:

1. Как вам идея, вместо обрывания соединения при подключении по https к сайту, посылать 302 заголовок и пересылать пользователя на страницу блокировки.

Мотив: пользователь будет видеть страницу блокировки а не "ERR_TUNNEL_CONNECTION_FAILED" думая, что у него сломался интернет. Объяснять каждый раз, что с интернетом всё в порядке, просто не надо заходить в инстаграм с рабочего компьютера немного надоело.

2. Сделать возможность переадресации пользователей при заходе на неразрешённый сайт на кастомную страницу блокировки.

Мотив: вместо предложения "изменить параметры проверки ссылок и ресурсов в настройках Офисного контроля" и вопросов от пользователей, как им это сделать, хочется сделать кастомную страницу с примерно таким содержанием: "данный сайт не разрешён в вашей организации, если он необходим для исполнения ваших должностных обязанностей......."



#2 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 23 Апрель 2021 - 08:00

Поддерживаю. В настоящее время использую для решения этих задач squid+squidGuard, там та же проблема, решаемая, правда установкой самоподписанного доверенного SSL сертификата (для ssl_bump), что само по себе ещё тот костыль. Если в ОК будет возможность централизованного решения (и тут, насколько я понимаю, тоже потребуется генерация и последующая установка на клиентах доверенного сертификата), то я точно задумаюсь о переходе на ОК.


But a thing of beauty, I know, will never fade away...


#3 basid

basid

    Guru

  • Posters
  • 4 475 Сообщений:

Отправлено 23 Апрель 2021 - 08:14

Как только у вас появляется "непрозрачный" TLS (в ES он "непрозрачный") - никаких перенаправлений у вас нет и быть не может.



#4 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 23 Апрель 2021 - 08:55

basid, до установки соединения через подмену DNS?

P.S. В данной ситуации интересует скорее домен целиком чем то что на нём.


Сообщение было изменено usverg: 23 Апрель 2021 - 08:57

But a thing of beauty, I know, will never fade away...


#5 Kroler

Kroler

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 23 Апрель 2021 - 09:15

Поддерживаю. В настоящее время использую для решения этих задач squid+squidGuard, там та же проблема, решаемая, правда установкой самоподписанного доверенного SSL сертификата (для ssl_bump), что само по себе ещё тот костыль. Если в ОК будет возможность централизованного решения (и тут, насколько я понимаю, тоже потребуется генерация и последующая установка на клиентах доверенного сертификата), то я точно задумаюсь о переходе на ОК.

 

В домене есть центр сертификации, если необходимо, чисто в теории можно выписать для ОК сертификат дочернего ЦС и пусть на здоровье подменяет серты своими для заблоченных доменов. Через DNS тоже вариант



#6 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 23 Апрель 2021 - 09:24

Через DNS тоже вариант
тут тоже сертификат нужен, но на этот вопрос Вы уже ответили. И лучше всё же если и сертификатом можно было управлять из панельки Веба.

But a thing of beauty, I know, will never fade away...


#7 basid

basid

    Guru

  • Posters
  • 4 475 Сообщений:

Отправлено 23 Апрель 2021 - 10:19

FR-141542, но он уже перемещён в приватный #165258.

#8 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 23 Апрель 2021 - 10:31

FR-141542, но он уже перемещён в приватный #165258.

Это немного другое. Для конечного пользователя недостаточно информативно, здесь разговор именно про редирект с "красивой" картинкой и посланием от ИТ отдела.


But a thing of beauty, I know, will never fade away...


#9 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 3 575 Сообщений:

Отправлено 23 Апрель 2021 - 10:39

2Kroler Такое нужно делать на шлюзе, а не ждать пока разработчики вепа снизойдут и сделают это для вас.


Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.

#10 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 3 575 Сообщений:

Отправлено 23 Апрель 2021 - 10:45

Поддерживаю. В настоящее время использую для решения этих задач squid+squidGuard, там та же проблема, решаемая, правда установкой самоподписанного доверенного SSL сертификата (для ssl_bump), что само по себе ещё тот костыль. Если в ОК будет возможность централизованного решения (и тут, насколько я понимаю, тоже потребуется генерация и последующая установка на клиентах доверенного сертификата), то я точно задумаюсь о переходе на ОК.

Нет там никаких костылей, а ждать пока веп что-то запилит действительно полезное это такое себе дело. Жизнь может пройти незаметно. Если есть возможность внедрять бесплатные решения, то их надо смело внедрять.


Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.

#11 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 23 Апрель 2021 - 10:51

Aleksandra, уже сделано, но хочется то красивое "коропочное" решение. (а костыль - сама процедура распространения сертификата, я не говорю что она не работает... очень даже работает)


But a thing of beauty, I know, will never fade away...


#12 basid

basid

    Guru

  • Posters
  • 4 475 Сообщений:

Отправлено 23 Апрель 2021 - 11:24

Для конечного пользователя недостаточно информативно,

И "там" и "здесь" нет речи про информативность.

Исходная проблема - долгое ожидание реакции приложения. Прямое и прямолинейное решение - обеспечить быструю реакцию за счёт формирования ICMP-ответа. И не важно - что там поймёт или не поймёт пользователь.



#13 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 23 Апрель 2021 - 11:28

basid, здесь как раз идёт:

 

при заходе на неразрешённый сайт на кастомную страницу блокировки

Сообщение было изменено usverg: 23 Апрель 2021 - 11:28

But a thing of beauty, I know, will never fade away...


#14 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 23 Апрель 2021 - 12:18

Страница блокировки невозможна пока не включено вскрытие ssl трафика которого в es нет. Мы возвращаем не такой статус, а ошибку доступа.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#15 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 23 Апрель 2021 - 13:07

Konstantin Yudin, об том и речь. А будет?


But a thing of beauty, I know, will never fade away...


#16 Kroler

Kroler

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 23 Апрель 2021 - 13:18

Мы возвращаем не такой статус, а ошибку доступа.

 

Об этом и речь, возможность блокировки по чёрным и белым спискам есть, но вместо "Сайт был заблокирован в вашей организации..." видна только белая страница хрома с "ERR_TUNNEL_CONNECTION_FAILED"



#17 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 23 Апрель 2021 - 14:24

По идее, должен был всплыть балун с указанием причины блокировки.



#18 basid

basid

    Guru

  • Posters
  • 4 475 Сообщений:

Отправлено 23 Апрель 2021 - 16:33

Оповещения быстро задолбают, поскольку их будет от "понемного" до "стопиццот" на самых легальных ресурсах.

 

P.S.

У меня, в основном, блокированы соцсети и - "Та-да-а-м!": на этом форуме встроены и Facebook и Twitter и ВК.



#19 usverg

usverg

    Advanced Member

  • Posters
  • 700 Сообщений:

Отправлено 24 Апрель 2021 - 11:17

basid, вот здесь бы и пригодился разбор SSL: переход "прямо" на сайт - страница блокировки, трекер - 127.1 или gif 1x1.


But a thing of beauty, I know, will never fade away...


#20 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 28 Апрель 2021 - 14:46

Разбор ssl появится в бизнесе после понимания как централизовано брать и устанавливать сертификат. В ES последних появилась завязка на сертификаты, возможно это ключ, он и будет CA тут
Надо бы по тереть актуальность темы

Сообщение было изменено Konstantin Yudin: 28 Апрель 2021 - 14:47

With best regards, Konstantin Yudin
Doctor Web, Ltd.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых