Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Site blokkeren lukt niet (https)
25-02-2013, 21:22 door Anoniem, 21 reacties
Hallo,
Het blokkeren van htps sites lukt niet.
http sites heb ik met succes kunnen blokkeren.
Blokkeer de http sites via toegangs beperking (router) maar de https sites lukken niet?
Wil geen software installeren.
Alvast bedankt..
Voli
Het blokkeren van htps sites lukt niet.
http sites heb ik met succes kunnen blokkeren.
Blokkeer de http sites via toegangs beperking (router) maar de https sites lukken niet?
Wil geen software installeren.
Alvast bedankt..
Voli
Reacties (21)
Geen idee waar je het over hebt. Leg eens uit wat je doet, en hoe dat wel werkt voor het ene en niet voor het andere?
26-02-2013, 15:26 door
SirDice
Geef ook even het merk/type van je modem/router. Ze zijn allemaal anders en hebben, wat dit betreft, ook allemaal andere features.
Hallo,
Het is is een linksys E1000 router...
Heb via toegangs beperking sommige sites kunnen blokkeren (http).
Het blokkeren van https sites lukt niet?
Voli
Het is is een linksys E1000 router...
Heb via toegangs beperking sommige sites kunnen blokkeren (http).
Het blokkeren van https sites lukt niet?
Voli
HTTPS verkeer is versleuteld en met de standaard modems/routers is dit niet te blokkeren want het domein is versleuteld, waardoor dit niet is in te zien.
Waarom wil je https blokkeren? Ik vermoed dat je alleen één of meerdere https sites wilt blokkeren. Klopt mijn vermoeden?
Waarom wil je https blokkeren? Ik vermoed dat je alleen één of meerdere https sites wilt blokkeren. Klopt mijn vermoeden?
@Voli
Hallo
Je kan ook de website op IP adres blokkeren. je https gaat over de port TCP/IP 443 dus bij de port 443 moet je dit aangeven. niet alleen bij http port 80
nog aanv. informatie
bijvoorbeeld je wil http://www.mydomain.com blokkeren dus als voorbeeld de IP is xxx.xxx.xxx.xxx maar https://secure.mydomain.com heeft een andere IP dus via cmd >>> nslookup kom je er achter wat is/zijn IP/IP Range.
Graag horen wij van je nog een feedback
succes
Fraidon
Hallo
Je kan ook de website op IP adres blokkeren. je https gaat over de port TCP/IP 443 dus bij de port 443 moet je dit aangeven. niet alleen bij http port 80
nog aanv. informatie
bijvoorbeeld je wil http://www.mydomain.com blokkeren dus als voorbeeld de IP is xxx.xxx.xxx.xxx maar https://secure.mydomain.com heeft een andere IP dus via cmd >>> nslookup kom je er achter wat is/zijn IP/IP Range.
Graag horen wij van je nog een feedback
succes
Fraidon
iemand met verst. van PC kan je host file weer aanpassen. dus als het voor de bedrijfsnetwerk gaat, kun je beter via IP of IP Range het blokkeren
27-02-2013, 20:33 door
Ramon.C
Door Anoniem: Geen idee waar je het over hebt.
Anoniem (topic starter) bedoelt het blokkeren van http en https verkeer door middel van URL en keyword blocking wat in feite aanwezig is bij 99% van de thuis routers. Het probleem is dat alléén http verkeer kan worden geblokkeerd en dit zal niet lukken met https! Zoals eerder gezegd kan je het beste het IP adres blokkeren als je de mogelijkheid heb en anders je router flashen en een andere (linux based) firmware erop pleuren en werken met iptables.
Of je installeert op elke browser (firefox) een addon zoals blocksite :P
Of lekker gek gaan doen, alle uitgaande verkeer op poort 443 blokkeren!
@Voli
Geef ons een voorbeeld van welke http site en https site wou je blokkeren?
Gr,
Fraidon
Geef ons een voorbeeld van welke http site en https site wou je blokkeren?
Gr,
Fraidon
28-02-2013, 12:26 door
S.lenders
Door Ramon.C:
Of lekker gek gaan doen, alle uitgaande verkeer op poort 443 blokkeren!
Of lekker gek gaan doen, alle uitgaande verkeer op poort 443 blokkeren!
Die is grappig, zeg maar dag tegen webshops,internetbankieren en google.
Door Ramon.C: Anoniem (topic starter) bedoelt het blokkeren van http en https verkeer door middel van URL en keyword blocking wat in feite aanwezig is bij 99% van de thuis routers. Het probleem is dat alléén http verkeer kan worden geblokkeerd en dit zal niet lukken met https!
("thuisrouters" in Goet Neerlans)Altijd fijn als mensen even rustig gaan zitten om een goede vraag te stellen. Goed, nu we dat opgeklaard hebben: Even inbreken op SSL kan op zich wel maar kost een MITMaanval. Niet netjes, maar er zijn best vuurmuurtjes die dat gewoon even doen, al zijn kant-en-klaarversies op grootbedrijven gericht. Of censuurbeluste overheden. Maar wat zoal thuis staat kan dat niet, nee.
Is verder wel inelkaar te knutselen, daar niet van. Maar genoeg gedonder dat het loont even te gaan zitten en te verzinnen waarom je (nuja, TS) dat nou wil.
Voor spamsites e.d. is IPadressen blokkeren meestal goed genoeg. Voor andere dingen blijkt de bijl snel toch wel erg bot.
Probeer anders het domein in de DNS te blokkeren. OpenDNS is daar wel geschikt voor, geloof ik.
28-02-2013, 19:47 door
Ramon.C
Door S.lenders:
Die is grappig, zeg maar dag tegen webshops,internetbankieren en google.
Door Ramon.C:
Of lekker gek gaan doen, alle uitgaande verkeer op poort 443 blokkeren!
Of lekker gek gaan doen, alle uitgaande verkeer op poort 443 blokkeren!
Die is grappig, zeg maar dag tegen webshops,internetbankieren en google.
Vandaar de opmerking; of lekker gek gaan doen :P
Die is grappig, zeg maar dag tegen webshops,internetbankieren en google.
Och... Iemand die een beetje privacy-minded is gebruikt geen van 3. Dus dat boeit niet. Wel https natuurlijk. En dat boeit wel.Hoi ik heb het zelfde probleem
ik wil facebook blokkeren via mijn route op de firma en die hebben ook https ervoor staan.
hoe kan ik dit het beste doen.
Type router : ICIDU BROADBAND ROUTER WIRELESS 300N
ik wil facebook blokkeren via mijn route op de firma en die hebben ook https ervoor staan.
hoe kan ik dit het beste doen.
Type router : ICIDU BROADBAND ROUTER WIRELESS 300N
"HTTPS verkeer is versleuteld en met de standaard modems/routers is dit niet te blokkeren want het domein is versleuteld, waardoor dit niet is in te zien."
Wat een onzin. Immers is enkel de payload van het pakketje versleuteld. Een DNS server kan een encrypted domein naam niet decrypten om het IP adres te resolven, en zonder het geresolvde IP adres zouden routers geen flauw benul hebben waar ze het pakketje naar toe moeten sturen.
Wat jij zegt zou neerkomen op een papier brief waar je niet alleen een gecodeerd bericht in stopt, maar waar je ook de gegevens van de ontvanger codeert. Waardoor de post geen flauw benul zou hebben wat ze met je brief aan moeten, omdat ze niet kunnen lezen waar je brief moet worden afgeleverd.
Je kunt HTTPS verkeer net als HTTP verkeer zonder enkel probleem blokkeren.
Wat een onzin. Immers is enkel de payload van het pakketje versleuteld. Een DNS server kan een encrypted domein naam niet decrypten om het IP adres te resolven, en zonder het geresolvde IP adres zouden routers geen flauw benul hebben waar ze het pakketje naar toe moeten sturen.
Wat jij zegt zou neerkomen op een papier brief waar je niet alleen een gecodeerd bericht in stopt, maar waar je ook de gegevens van de ontvanger codeert. Waardoor de post geen flauw benul zou hebben wat ze met je brief aan moeten, omdat ze niet kunnen lezen waar je brief moet worden afgeleverd.
Je kunt HTTPS verkeer net als HTTP verkeer zonder enkel probleem blokkeren.
Door Anoniem: Hoi ik heb het zelfde probleem
ik wil facebook blokkeren via mijn route op de firma en die hebben ook https ervoor staan.
hoe kan ik dit het beste doen.
Type router : ICIDU BROADBAND ROUTER WIRELESS 300N
ik wil facebook blokkeren via mijn route op de firma en die hebben ook https ervoor staan.
hoe kan ik dit het beste doen.
Type router : ICIDU BROADBAND ROUTER WIRELESS 300N
Ja dat kan dan dus niet.
Bovendien heeft Facebook voor elkaar weten te krijgen dat ze zowizo niet meer te blokkeren zijn door
andere sites ertoe over te halen om de facebook login ook als login voor die site te gebruiken.
Blokkeer je Facebook dan blokkeer je ook die sites.
"Bovendien heeft Facebook voor elkaar weten te krijgen dat ze zowizo niet meer te blokkeren zijn door andere sites ertoe over te halen om de facebook login ook als login voor die site te gebruiken. Blokkeer je Facebook dan blokkeer je ook die sites."
Volslagen onzin. Je kunt die websites gewoon bezoeken. Daarnaast is het blokkeren van bijvoorbeeld Facebook niet alles of niets, je kunt ook delen van de site blokkeren. Zo kan je ervoor kiezen om de Facebook authentication API waar je naar refereert toe te staan, terwijl je het bezoeken van (onderdelen van) de Facebook website blokkeert.
Volslagen onzin. Je kunt die websites gewoon bezoeken. Daarnaast is het blokkeren van bijvoorbeeld Facebook niet alles of niets, je kunt ook delen van de site blokkeren. Zo kan je ervoor kiezen om de Facebook authentication API waar je naar refereert toe te staan, terwijl je het bezoeken van (onderdelen van) de Facebook website blokkeert.
Door Anoniem: "HTTPS verkeer is versleuteld en met de standaard modems/routers is dit niet te blokkeren want het domein is versleuteld, waardoor dit niet is in te zien."
Wat een onzin. Immers is enkel de payload van het pakketje versleuteld. Een DNS server kan een encrypted domein naam niet decrypten om het IP adres te resolven, en zonder het geresolvde IP adres zouden routers geen flauw benul hebben waar ze het pakketje naar toe moeten sturen.
Wat jij zegt zou neerkomen op een papier brief waar je niet alleen een gecodeerd bericht in stopt, maar waar je ook de gegevens van de ontvanger codeert. Waardoor de post geen flauw benul zou hebben wat ze met je brief aan moeten, omdat ze niet kunnen lezen waar je brief moet worden afgeleverd.
Je kunt HTTPS verkeer net als HTTP verkeer zonder enkel probleem blokkeren.
Wat een onzin. Immers is enkel de payload van het pakketje versleuteld. Een DNS server kan een encrypted domein naam niet decrypten om het IP adres te resolven, en zonder het geresolvde IP adres zouden routers geen flauw benul hebben waar ze het pakketje naar toe moeten sturen.
Wat jij zegt zou neerkomen op een papier brief waar je niet alleen een gecodeerd bericht in stopt, maar waar je ook de gegevens van de ontvanger codeert. Waardoor de post geen flauw benul zou hebben wat ze met je brief aan moeten, omdat ze niet kunnen lezen waar je brief moet worden afgeleverd.
Je kunt HTTPS verkeer net als HTTP verkeer zonder enkel probleem blokkeren.
Nou zo simpel ligt dat niet. Je zou wel de DNS lookups voor een domein wat je in https wilt blokkeren kunnen
tegenhouden, maar je kunt niet weten of die DNS lookup gedaan wordt voor een https connectie of voor iets anders.
Je blokkeert dan dus het hele domein, niet alleen https. En de gebruiker kan er vaak simpel omheen door een iets
aangepaste naam te gebruiken of zelfs een IP adres.
Als je dit wilt oplossen dan moet je een proxy draaien en de achterliggende PC's verplichten via die proxy te werken,
waarbij de proxy zelf de lookups doet en bepaalde domeinen kan blokkeren.
Echter, een simpele thuis router heeft die functionaliteit (bij mijn weten) niet. Het zou wel kunnen maar het zit er
gewoon niet in.
Door Anoniem: "Bovendien heeft Facebook voor elkaar weten te krijgen dat ze zowizo niet meer te blokkeren zijn door andere sites ertoe over te halen om de facebook login ook als login voor die site te gebruiken. Blokkeer je Facebook dan blokkeer je ook die sites."
Volslagen onzin. Je kunt die websites gewoon bezoeken. Daarnaast is het blokkeren van bijvoorbeeld Facebook niet alles of niets, je kunt ook delen van de site blokkeren. Zo kan je ervoor kiezen om de Facebook authentication API waar je naar refereert toe te staan, terwijl je het bezoeken van (onderdelen van) de Facebook website blokkeert.
Volslagen onzin. Je kunt die websites gewoon bezoeken. Daarnaast is het blokkeren van bijvoorbeeld Facebook niet alles of niets, je kunt ook delen van de site blokkeren. Zo kan je ervoor kiezen om de Facebook authentication API waar je naar refereert toe te staan, terwijl je het bezoeken van (onderdelen van) de Facebook website blokkeert.
Hoe doe je dat dan???
Graag uitleg want het is me totaal onduidelijk hoe je delen van een site wel/niet zou kunnen blokkeren terwijl deze
site over een https verbinding benaderd wordt.
Volgens mij doet Facebook dit met opzet. Als ze goed zouden willen dan zouden ze die API aanbieden op een andere
(sub)domeinnaam. Maar dat doen ze dus niet. Ze willen graag dat andere sites van hun site afhankelijk worden waardoor
bedrijven facebook op een gegeven moment niet meer kunnen blokkeren.
Er is is ook nog een andere goede en haalbare oplossing.
Deze is echter wel kostbaar. Goede HTTPS filtering of blokkering kan alleen als de router eigen ssl certificaten heeft. Deze zijn dus toegewezen aan de fabrikant. Je komt dan uit bij een zogeheten UTM. Deze router plaats je al dan niet bridged tussen jou modem en het internet. Functioneert als firewall traffic filter.
Voordeel is dat je geen software hoeft te installeren. Het is een redelijk gebruiksvriendelijk apparaat waarbij je, als het moet, enkel het filter hoeft te gebruiken. Je voert bijvoorbeeld www.facebook.com in en vinkt HTTPS filtering aan en de site is niet meer toegankelijk. Een fabrikant als Cyberoam heeft zeer bruikbare oplossingen, is mijn ervaring. Zij hebben intussen ook een consumenten router met UTM specificaties, die een stuk goedkoper is.
Je kan ook zoals eerder genoemd, delen van bijvoorbeeld facebook toestaan of blokkeren met het 'application filter'. Dit werkt alleen wel iets anders zoals in dit topic genoemd. Je kan bijvoorbeeld status updates of chat blokkeren.
Wil je het nog beter dan kan je zelfs met een zogeheten 'whitelist only' werken. Blokkeert automatisch alle sites en laat enkel de goede door, die je via een tekst bestandje kan uploaden. Echter is het tijdrovend, omdat je vaak ook subdomeinen moet invoeren. Voor de meeste volstaat een blacklist dan ook.
Stel gerust je vragen.
Deze is echter wel kostbaar. Goede HTTPS filtering of blokkering kan alleen als de router eigen ssl certificaten heeft. Deze zijn dus toegewezen aan de fabrikant. Je komt dan uit bij een zogeheten UTM. Deze router plaats je al dan niet bridged tussen jou modem en het internet. Functioneert als firewall traffic filter.
Voordeel is dat je geen software hoeft te installeren. Het is een redelijk gebruiksvriendelijk apparaat waarbij je, als het moet, enkel het filter hoeft te gebruiken. Je voert bijvoorbeeld www.facebook.com in en vinkt HTTPS filtering aan en de site is niet meer toegankelijk. Een fabrikant als Cyberoam heeft zeer bruikbare oplossingen, is mijn ervaring. Zij hebben intussen ook een consumenten router met UTM specificaties, die een stuk goedkoper is.
Je kan ook zoals eerder genoemd, delen van bijvoorbeeld facebook toestaan of blokkeren met het 'application filter'. Dit werkt alleen wel iets anders zoals in dit topic genoemd. Je kan bijvoorbeeld status updates of chat blokkeren.
Wil je het nog beter dan kan je zelfs met een zogeheten 'whitelist only' werken. Blokkeert automatisch alle sites en laat enkel de goede door, die je via een tekst bestandje kan uploaden. Echter is het tijdrovend, omdat je vaak ook subdomeinen moet invoeren. Voor de meeste volstaat een blacklist dan ook.
Stel gerust je vragen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.