Top過去ログ目次掲示板

作成日:2007年05月21日 作成:おやじ
掲示板で過去に質問された内容です。

No.6961 https://〜 では「Access Denied」になってくれない


No.6961 投稿時間:2007年05月21日(Mon) 14:53 投稿者名:yasu URL:
タイトル:https://〜 では「Access Denied」になってくれない


yasuと申します。

下記の件で行きづまり、問合せしてしまうこと、
誠に恐縮です。

Proxyサーバをsquidにて稼動してます。

この度、WEBメールサイトのアクセス拒否をかけたいと思い、
これまでのように、拒否サイトのリスト(別途リストを設けそれを
squid.confに読込せて使用中)に該当URLを記述しましたが
「Access Denied」になりません。

洗い出してみると、SSL(https://〜)のページが
「Access Denied」になってくれないことが判明しました。

http://〜 では「Access Denied」になるが、
https://〜 では「Access Denied」になってくれない。


以上、https://〜 のサイトもアクセス拒否できるには
どのようにしたら良いのでしょうか?
ご教授頂けると幸いです。

squid.conf の設定の位置はデフォルトのままで、
特に順番を変更したりはしていません。


No.6962 投稿時間:2007年05月21日(Mon) 21:05 投稿者名:おやじ URL:
タイトル:CONNECTメソッドでアクセスするのでhttps://・・・ではマッチングしません。

> Proxyサーバをsquidにて稼動してます。
>
> この度、WEBメールサイトのアクセス拒否をかけたいと思い、
> これまでのように、拒否サイトのリスト(別途リストを設けそれを
> squid.confに読込せて使用中)に該当URLを記述しましたが
> 「Access Denied」になりません。
>
> 洗い出してみると、SSL(https://〜)のページが
> 「Access Denied」になってくれないことが判明しました。
>
> http://〜 では「Access Denied」になるが、
> https://〜 では「Access Denied」になってくれない。
>
>
> 以上、https://〜 のサイトもアクセス拒否できるには
> どのようにしたら良いのでしょうか?

恐らく、そのリストには

^http://www.aconus.com/
^https://www.aconus.com/

と書かれていて、https://www.aconus.com/ の方が通過してしまう。ということですよね。
もしそうなら、そうなります。パケットをキャプチャすればわかりますが、httpは

GET http://www.aconus.com/ HTTP/1.0

となりますが、proxy経由でhttpsアクセスする場合はCONNECTメソッドでアクセスするので、

CONNECT www.aconus.com:443 HTTP/1.0

となるので、上記正規表現ではマッチングしません。

^www.aconus.com:443

と書いてあげれば、https://www.aconus.com/ へのアクセスは拒否できると思います。


No.6964 投稿時間:2007年05月22日(Tue) 18:14 投稿者名:yasu URL:
タイトル:Re: CONNECTメソッドでアクセスするのでhttps://・・・ではマッチングしません。

> > Proxyサーバをsquidにて稼動してます。
> >
> > この度、WEBメールサイトのアクセス拒否をかけたいと思い、
> > これまでのように、拒否サイトのリスト(別途リストを設けそれを
> > squid.confに読込せて使用中)に該当URLを記述しましたが
> > 「Access Denied」になりません。
> >
> > 洗い出してみると、SSL(https://〜)のページが
> > 「Access Denied」になってくれないことが判明しました。
> >
> > http://〜 では「Access Denied」になるが、
> > https://〜 では「Access Denied」になってくれない。
> >
> >
> > 以上、https://〜 のサイトもアクセス拒否できるには
> > どのようにしたら良いのでしょうか?



> 恐らく、そのリストには
>
> ^http://www.aconus.com/
> ^https://www.aconus.com/
>
> と書かれていて、https://www.aconus.com/ の方が通過してしまう。ということですよね。
> もしそうなら、そうなります。パケットをキャプチャすればわかりますが、httpは
>
> GET http://www.aconus.com/ HTTP/1.0
>
> となりますが、proxy経由でhttpsアクセスする場合はCONNECTメソッドでアクセスするので、
>
> CONNECT www.aconus.com:443 HTTP/1.0
>
> となるので、上記正規表現ではマッチングしません。
>
> ^www.aconus.com:443
>
> と書いてあげれば、https://www.aconus.com/ へのアクセスは拒否できると思います。



上記、確認取れました。
ご教授ありがとうございます。

http://www.aconus.com/ は通すけれど、
https://www.aconus.com/webmail は通さない
このようにする時にはどうしたら良いのでしょうか?

www.aconus.com/webmail:443
という定義ではアクセス拒否できません。

以上、よろしくお願いします。


No.6965 投稿時間:2007年05月22日(Tue) 19:13 投稿者名:おやじ URL:
タイトル:URIを識別した規制はhttpsではできません。

> http://www.aconus.com/ は通すけれど、
> https://www.aconus.com/webmail は通さない
> このようにする時にはどうしたら良いのでしょうか?
>
> www.aconus.com/webmail:443
> という定義ではアクセス拒否できません。

上記は有り得ない書き方ですね。敢えて書くなら

www.aconus.com:443/webmail

ですが、残念ながらhttpsでは

CONNECT www.aconus.com:443 HTTP/1.0

でCONNECTした後は通信内容は暗号化されてしまうため中身はわからない(だからSSL)ので、https://www.aconus.com/webmail は通さないという設定はできません。できるのは、https://www.aconus.com は通さない設定までで、URIが何であれ全て遮断することしかできません。
http://www.aconus.com/ はデフォルトでは通るので何もしなくても大丈夫ですよね。


No.6966 投稿時間:2007年05月23日(Wed) 10:24 投稿者名:yasu URL:
タイトル:Re: URIを識別した規制はhttpsではできません。


> > http://www.aconus.com/ は通すけれど、
> > https://www.aconus.com/webmail は通さない
> > このようにする時にはどうしたら良いのでしょうか?
> >
> > www.aconus.com/webmail:443
> > という定義ではアクセス拒否できません。



> 上記は有り得ない書き方ですね。敢えて書くなら
>
> www.aconus.com:443/webmail
>
> ですが、残念ながらhttpsでは
>
> CONNECT www.aconus.com:443 HTTP/1.0
>
> でCONNECTした後は通信内容は暗号化されてしまうため中身はわからない(だからSSL)ので、https://www.aconus.com/webmail は通さないという設定はできません。できるのは、https://www.aconus.com は通さない設定までで、URIが何であれ全て遮断することしかできません。
> http://www.aconus.com/ はデフォルトでは通るので何もしなくても大丈夫ですよね。



勉強になります。

幸い、(例)https://www.aconus.com/webmail は
ログイン後のURLが必ず https://webmail.aconus.com/〜 に
なるため、webmail.aconus.com:443 でアクセス拒否できることに
成功しました。

ご教授、どうもありがとうございました。



掲示板▲頁先頭