mikrotik - facebook és messenger tiltás (Esztergályos Róbert)

ka at mayten.sch.bme.hu ka at mayten.sch.bme.hu
2016. Ápr. 6., Sze, 10:50:32 CEST 

Szia es koszi a valaszt,

> @Adam:
> Nem találtam alkalmazás szintű tiltást a mikrotikben (bár nem értek 
> hozzá
> még eléggé, lehet csak nem tudom hol keressem).
> http://ptszki.hu/images/layer7_facebook_youtube.jpg
> Erre gondoltam, én így tiltom.
> A mikrotik nem oszt dnst vagy dhcpt, "csak" tűzfal funkciót lát el.

Remelem valaki kijavit majd aki jobban ismeri a mikrotikot, de a 
tiltasodrol a kovetkezo az elmeletem.

Eloszor is, rakeresve, olyan oldalalakt talaltam amik 2012-ben irodtak.  
Emlekeim szerint akkoriban a facebook https-t csak opcionalisan 
hasznalt, ha egyatalan.  Szerintem manapsag a leirt modszer bar tunhet 
hatekonynak, de nem az.  Nem valodi layer 7 szuresrol van itt szo, 
csupan arrol, hogy a mikrotik belenez a payload-ba es ha szerepel benne 
a megadott regex, akkor a csomagot eldobja (vagy azt csinalja vele amit 
mondtal neki).  Ezt raadasul nem minden csomaggal teszi (gondolom 
eroforras-igenyes volna), hanem minden session elso par csomagjaval, 
vagy elso par KB forgalommal.  De javitson valaki aki jobban ismeri, en 
eletemben egyszer lattam mikrotiket, az se az volt, ahogy a szolas 
tartja.

Tehat van egy regexped.  Latom lekorlatoztad 80 es 443 portokra, azaz a 
DNS nincs benne, de ez amugy is csak akkor lenne hatasos, ha a DNS 
forgalom athaladna a mikrotikon (igy nem kapna a kliens valaszt a 
nevfeloldasi keresre - ez is egy formaja a blokkolasnak, megha nem is a 
legjobb).

Amikor a kliens feszbukozni akar, a kovetkezo tortenik.  Beirja, hogy 
facebook.com (vagy elinditja az appot, ami erre a nevre indit egy HTTP 
kerest).  Mivel mar nem 2012 van, felteszem a feszbuk is HSTS-t hasznal 
(HTTP Strict Transport Security).  Ennek eredmenyekeppen a kliens 
azonnal atiranyitodik HTTPS-re.  Azaz, atiranyitodna.  A mikrotik 
szamara ez az egyetlen kapcsolat, amit figyelni tud, mert csak ez 
plaintext.  A HTTPS-t mar nem tudja figyelni, de nem is kell, mert az 
atiranyitas elotti csomagban lathatja a kliens keresebol, hogy milyen 
oldalt akar megnezni es a regexp match-elni fog.

Ugyanakkor viszont, ha en a kliensemen nem csak beirom, hogy 
feszbuk.com, hanem konkretan eleve https://facebook.com -ot irok be, 
akkor a mikrotiknak eselye sincs blokkolni es vigan mukodni fog, mivel a 
titkositott kapcsolat belsejeben nem fog regexp matchet talalni.

A messenger eleve titkositott kapcsolatot hasznal, semmilyen HTTP 
forgalom nem zajlik, igy a mikrotikod semmit sem tud az egeszrol.

Megegyszer irom, fogalmam sincs, valojaban hogy mukodik a mikrotik, de 
logikusan vegiggondolva szerintem nem tortenhet mas es szerintem ezert 
hibas az egesz tiltasod:

1) a messengernek nincs http-je, igy nem fogod latni
2) a mostani tiltasod ellenere is szamtalan diak feszbukozhat, aki mar 
rajott, hogy csak https:// -sel kell kezdeni a bongeszoben az URL-t.

Ha nincs igazam, kerlek ird meg miert, hadd tanuljak en is, mert mint 
irtam ez csak egy elmelet, tenyek nelkul.

udv
adam

További információk a(z) Techinfo levelezőlistáról