Запрет на скачивание файлов определенного формата + белый список

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Sweik
Сообщения: 68
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Запрет на скачивание файлов определенного формата + белый список

Сообщение Sweik » 04 мар 2019, 14:33

Добрый день.

Стоит задача заблокировать скачивание определенных файлов (*.exe и подобное) с использованием некого белого листа.

Простыми словами - рнужно настроить такую конфигурацию:
- запретить пользователям скачивать исполняемые файлы, но при этом
- разрешить доступ к веб-ресурсам из белого списка (для получения всячекских обновлений).

Пробовал по этотй статье -https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7 не выходит... :?:
то, что Mikrotik не будет обрабатывать HTTPS, я в курсе.

Возможно, ли, вообще, реализация задуманного?

Спасибо
С уважением

Аватара пользователя
Chupaka
Сообщения: 1692
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Запрет на скачивание файлов определенного формата + белый список

Сообщение Chupaka » 04 мар 2019, 15:09

Добрый.

Подробности в студию. Что именно пробовали-то? А то в статье про exe вообще ни слова.

Аватара пользователя
Sweik
Сообщения: 68
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Запрет на скачивание файлов определенного формата + белый список

Сообщение Sweik » 04 мар 2019, 16:00

Прошу прощения - не ту ссылку указал.
Копировал настройки отсюда:
https://habr.com/ru/post/321408/

Сам имею следующее:

Код: Выделить всё

/ip firewall layer7-protocol
add name="Unwanted Content" regexp="GET .*(\\.mp3|\\.exe|\\.bat|\\.reg|\\.cmd|\
    \\.scr|\\.vbs|\\.vbs|\\.ws|\\.wsf|\\.wsc|\\.apk\\.dll|)[^a-zA-Z0-9].*HTTP.\
    *\\n"

/ip firewall address-list
add address=firefox.com list=Allowed
add address=mozilla.org list=Allowed
add address=java.com list=Allowed
add address=google.com list=Allowed
add address=kaspersky-lab.com list=Allowed
add address=kaspersky.com list=Allowed
add address=adobe.com list=Allowed
add address=dropbox.com list=Allowed


/ip firewall filter
add action=reject chain=forward dst-address-list=!Allowed in-interface=\
    lan_bridge layer7-protocol="Unwanted Content" log=yes log-prefix=\
    unwanted_content protocol=tcp reject-with=tcp-reset
пробовал на файлах формата mp3, скачивал с zaycev.net
С уважением

Аватара пользователя
Chupaka
Сообщения: 1692
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Запрет на скачивание файлов определенного формата + белый список

Сообщение Chupaka » 04 мар 2019, 16:28

А конкретнее, откуда с зайцев? Там точно .mp3 в адресе?

Правило вообще ничего не ловит?

Аватара пользователя
Sweik
Сообщения: 68
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Запрет на скачивание файлов определенного формата + белый список

Сообщение Sweik » 04 мар 2019, 16:43

Зайцы сгенерировали вот такой линк на скачку:
http://cdndl.zaycev.net/871892/6488979/ ... ge=default
(на всякий случай отмечу, что к моим музыкальным пристрастиям ЭТО не относится - просто ткнул мышкой в первый линк)

В логах срабатывания есть
zeycev.JPG
zeycev.JPG (87.79 КБ) 121 просмотр
но скачка не блокируется
С уважением

Аватара пользователя
Chupaka
Сообщения: 1692
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Запрет на скачивание файлов определенного формата + белый список

Сообщение Chupaka » 04 мар 2019, 19:03

Хм... А если посмотреть в Инструменты разработчика в Chrome -> Network, он с какого адреса скачивание показывает? С того, который по логам блокируется?..

Аватара пользователя
Sweik
Сообщения: 68
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Запрет на скачивание файлов определенного формата + белый список

Сообщение Sweik » 04 мар 2019, 19:17

Пока получилось таким образом:

Код: Выделить всё

/ip firewall filter
add action=add-dst-to-address-list address-list=limit-extension \
    address-list-timeout=1h chain=forward content=.mp3 log=yes protocol=tcp
add action=reject chain=forward connection-state=established,related \
    dst-address-list=limit-extension log=yes log-prefix=unwanted_content \
    protocol=tcp reject-with=tcp-reset
Первое правило добавляет destination host в некий address-list, второе правило reject-ит все established и related соединения.

Проверил на двух музыкальных ресурсах, которые еще не перешли на https. Работает.
В финальной версии в первом правиле вместо безобидного mp3 будет список исполняемых файлов.

Да, я понимаю, что:
- этот метод не защитит от https-соединения
- этот метод не защитит от переименованного файла
- подход к безопасности должен быть комплексным.

Но это - лучше, чем ничего
С уважением

Аватара пользователя
Chupaka
Сообщения: 1692
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Запрет на скачивание файлов определенного формата + белый список

Сообщение Chupaka » 04 мар 2019, 22:18

Ну, насчёт "список" - это будет несколько правил, в content нельзя несколько вариантов запихнуть, к сожалению. И странно, что L7 не заработал...

Аватара пользователя
Sweik
Сообщения: 68
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Запрет на скачивание файлов определенного формата + белый список

Сообщение Sweik » 05 мар 2019, 13:03

Да, про "список" я уже понял. Но это не страшно, т.к. в моем случае надо блокировать потенциально-опасные форматы файлов, а их не так и много. Музыку и прочее резать нет необходимости.
L7 меня тоже удивил, но что делать.
Надеюсь, что в следующих сборках Miktorik подружится с HTTPS
С уважением

Аватара пользователя
Chupaka
Сообщения: 1692
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Запрет на скачивание файлов определенного формата + белый список

Сообщение Chupaka » 05 мар 2019, 15:17

Sweik писал(а):
05 мар 2019, 13:03
Надеюсь, что в следующих сборках Miktorik подружится с HTTPS
Вы действительно не понимаете, что это технически нереализуемо?.. HTTPS был придуман для того, чтобы нельзя было прослушивать, что там внутри :)

Ответить