Запрет на скачивание файлов определенного формата + белый список

[Sweik]

Добрый день.

Стоит задача заблокировать скачивание определенных файлов (*.exe и подобное) с использованием некого белого листа.

Простыми словами - рнужно настроить такую конфигурацию:
- запретить пользователям скачивать исполняемые файлы, но при этом
- разрешить доступ к веб-ресурсам из белого списка (для получения всячекских обновлений).

Пробовал по этотй статье -https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7 не выходит...
то, что Mikrotik не будет обрабатывать HTTPS, я в курсе.

Возможно, ли, вообще, реализация задуманного?

Спасибо

[Chupaka]

Добрый.

Подробности в студию. Что именно пробовали-то? А то в статье про exe вообще ни слова.

[Sweik]

Прошу прощения - не ту ссылку указал.
Копировал настройки отсюда:
https://habr.com/ru/post/321408/

Сам имею следующее:

Код: Выделить всё

/ip firewall layer7-protocol
add name="Unwanted Content" regexp="GET .*(\\.mp3|\\.exe|\\.bat|\\.reg|\\.cmd|\
    \\.scr|\\.vbs|\\.vbs|\\.ws|\\.wsf|\\.wsc|\\.apk\\.dll|)[^a-zA-Z0-9].*HTTP.\
    *\\n"

/ip firewall address-list
add address=firefox.com list=Allowed
add address=mozilla.org list=Allowed
add address=java.com list=Allowed
add address=google.com list=Allowed
add address=kaspersky-lab.com list=Allowed
add address=kaspersky.com list=Allowed
add address=adobe.com list=Allowed
add address=dropbox.com list=Allowed


/ip firewall filter
add action=reject chain=forward dst-address-list=!Allowed in-interface=\
    lan_bridge layer7-protocol="Unwanted Content" log=yes log-prefix=\
    unwanted_content protocol=tcp reject-with=tcp-reset

пробовал на файлах формата mp3, скачивал с zaycev.net

[Chupaka]

А конкретнее, откуда с зайцев? Там точно .mp3 в адресе?

Правило вообще ничего не ловит?

[Sweik]

Зайцы сгенерировали вот такой линк на скачку:
http://cdndl.zaycev.net/871892/6488979/ ... ge=default
(на всякий случай отмечу, что к моим музыкальным пристрастиям ЭТО не относится - просто ткнул мышкой в первый линк)

В логах срабатывания есть

zeycev.JPG

но скачка не блокируется

[Chupaka]

Хм... А если посмотреть в Инструменты разработчика в Chrome -> Network, он с какого адреса скачивание показывает? С того, который по логам блокируется?..

[Sweik]

Пока получилось таким образом:

Код: Выделить всё

/ip firewall filter
add action=add-dst-to-address-list address-list=limit-extension \
    address-list-timeout=1h chain=forward content=.mp3 log=yes protocol=tcp
add action=reject chain=forward connection-state=established,related \
    dst-address-list=limit-extension log=yes log-prefix=unwanted_content \
    protocol=tcp reject-with=tcp-reset

Первое правило добавляет destination host в некий address-list, второе правило reject-ит все established и related соединения.

Проверил на двух музыкальных ресурсах, которые еще не перешли на https. Работает.
В финальной версии в первом правиле вместо безобидного mp3 будет список исполняемых файлов.

Да, я понимаю, что:
- этот метод не защитит от https-соединения
- этот метод не защитит от переименованного файла
- подход к безопасности должен быть комплексным.

Но это - лучше, чем ничего

[Chupaka]

Ну, насчёт "список" - это будет несколько правил, в content нельзя несколько вариантов запихнуть, к сожалению. И странно, что L7 не заработал...

[Sweik]

Да, про "список" я уже понял. Но это не страшно, т.к. в моем случае надо блокировать потенциально-опасные форматы файлов, а их не так и много. Музыку и прочее резать нет необходимости.
L7 меня тоже удивил, но что делать.
Надеюсь, что в следующих сборках Miktorik подружится с HTTPS

[Chupaka]

Надеюсь, что в следующих сборках Miktorik подружится с HTTPS

Вы действительно не понимаете, что это технически нереализуемо?.. HTTPS был придуман для того, чтобы нельзя было прослушивать, что там внутри

[Sweik]

Почему не понимаю?
Понимаю. Для этого нужно дешифровать трафик, но это уже задача прокси-сервера. Речь о другом - в организациях малого-среднего уровня (а Микротик на них ориентирован идеально) обычно не очень хорошо с IT-инфрастуктурой. И если бы Микротик, помимо своих основных функций, мог бы еще и работать полноценным прокси - ему бы цены не было.

[Chupaka]

Чтобы дешифровать трафик, надо получить к нему ключи. Этого у вас нет. А если речь про малый бизнес, то всё делается и сейчас: поднимаете IP -> Web Proxy, прописываете настройки этого прокси на клиентских компьютерах - и вуаля, у вас весь трафик гуляет через прокси без шифрования, так что без проблем запрещаете доступ по типам файлов.

[Sweik]

Да, спасибо. Это тоже вариант.

С уважением