Вопрос или проблема
Как вы, возможно, знаете, Google SafeSearch может быть и часто является обязательным для применения администраторами сетей в их сетях.
Согласно этой статье Google, вот как это работает:
Настройте запись DNS для www.google.com (и любых других доменов Google для стран или регионов, которые ваши пользователи могут использовать) как CNAME для forcesafesearch.google.com.
Я понимаю, что настройка записи DNS для www.google.com на forcesafesearch.google.com может быть использована для принуждения к SafeSearch, но я не понимаю, как это возможно, если пользователь использует DNS через HTTPS.
- Можно ли принудить SafeSearch для пользователя, использующего DoH?
- Если да, нужно ли дешифровать трафик DoH?
- Если «нет» для дешифрования, как это работает?
Возможно, я неправильно понял, как работает принуждение?
Ответ или решение
Вопрос о том, может ли Google SafeSearch быть принудительно включен на сети, где пользователи используют DNS через HTTPS (DoH), заслуживает подробного рассмотрения.
Как работает SafeSearch
Согласно документации Google, безопасный поиск (SafeSearch) можно принудительно включить путем изменения DNS-записей. В частности, это достигается с помощью указания CNAME-записи для домена www.google.com, направляющей на forcesafesearch.google.com. Данная методология эффективна в классическом окружении, где используется традиционный DNS, но становится менее действенной, когда пользователи включают DoH.
Влияние DoH на принудительное включение SafeSearch
1. Можно ли принудительно включить SafeSearch для пользователей, использующих DoH?
Да, но с рядом оговорок. Пользователи, использующие DoH, устанавливают защищенное соединение для разрешения DNS-запросов. Это значит, что DNS-запросы не проходят через стандартный DNS-сервер, который контролируется администратором сети. В результате, если пользователь настроил DoH на использование стороннего DNS-сервиса (например, Cloudflare или Google), то администратору сети труднее управлять этими запросами.
2. Нужно ли расшифровывать трафик DoH?
В большинстве случаев, да, если администратор сети хочет контролировать доступ к ресурсам с использованием SafeSearch, он должен иметь возможность расшифровывать DoH-трафик. Это требует специальных решений для перехвата HTTPS-трафика, что может вызвать вопросы с безопасностью и конфиденциальностью.
3. Если "нет" расшифровке, как это работает?
Если расшифровка DoH-трафика невозможна, принудительное включение SafeSearch на стороне сети становится намного более сложной задачей. Однако существуют некоторые методы, которые можно рассмотреть:
-
Политики безопасности для браузеров: Многие браузеры позволяют администраторам внедрять политики безопасности. Это может быть выполнено через групповые политики (GPO) для браузеров, таких как Chrome или Firefox, где можно принудительно включить SafeSearch, даже если DNS-запросы отправляются через DoH.
-
Контроль маршрутизации: Некоторые организации могут использовать инструменты анализа сетевого трафика, чтобы блокировать доступ к нежелательным IP-адресам и доменам, что повышает вероятность соблюдения политик SafeSearch.
-
Фильтрация на уровне приложения: Внедрение веб-прокси или других решений для фильтрации контента может помочь в применении SafeSearch. Это может включать использование фильтрации на основе IP-адресов или URL, что не зависит от DNS.
Заключение
В контексте использования DoH администраторы сетей сталкиваются с новыми вызовами при попытке принудительного включения Google SafeSearch. Хотя базовая модель работает на динамической переадресации DNS, использование DoH снижает контроль со стороны сети. Однако, с помощью правильных настроек браузера, прокси-серверов и инструментов мониторинга, администраторы могут продолжать ограничивать доступ к нежелательному контенту, даже в условиях защищенного трафика.