گرفتن لاگ اینترنت کاربران با استفاده از میکروتیک

پس اگر هدفتون جلوگیری از ورود بد افزار به سازمان هست و از این بابت قراره نظارت بر روی کاربران داشته باشید پس میبایست سراغ ویژگی های دیگه برید مثله SSL Inspection که به واسطه اون شما میتونید بازرسی عمیقی رو بر روی ترافیک های Encrypted داشته باشید که لذا اگر این وسط به واسطه یک ارتباط امن سازی شده بخواد یک بد افزار وارد سازمان شود از این کار جلوگیری شود.
پیشنهاد میکنم این مقاله را که بنده  در رابطه با SSL Inspection نوشتم را مطالعه کنید هرچند پیکربندی اون بر روی فایروال FortiGate انجام دادم بر روی Kerio Control نیز با یک سرچ ساده به جواب میرسید والبته توضیحات معمولا مشترکه توی Vendor های مختلف
گزینه دوم سوالتون هم با راهکار های Web Filtering که گفتم قابل انجام هست که اکثرشم خوبیش اینه با URL میتونید انجام بدید و نیاز نیست صرفا IP وب سرور مورد نظر رو وارد کنید.
و سوال اخرتون - در ابتدا فکر میکردم فقط هدف Web Filtering و دیدن Log وب سایت های دیده شده هستش پس اینجا من Mikrotik و گزینه خوبی میدونم براتون اما درصورتی که شما بخواید عملیات بررسی امنیتی به منظور جلوگیری از ورود بد افزار ها انجام بدید قطعا نیاز به استفاده از UTM هست و معقول تره که از دیوایسی که وظیفه و کارش این هست استفاده بشه زیرا در مسائل امنیتی Mikrotik محدوده و نمیشه اعتنا کرد.

ممنون از توضیحاتتون، بسیار جامع و کامل بود.

در واقع دلیل اعمال محدودیت‌ها این است که گروهی از کاربران شاغل در حوزه مالی ممکن است با وبگردی و مراجعه به سایت‌های حاوی بدافزار سیستم مالی را دچار مشکل کنند که برای این گروه دسترسی به تعداد مشخصی از وبسایت‌ها باید اعمال شود (منتها همه HTTPS هستند)

گروه دوم کاربران نوجوان هستند و یکسری مراقبت‌ها شبیه Parental Control برای حفظ سلامتی اونها مورد نیاز است. منتها اگر روش مناسب‌تری وجود دارد ممنون می‌شوم راهنمایی بفرمایید.

و در خصوص اینکه برای این منظور استفاده از میکروتیک کاربردی تر هست یا کریو لطفا توضیح بفرمایید

با تشکر از شما

سلام برشما...

در پرسش مجزا که مطرح کردید پاسخ رو خدمتتون دادم. لینک پرسش برای دوستانی که سوال شمارا دارند: Link

سلام برشما خسته نباشید
ببینید برای اعمال محدودیت بر روی میزان Bandwidth کاربران شما روی میکروتیک میتونید از QoS Queue استفاده کنید.
برای اینکه بتونی دسترسی کاربران به سمت یک‌ وب سایت رو ببندید خب راه های متنوعی وجود از جمله:

پیاده سازی Static-DNS: بدین شکل که شما آدرس IP یک Domain خاص رو تغییر بدید و ترافیک رو بر روی مقصد خاصی هدایت کنید(برای مثال 127.0.0.1) بدین شکل که شما دارید کاربر رو به یک آدرس IP جعلی میفرستید که آدرس IP سیستم اصلی نیست‌.

/ip dns static add name=example.com address=127.0.0.1
/ip firewall nat add chain=dstnat dst-port=53 action=redirect to-ports=53 protocol=tcp
/ip firewall nat add chain=dstnat dst-port=53 action=redirect to-ports=53 protocol=udp

پیاده سازی Web Proxy: در این شرایط شما میبایست یک Web Proxy درون میکروتیک راه اندازی کنید و فرآیند فیلتر سازی و Block کردن دامین های خاصی رو انجام بدید.

پیاده سازی Layer 7 Firewall: همونطور که میدونید میکروتیک فایروال بسیار جالبی داره اما این فایروال ویژگی درونش وجود داره تحت عنوان L7 Firewall که یکی از توانایی هاش بحث Web Filtering هستش که به راحتی و با پشتیبانی از Regex میتونید پیاده سازی کنید. این ویژگی صرفا برای این موضوع نیست و وظیفه اون فعالیت در L7 شبکه و ترافیک های ماست و البت اگر میخواید به صورت مداوم از قوانین های L7 Firewall استفاده کنید میبایست توجه داشته باشید که این قوانین بر روی بورد اصلی قرار میگیره و میبایست دیوایسی مناسب داشته باشید.

پیاده سازی Content Filter: در بخش Advanded فایروال میکروتیک قسمتی وجود دارد تحت عنوان Content که میتوانید نام وب سایت مورد نظر را وارد کنید

پیاده سازی Route Policy: در این شرایط دقیقا شما مشکل خودتون رو دارید که نمیتونید آدرس IP وب سرور سایت مورد نظر را داشته باشید زیرا در این بخش از Url و Domain Name پشتیبانی نمیشود برای مثال در شرایطی که قصد دارید آدرس خاصی برای مثال 8.8.8.8 را فیلترکنید میتونید به شکل زیر عمل کنید‌.

/ip route add dst-address=8.8.8.8 type=blackhole

برای سوال اخرتون هم جا داره بگم طبیعیه چون Https ترافیک Encrypted هستش و ماهیتشم همینه که به راحتی نشه ردیابیش کرد و با Web Proxy راحت دیدش به همین سبب Web Proxy بیشتر دستش رو Http باز هست. برای اینکار که بتونید ترافیک های Https Encrypted رو ببینید راه های مختلفی هست اما دوتا نکته باید حتما رعایت شه: 
اول - از لحاظ قانونی دسترسی و اجازه Unencrypted کردن داده ها و داشتن Log اونهارو داشته باشید.
دوم - میبایست Certificate مورد نظر رو به دیوایس مد نظر وارد کنید تا بتونه دوباره داده هارو Encrypted کنه.
اما این بخش که شما بخواید داده های Https رو رصد کنید بیشتر میتونه جنبه امنیتی داشته باشه برای ویژگی های مثله SSL Inspection وگرنه اگر‌ میخواید فقط نظارت داشته باشید روی اینکه کاربران به چه سایت های دسترسی پیدا میکنند حالا اینش زیاد نمیشه گفت جالب باشه

مهندس جان منم دقیقا همین مشکل رو دارم 

سوالش رو که نوشتم دیدم یه دوست دیگه هم مثله من مشکل داره تو رصد سایتهای https

من متوجه نشدم بالاخره واسه اینکه لاگ های پورت 443 رو بفرستیم روی یه لاگ سرور چیکار بایدبکنیم؟

واسه فیلترکردن راههای بسیاری وجود داره که فرمودین 

اما اول باید ببینیم چه سایتهایی بازدید میشه که بتونیم یه پلن طراحی کنیم

درضمن مهندس جان الان خود کروم و*ی پ*ی ا*ن داره که اگه یه کاربر یکم کنجکاو باشه و بخواد یه سایت رو باز کنه براحتی میتونه ادمین رو دور بزنه مثلا من اینستا رو بستم ولی با zen mate کروم براحتی رکب می خوریم ، سوالم اینه که چطوری میشه آی پی وی پی ان ها رو بست

در ضمن مهندس تنگسیری عزیز میکروتیک من 1036 هستش (36 تا سی پی یو و  4 گیگ رم )