Endian Firewall

Comunidade Brasileira de Endian Firewall

1. 

   otonwallace
   Membro

   Ola, Sou inicinate no Forum e no EFW, de cara Exelente programa.
   estou com um probleminha na minha rede.

   minha rede e, um pc com 2 placa de rede (entrada e saida)configurada para bloquear tudo, e apenas liberar alguns pc's com MAC, e o demias pro proxy.
   no Proxy/Filtro de conteudo/proxy transparete possui uma lista dos site permitidos, essa semana percebi que sites HTTP ele Boqueio perfeitamente mas os HTTPS passa normal,
   Tipo http://facebook.com ele Bloqueia ja https://facebook.com passa normal e o log nao captura. recebi o endiam ja configurado,
   gostaria de saber com resolvo isso. e existe algum arquivo sobre o endim em br( tenho em ING, mas é de outra versao)

   desdeja Agradecido.

   Publicado 10 months atrás #
2. 

   scoob
   Membro

   Estou com o mesmo problema .. pelo o que eu ja pesquisei é pq os pacotes do https vem criptografados entao o proxy nao tem como filtrar. Ja ouvi falar que tinha que fechar a porta 433 .. mas isso é mt radical .. pq sites precisam de https, principalmente os bancarios .. tem essa opçao aqui, mas ainda nao testei.

   iptables -t filter -A OUTPUT -p tcp --dport 443 -d facebook.com -j DROP

   se alguem mais puder ajudar!

   Publicado 10 months atrás #
3. 

   scoob
   Membro

   Retificando .. porta 443 - Https

   Publicado 10 months atrás #
4. 

   otonwallace
   Membro

   Ola, fechar a 443 é ao extremo mesmo, ela é usada pra conectar ao endian,
   estou apanhando muito do EFW, ele tbm era pra bloquear todos os site e liberar so os fa lista Proxy transparente.

   Publicado 10 months atrás #
5. 

   Odair Corassa Junior
   Membro

   Bom dia,

   sim é recomendável dependendo da segurança em que queira implementar o bloqueio da porta 80 e 443 na saída do firewall. Dessa forma só sairá conexão 80 e 443 através do Proxy. Tenho funcionando alguns firewalls Endian dessa forma tranquilo

   att

   Jr

   Publicado 10 months atrás #
6. 

   otonwallace
   Membro

   Bom Dia,
   intendi mas nao intendi(rsrsrs) terei que criar uma regra no firewall??
   desculpas como fazer pra bloquear os site http e https e so permitir por mac e proxy

   Publicado 10 months atrás #
7. 

   adrianorj
   Membro

   Lembrando que transparente não boqueia 443, só autenticado.

   Publicado 10 months atrás #
8. 

   scoob
   Membro

   Odair,

   Voce poderia nos dar mais informação de como voce fez esse bloqueio e redirecionamento das portas?

   Publicado 9 months atrás #
9. 

   samuel
   Membro

   primeiro para melhor controle e gerenciamento voce precisa desativar seu proxy tranparente e ativar o not transparente. apos feito isso no trafego de saida (outgoing traficc) voce tem que desabilitar o trafego das portas 80 e 443. define a porta que vc vai usar para o proxy. por padrao é a 8080 eu utilizo a 3128. feito isso se suas regras de contentfilter + acces police estiver funcionando perfeitamente. vai bloquear tudo que voce quer!!! e mostrando os logs corretamente, lembrando que para o usuario acessar a internet ele é obrigatorio configurar no browser o proxy. voce pode fazer via "GPO" se ele da uma de "espertinho" e tirar o proxy manualmente ele nao navega!
   post duvidas

   Publicado 9 months atrás #
10. 

    hernaneac
    Membro

    O endian não bloqueia https usando proxy tranparente só proxy normal.

    Se for realmente necessário vai ter que mudar isso aí

    Publicado 9 months atrás #
11. 

    otonwallace
    Membro

    samuel,
    Vlw pela dica, mas ja tem outar configuraçoes, terei que remover?

    hernaneacm,
    Sim é necessario. estou tentando mudar isso, pq ainda nao descobriram isso aqui se nao era acesso no minimo ao Facebook.

    Publicado 9 months atrás #
12. 

    samuel
    Membro

    suas configurações de contentfilter + access policy nao precisa mexer se tiver funcionando perfeitamente...utiliza o proxy not transparente, voce vai ver que é melhor em varios aspectos.. o unico probleminha é que se voce precisar liberar um determinado ip para full acesso voce nao utiliza mais o "Bypass transparent proxy" vc vai criar uma nova access polyce para esse ip autorizando o acesso, utilizando filter profile "none" ai ele nao pega configuração de nehum profile da contentfilter.

    post duvidas

    Publicado 9 months atrás #
13. 

    MLOPES
    Membro

    amigos, fiz tudo como o samuel falou, inclusive a GPO! porem continua acessando os sites https. apaguei a porta 433 na configuração de proxy e funcionou, porem niguem consegue acessar.

    Publicado 6 months atrás #
14. 

    mastergeekcd
    Membro

    Para funcionar o bloqueio https:

    Primeiro: Proxy tem que ser "Não Transparente"
    Segundo: Criar uma política na empresa de quais pessoas terão acesso e pra onde irá o acesso delas.
    Terceiro: Criar uma regra no "Firewall" na parte de "Tráfego de Saída" bloqueando o acesso de "IPS QUE NÃO PODERÃO ACESSAR" para VERMELHO.

    Aqui a regra é essa e todos conseguem acessar bancos e outras coisas https pelo proxy veja que pode-se se permitir nesse campo no Proxy

    Allowed SSL Ports (from client)
    Onde aqui vai as Portas que podem fazer conexão direta já que são SSL

    Mas o mais importante MLOPES é criar a estrutura de forma que se saiba quem tem necessidade ou não de acesso. Isso é um primordial para que possa criar regras de acesso mais especifícas.

    Só como exemplo:
    Eu bloqueio todo trafego de saída de uma faixa de IPs para as portas 80 e 443 esses somente navegam nos sites permitidos pelo proxy (bloqueado alteração por GPO), assim todas as pessoas que necessitam de acesso a sites que não conseguem fazer uso do proxy estão em uma outra faixa de Ips (192.168.0.30 até 192.168.0.100 - regra do bloqueio) (192.168.0.101-200 - regra padrão que já vem no Firewall permitindo)

    Agora vem a pergunta "Ah mas esses usuários que o Firewall não bloqueia acessam facebook?" Resposta NÃO
    Porque?
    Existe a seguinte ordem nas minhas regras de proxy:

    Acesso negado | GREEN | .facebook.com |Não requerido Sempre QUALQUER
    Ou seja acesso negado de qualquer para o domínio facebook.com

    Agora lembro somente o Endian será eficaz se for usado em conjunto com uma estrutura de regras a qual se saiba quem pode e deve acessar ou não a qualquer lugar. Definida essas regras ai voce terá como criar regras que realmente funcionem.

    Publicado 6 months atrás #
15. 

    Jr. Menezes
    Membro

    Entrando no tópico...

    Para quem usa Proxy Transparente, a única forma de fazer bloqueio de HTTPS é pelo Firewall, dropando a porta 443 para os IPs dos sites em questão.

    Para o Facebook, usei essa dica: http://endian.eth0.com.br/topic/bloqueando-facebook-no-endian-fw

    Existe quem a questione, mas desde a data da implantação até hoje, ninguém conseguiu acessar o FB nas redes que administro. Claro, com o crescimento (ainda maior) dessa Rede Social, é possível que sejam acrescidos mais servidores e mais endereços IP, mas por enquanto, é "uma mão na roda" para quem utiliza Proxy Transparente.

    []s

    Jr. Menezes
    Redes e Segurança de Sistemas

    Publicado 6 months atrás #
16. 

    ronaldodavi
    Membro

    Acesso negado | GREEN | .facebook.com |Não requerido Sempre QUALQUER

    No caso nao seria | Vermelho | em vez de | GREEN |

    Voce pode entrar no shel e dar o seguinte comendo

    tail -f /var/log/squid/access.log

    e monitorar os acessos ao facebook o 443 vai por facebook.net:443 adciona .facebook.net na regra de bloquei que nao passa nem nos sites que tem plugins!

    Publicado 6 months atrás #
17. 

    MLOPES
    Membro

    obrigado pelo feedback!conseguir bloquear de uma forma (não seia ainda se é ideal): Mesmo eu colocando o prox "não transparante" e usando a porta 3128 e tmb bloqueando o trafego de saida das portas 80 e 443 o https coniuava passando (crei que pela porta 3128). Alterei na configuração de prox do navegar a porta https 8080 e HTTP deixei a porta 3128, ele bloqueou. porem se o usuario conseguir altera a porta https do navegar para 443 ou 3128 vai liberar.

    Publicado 6 months atrás #
18. 

    Jr. Menezes
    Membro

    Caros,

    Repetindo o que já havia falado em alguns outros posts. Para que se faz necessário o uso do "." antes da URL? Nos docs do Endian FW nada se refere a isso. Muita gente (eu, inclusive!) já teve problemas com esse dot antes das urls.

    Repetindo: Não se faz necessário o "." antes das urls.

    ERRADO: .facebook.net
    CERTO: facebook.net

    Colocando "facebook.net", todas os subdomínios de facebook.net serão automaticamente bloqueados.

    E ponto! (mais uma vez!)

    Jr. Menezes
    Redes e Segurança de Sistemas

    Publicado 6 months atrás #
19. 

    tacioandrade
    Membro

    MLOPES, de forma mais simples eu consegui bloquear agora a pouco em ambiente de testes.

    Coloquei o proxy como autenticado, fui no Firewall e desativei as regras de http e https e criei uma regra no controle de conteúdo (com o facebook.com) de forma que para navegar todos os usuários tivessem que autenticar e caso o seu computador estivesse em algum desses filtros o site não era carregado.

    PS: Coloque a porta do proxy autenticado de todos os protocolos para 8080, assim todos passarão pelo Squid.

    Publicado 5 months atrás #
20. 

    juniorx32g
    Membro

    Pessoal,
    Se vocês não querem usar a solução de autenticar os usuários (como eu), no final desse post tem a dica: http://endian.eth0.com.br/topic/bloquear-aba-facebook-no-skype

    Basta ligar o firewall de saída e bloquear o https para os IPs de destinos do facebook, twitter, etc... partindo da rede que você quer.
    Para descobrir os IPs por domínio, utilizem a busca do http://bgp.he.net/.

    Comigo está dando certo até agora. Segue meu log:

    OUTGOINGFW:REJECT:2 TCP (br0) 10.1.1.3:49735 -> 199.59.149.230:443 (eth0)

    Onde 199.59.149.230:443 é umd os Ips do twitter.

    Publicado 4 months atrás #

RSS feed for this topic

Resposta »

Você deve fazer login para publicar.