Home › Comunidade Brasileira Endian Firewall › Endian Firewall › Endian Firewall – Suporte › Bloqueio HTTP ok e HTTPs nao
Marcado: Proxy http https
- Este tópico contém 21 respostas, 14 vozes e foi atualizado pela última vez 11 anos, 10 meses atrás por Bruna Abreu.
-
AutorPosts
-
-
julho 22, 2011 às 11:10 pm #1194otonwallaceParticipante
Ola, Sou inicinate no Forum e no EFW, de cara Exelente programa.
estou com um probleminha na minha rede.
minha rede e, um pc com 2 placa de rede (entrada e saida)configurada para bloquear tudo, e apenas liberar alguns pc’s com MAC, e o demias pro proxy.
no Proxy/Filtro de conteudo/proxy transparete possui uma lista dos site permitidos, essa semana percebi que sites HTTP ele Boqueio perfeitamente mas os HTTPS passa normal,
Tipo http://facebook.com ele Bloqueia ja https://facebook.com passa normal e o log nao captura. recebi o endiam ja configurado,
gostaria de saber com resolvo isso. e existe algum arquivo sobre o endim em br( tenho em ING, mas é de outra versao)
desdeja Agradecido.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
julho 23, 2011 às 1:03 am #8568scoobParticipante
Estou com o mesmo problema .. pelo o que eu ja pesquisei é pq os pacotes do https vem criptografados entao o proxy nao tem como filtrar. Ja ouvi falar que tinha que fechar a porta 433 .. mas isso é mt radical .. pq sites precisam de https, principalmente os bancarios .. tem essa opçao aqui, mas ainda nao testei.
iptables -t filter -A OUTPUT -p tcp –dport 443 -d facebook.com -j DROP
se alguem mais puder ajudar!
-
julho 23, 2011 às 1:05 am #8569scoobParticipante
Retificando .. porta 443 – Https
-
julho 23, 2011 às 2:07 pm #8570otonwallaceParticipante
Ola, fechar a 443 é ao extremo mesmo, ela é usada pra conectar ao endian,
estou apanhando muito do EFW, ele tbm era pra bloquear todos os site e liberar so os fa lista Proxy transparente.
-
julho 23, 2011 às 2:38 pm #8571Odair Corassa JuniorParticipante
Bom dia,
sim é recomendável dependendo da segurança em que queira implementar o bloqueio da porta 80 e 443 na saída do firewall. Dessa forma só sairá conexão 80 e 443 através do Proxy. Tenho funcionando alguns firewalls Endian dessa forma tranquilo
att
Jr
-
julho 23, 2011 às 2:48 pm #8572otonwallaceParticipante
Bom Dia,
intendi mas nao intendi(rsrsrs) terei que criar uma regra no firewall??
desculpas como fazer pra bloquear os site http e https e so permitir por mac e proxy
-
julho 24, 2011 às 12:56 pm #8573adrianorjParticipante
Lembrando que transparente não boqueia 443, só autenticado.
-
julho 25, 2011 às 12:12 pm #8574scoobParticipante
Odair,
Voce poderia nos dar mais informação de como voce fez esse bloqueio e redirecionamento das portas?
-
julho 25, 2011 às 1:39 pm #8575samuelParticipante
primeiro para melhor controle e gerenciamento voce precisa desativar seu proxy tranparente e ativar o not transparente. apos feito isso no trafego de saida (outgoing traficc) voce tem que desabilitar o trafego das portas 80 e 443. define a porta que vc vai usar para o proxy. por padrao é a 8080 eu utilizo a 3128. feito isso se suas regras de contentfilter + acces police estiver funcionando perfeitamente. vai bloquear tudo que voce quer!!! e mostrando os logs corretamente, lembrando que para o usuario acessar a internet ele é obrigatorio configurar no browser o proxy. voce pode fazer via “GPO” se ele da uma de “espertinho” e tirar o proxy manualmente ele nao navega!
post duvidas
-
julho 25, 2011 às 3:27 pm #8576hernaneacParticipante
O endian não bloqueia https usando proxy tranparente só proxy normal.
Se for realmente necessário vai ter que mudar isso aí
-
julho 26, 2011 às 11:44 am #8577otonwallaceParticipante
samuel,
Vlw pela dica, mas ja tem outar configuraçoes, terei que remover?
hernaneacm,
Sim é necessario. estou tentando mudar isso, pq ainda nao descobriram isso aqui se nao era acesso no minimo ao Facebook.
-
julho 26, 2011 às 3:07 pm #8578samuelParticipante
suas configurações de contentfilter + access policy nao precisa mexer se tiver funcionando perfeitamente…utiliza o proxy not transparente, voce vai ver que é melhor em varios aspectos.. o unico probleminha é que se voce precisar liberar um determinado ip para full acesso voce nao utiliza mais o “Bypass transparent proxy” vc vai criar uma nova access polyce para esse ip autorizando o acesso, utilizando filter profile “none” ai ele nao pega configuração de nehum profile da contentfilter.
post duvidas
-
novembro 19, 2011 às 1:04 am #8579MLOPESParticipante
amigos, fiz tudo como o samuel falou, inclusive a GPO! porem continua acessando os sites https. apaguei a porta 433 na configuração de proxy e funcionou, porem niguem consegue acessar.
-
novembro 19, 2011 às 12:26 pm #8580mastergeekcdParticipante
Para funcionar o bloqueio https:
Primeiro: Proxy tem que ser “Não Transparente”
Segundo: Criar uma política na empresa de quais pessoas terão acesso e pra onde irá o acesso delas.
Terceiro: Criar uma regra no “Firewall” na parte de “Tráfego de Saída” bloqueando o acesso de “IPS QUE NÃO PODERÃO ACESSAR” para VERMELHO.
Aqui a regra é essa e todos conseguem acessar bancos e outras coisas https pelo proxy veja que pode-se se permitir nesse campo no Proxy
Allowed SSL Ports (from client)
Onde aqui vai as Portas que podem fazer conexão direta já que são SSL
Mas o mais importante MLOPES é criar a estrutura de forma que se saiba quem tem necessidade ou não de acesso. Isso é um primordial para que possa criar regras de acesso mais especifícas.
Só como exemplo:
Eu bloqueio todo trafego de saída de uma faixa de IPs para as portas 80 e 443 esses somente navegam nos sites permitidos pelo proxy (bloqueado alteração por GPO), assim todas as pessoas que necessitam de acesso a sites que não conseguem fazer uso do proxy estão em uma outra faixa de Ips (192.168.0.30 até 192.168.0.100 – regra do bloqueio) (192.168.0.101-200 – regra padrão que já vem no Firewall permitindo)
Agora vem a pergunta “Ah mas esses usuários que o Firewall não bloqueia acessam facebook?” Resposta NÃO
Porque?
Existe a seguinte ordem nas minhas regras de proxy:
Acesso negado | GREEN | .facebook.com |Não requerido Sempre QUALQUER
Ou seja acesso negado de qualquer para o domínio facebook.com
Agora lembro somente o Endian será eficaz se for usado em conjunto com uma estrutura de regras a qual se saiba quem pode e deve acessar ou não a qualquer lugar. Definida essas regras ai voce terá como criar regras que realmente funcionem.
-
novembro 19, 2011 às 3:03 pm #8581Jr. MenezesParticipante
Entrando no tópico…
Para quem usa Proxy Transparente, a única forma de fazer bloqueio de HTTPS é pelo Firewall, dropando a porta 443 para os IPs dos sites em questão.
Para o Facebook, usei essa dica: http://endian.eth0.com.br/topic/bloqueando-facebook-no-endian-fw
Existe quem a questione, mas desde a data da implantação até hoje, ninguém conseguiu acessar o FB nas redes que administro. Claro, com o crescimento (ainda maior) dessa Rede Social, é possível que sejam acrescidos mais servidores e mais endereços IP, mas por enquanto, é “uma mão na roda” para quem utiliza Proxy Transparente.
[]s
Jr. Menezes
Redes e Segurança de Sistemas
-
novembro 19, 2011 às 3:07 pm #8582ronaldodaviParticipante
Acesso negado | GREEN | .facebook.com |Não requerido Sempre QUALQUER
No caso nao seria | Vermelho | em vez de | GREEN |
Voce pode entrar no shel e dar o seguinte comendo
tail -f /var/log/squid/access.log
e monitorar os acessos ao facebook o 443 vai por facebook.net:443 adciona .facebook.net na regra de bloquei que nao passa nem nos sites que tem plugins!
-
novembro 19, 2011 às 7:28 pm #8583MLOPESParticipante
obrigado pelo feedback!conseguir bloquear de uma forma (não seia ainda se é ideal): Mesmo eu colocando o prox “não transparante” e usando a porta 3128 e tmb bloqueando o trafego de saida das portas 80 e 443 o https coniuava passando (crei que pela porta 3128). Alterei na configuração de prox do navegar a porta https 8080 e HTTP deixei a porta 3128, ele bloqueou. porem se o usuario conseguir altera a porta https do navegar para 443 ou 3128 vai liberar.
-
novembro 19, 2011 às 9:20 pm #8584Jr. MenezesParticipante
Caros,
Repetindo o que já havia falado em alguns outros posts. Para que se faz necessário o uso do “.” antes da URL? Nos docs do Endian FW nada se refere a isso. Muita gente (eu, inclusive!) já teve problemas com esse dot antes das urls.
Repetindo: Não se faz necessário o “.” antes das urls.
ERRADO: .facebook.net
CERTO: facebook.net
Colocando “facebook.net”, todas os subdomínios de facebook.net serão automaticamente bloqueados.
E ponto! (mais uma vez!)
Jr. Menezes
Redes e Segurança de Sistemas
-
novembro 23, 2011 às 12:10 am #8585Tácio AndradeParticipante
MLOPES, de forma mais simples eu consegui bloquear agora a pouco em ambiente de testes.
Coloquei o proxy como autenticado, fui no Firewall e desativei as regras de http e https e criei uma regra no controle de conteúdo (com o facebook.com) de forma que para navegar todos os usuários tivessem que autenticar e caso o seu computador estivesse em algum desses filtros o site não era carregado.
PS: Coloque a porta do proxy autenticado de todos os protocolos para 8080, assim todos passarão pelo Squid.
-
janeiro 8, 2012 às 10:33 pm #8586juniorx32gParticipante
Pessoal,
Se vocês não querem usar a solução de autenticar os usuários (como eu), no final desse post tem a dica: http://endian.eth0.com.br/topic/bloquear-aba-facebook-no-skype
Basta ligar o firewall de saída e bloquear o https para os IPs de destinos do facebook, twitter, etc… partindo da rede que você quer.
Para descobrir os IPs por domínio, utilizem a busca do http://bgp.he.net/.
Comigo está dando certo até agora. Segue meu log:
OUTGOINGFW:REJECT:2 TCP (br0) 10.1.1.3:49735 -> 199.59.149.230:443 (eth0)
Onde 199.59.149.230:443 é umd os Ips do twitter.
-
janeiro 9, 2012 às 10:12 am #8587Eduardo SilvaParticipante
Senhores,
Esta medida não deve funcionar muito bem, os ips do facebook, twitter e outros serviços podem mudar e o bloqueio acaba ficando inútil.
A forma correta de fazer a filtragem do protocolo HTTPS, é desativar o proxy transparente, bloquear a saida direta das portas 80 e 443, e configurar as estações para utilizarem Proxy.
Desta forma, o https pode ser filtrado sem maiores dificuldades utilizando o DNS
-
julho 3, 2012 às 5:06 pm #8588Bruna AbreuParticipante
Eu estou com o problema oposto…o HTTP esta bloqueando, mas HTTPS não passa nada, dá “Página não encontrada” e eu queria que alguns sites HTTPS passassem…como faço isso?
-
-
AutorPosts
- O tópico ‘Bloqueio HTTP ok e HTTPs nao’ está fechado para novas respostas.