- Este tópico contém 21 respostas, 14 vozes e foi atualizado pela última vez 11 anos, 10 meses atrás por
.
-
Posts
-
-
Ola, Sou inicinate no Forum e no EFW, de cara Exelente programa.
estou com um probleminha na minha rede.
minha rede e, um pc com 2 placa de rede (entrada e saida)configurada para bloquear tudo, e apenas liberar alguns pc’s com MAC, e o demias pro proxy.
no Proxy/Filtro de conteudo/proxy transparete possui uma lista dos site permitidos, essa semana percebi que sites HTTP ele Boqueio perfeitamente mas os HTTPS passa normal,
Tipo http://facebook.com ele Bloqueia ja https://facebook.com passa normal e o log nao captura. recebi o endiam ja configurado,
gostaria de saber com resolvo isso. e existe algum arquivo sobre o endim em br( tenho em ING, mas é de outra versao)
desdeja Agradecido.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
Estou com o mesmo problema .. pelo o que eu ja pesquisei é pq os pacotes do https vem criptografados entao o proxy nao tem como filtrar. Ja ouvi falar que tinha que fechar a porta 433 .. mas isso é mt radical .. pq sites precisam de https, principalmente os bancarios .. tem essa opçao aqui, mas ainda nao testei.
iptables -t filter -A OUTPUT -p tcp –dport 443 -d facebook.com -j DROP
se alguem mais puder ajudar!
-
-
-
-
-
-
-
primeiro para melhor controle e gerenciamento voce precisa desativar seu proxy tranparente e ativar o not transparente. apos feito isso no trafego de saida (outgoing traficc) voce tem que desabilitar o trafego das portas 80 e 443. define a porta que vc vai usar para o proxy. por padrao é a 8080 eu utilizo a 3128. feito isso se suas regras de contentfilter + acces police estiver funcionando perfeitamente. vai bloquear tudo que voce quer!!! e mostrando os logs corretamente, lembrando que para o usuario acessar a internet ele é obrigatorio configurar no browser o proxy. voce pode fazer via “GPO” se ele da uma de “espertinho” e tirar o proxy manualmente ele nao navega!
post duvidas
-
-
-
suas configurações de contentfilter + access policy nao precisa mexer se tiver funcionando perfeitamente…utiliza o proxy not transparente, voce vai ver que é melhor em varios aspectos.. o unico probleminha é que se voce precisar liberar um determinado ip para full acesso voce nao utiliza mais o “Bypass transparent proxy” vc vai criar uma nova access polyce para esse ip autorizando o acesso, utilizando filter profile “none” ai ele nao pega configuração de nehum profile da contentfilter.
post duvidas
-
-
Para funcionar o bloqueio https:
Primeiro: Proxy tem que ser “Não Transparente”
Segundo: Criar uma política na empresa de quais pessoas terão acesso e pra onde irá o acesso delas.
Terceiro: Criar uma regra no “Firewall” na parte de “Tráfego de Saída” bloqueando o acesso de “IPS QUE NÃO PODERÃO ACESSAR” para VERMELHO.
Aqui a regra é essa e todos conseguem acessar bancos e outras coisas https pelo proxy veja que pode-se se permitir nesse campo no Proxy
Allowed SSL Ports (from client)
Onde aqui vai as Portas que podem fazer conexão direta já que são SSL
Mas o mais importante MLOPES é criar a estrutura de forma que se saiba quem tem necessidade ou não de acesso. Isso é um primordial para que possa criar regras de acesso mais especifícas.
Só como exemplo:
Eu bloqueio todo trafego de saída de uma faixa de IPs para as portas 80 e 443 esses somente navegam nos sites permitidos pelo proxy (bloqueado alteração por GPO), assim todas as pessoas que necessitam de acesso a sites que não conseguem fazer uso do proxy estão em uma outra faixa de Ips (192.168.0.30 até 192.168.0.100 – regra do bloqueio) (192.168.0.101-200 – regra padrão que já vem no Firewall permitindo)
Agora vem a pergunta “Ah mas esses usuários que o Firewall não bloqueia acessam facebook?” Resposta NÃO
Porque?
Existe a seguinte ordem nas minhas regras de proxy:
Acesso negado | GREEN | .facebook.com |Não requerido Sempre QUALQUER
Ou seja acesso negado de qualquer para o domínio facebook.com
Agora lembro somente o Endian será eficaz se for usado em conjunto com uma estrutura de regras a qual se saiba quem pode e deve acessar ou não a qualquer lugar. Definida essas regras ai voce terá como criar regras que realmente funcionem.
-
Entrando no tópico…
Para quem usa Proxy Transparente, a única forma de fazer bloqueio de HTTPS é pelo Firewall, dropando a porta 443 para os IPs dos sites em questão.
Para o Facebook, usei essa dica: http://endian.eth0.com.br/topic/bloqueando-facebook-no-endian-fw
Existe quem a questione, mas desde a data da implantação até hoje, ninguém conseguiu acessar o FB nas redes que administro. Claro, com o crescimento (ainda maior) dessa Rede Social, é possível que sejam acrescidos mais servidores e mais endereços IP, mas por enquanto, é “uma mão na roda” para quem utiliza Proxy Transparente.
[]s
Jr. Menezes
Redes e Segurança de Sistemas
-
Acesso negado | GREEN | .facebook.com |Não requerido Sempre QUALQUER
No caso nao seria | Vermelho | em vez de | GREEN |
Voce pode entrar no shel e dar o seguinte comendo
tail -f /var/log/squid/access.log
e monitorar os acessos ao facebook o 443 vai por facebook.net:443 adciona .facebook.net na regra de bloquei que nao passa nem nos sites que tem plugins!
-
obrigado pelo feedback!conseguir bloquear de uma forma (não seia ainda se é ideal): Mesmo eu colocando o prox “não transparante” e usando a porta 3128 e tmb bloqueando o trafego de saida das portas 80 e 443 o https coniuava passando (crei que pela porta 3128). Alterei na configuração de prox do navegar a porta https 8080 e HTTP deixei a porta 3128, ele bloqueou. porem se o usuario conseguir altera a porta https do navegar para 443 ou 3128 vai liberar.
-
Caros,
Repetindo o que já havia falado em alguns outros posts. Para que se faz necessário o uso do “.” antes da URL? Nos docs do Endian FW nada se refere a isso. Muita gente (eu, inclusive!) já teve problemas com esse dot antes das urls.
Repetindo: Não se faz necessário o “.” antes das urls.
ERRADO: .facebook.net
CERTO: facebook.net
Colocando “facebook.net”, todas os subdomínios de facebook.net serão automaticamente bloqueados.
E ponto! (mais uma vez!)
Jr. Menezes
Redes e Segurança de Sistemas
-
MLOPES, de forma mais simples eu consegui bloquear agora a pouco em ambiente de testes.
Coloquei o proxy como autenticado, fui no Firewall e desativei as regras de http e https e criei uma regra no controle de conteúdo (com o facebook.com) de forma que para navegar todos os usuários tivessem que autenticar e caso o seu computador estivesse em algum desses filtros o site não era carregado.
PS: Coloque a porta do proxy autenticado de todos os protocolos para 8080, assim todos passarão pelo Squid.
-
Pessoal,
Se vocês não querem usar a solução de autenticar os usuários (como eu), no final desse post tem a dica: http://endian.eth0.com.br/topic/bloquear-aba-facebook-no-skype
Basta ligar o firewall de saída e bloquear o https para os IPs de destinos do facebook, twitter, etc… partindo da rede que você quer.
Para descobrir os IPs por domínio, utilizem a busca do http://bgp.he.net/.
Comigo está dando certo até agora. Segue meu log:
OUTGOINGFW:REJECT:2 TCP (br0) 10.1.1.3:49735 -> 199.59.149.230:443 (eth0)
Onde 199.59.149.230:443 é umd os Ips do twitter.
-
Senhores,
Esta medida não deve funcionar muito bem, os ips do facebook, twitter e outros serviços podem mudar e o bloqueio acaba ficando inútil.
A forma correta de fazer a filtragem do protocolo HTTPS, é desativar o proxy transparente, bloquear a saida direta das portas 80 e 443, e configurar as estações para utilizarem Proxy.
Desta forma, o https pode ser filtrado sem maiores dificuldades utilizando o DNS
-
-
- O tópico ‘Bloqueio HTTP ok e HTTPs nao’ está fechado para novas respostas.