Bloqueando acesso HTTPS ao Facebook [Squid/Iptables]

1. Bloqueando acesso HTTPS ao Facebook

Enviado em 06/10/2011 - 08:44h

Pessoal, bom dia.

Estou com um problema serio de segurança.

Tenho um firewall/proxy com Squid 2.6 e Iptables bloqueando todas as redes sociais, porem os usuários estão conseguindo acessar o facebook pela porta 443 (porta que não posso bloquear por causa dos bancos.).

Como resolver?

Ja coloquei o facebook em URL_REGEX, DSTDOM_REGEX, ja coloquei regra de DROP no INPUT da placa local, DROP no FORWARD da placa local e NADA.

alguém pode me dar uma luz?

Obrigado.

2. Re: Bloqueando acesso HTTPS ao Facebook

Enviado em 06/10/2011 - 09:13h

Tenta via método "connect" no squid.

$ cat https_negados
.facebook.com
.orkut.com
.plus.google.com

acl CONNECT method CONNECT
acl HTTPS_NEGADO dstdomain "/path/https_negados"
http_access deny CONNECT HTTPS_NEGADO
http_access deny HTTPS_NEGADO

3. Re: Bloqueando acesso HTTPS ao Facebook

Enviado em 06/10/2011 - 09:37h

SMarcell escreveu:

Tenta via método "connect" no squid.

$ cat https_negados
.facebook.com
.orkut.com
.plus.google.com

acl CONNECT method CONNECT
acl HTTPS_NEGADO dstdomain "/path/https_negados"
http_access deny CONNECT HTTPS_NEGADO
http_access deny HTTPS_NEGADO

Muito bom!

Não conhecia e vou testar essa solução!

Nos avise se der certo por favor ;)

4. Re: Bloqueando acesso HTTPS ao Facebook

Enviado em 06/10/2011 - 09:54h

SMarcell escreveu:

Tenta via método "connect" no squid.

$ cat https_negados
.facebook.com
.orkut.com
.plus.google.com

acl CONNECT method CONNECT
acl HTTPS_NEGADO dstdomain "/path/https_negados"
http_access deny CONNECT HTTPS_NEGADO
http_access deny HTTPS_NEGADO

Nada!

Coloquei isso no script do SQUID e não funciona.

Lembrando que eu uso proxy transparente OK?

5. Re: Bloqueando acesso HTTPS ao Facebook

Enviado em 06/10/2011 - 09:59h

Proxy transparente + bloqueios HTTPS pode esquecer que não rola!

6. Re: Bloqueando acesso HTTPS ao Facebook

Enviado em 06/10/2011 - 10:04h

Isso vai ser um problema.

Vou ter que colocar direto e ir de maquina por maquina configurando todos os navegadores pra usar o proxy? Isso fica mais fácil ainda de burlar! :S

7. Re: Bloqueando acesso HTTPS ao Facebook

Enviado em 06/10/2011 - 10:11h

Na minha cabeça o correto seria "avisar" os funcionários que existe o bloqueio e se o acesso for feito "burlando" o bloqueio as medicas cabíveis e necessárias serão tomadas (promoção para o mercado, por exemplo).

Se os diretores/gerentes da empresa estiverem de acordo, uma solução (um pouco mais trabalhosa) seria instalar um Sarg e monitorar os acessos, gerar relatórios e informar os responsáveis.

Não consigo entender a dificuldade das pessoas em saber dividir ambiente de trabalho e os acessos pertinentes dos sites que não tem nada a ver com acesso aos sites que não trazem produtividade para o negócio...mas, essa é outra questão heheheh

Abraço!

8. Re: Bloqueando acesso HTTPS ao Facebook

Enviado em 06/10/2011 - 10:26h

volcom escreveu:

Na minha cabeça o correto seria "avisar" os funcionários que existe o bloqueio e se o acesso for feito "burlando" o bloqueio as medicas cabíveis e necessárias serão tomadas (promoção para o mercado, por exemplo).

Se os diretores/gerentes da empresa estiverem de acordo, uma solução (um pouco mais trabalhosa) seria instalar um Sarg e monitorar os acessos, gerar relatórios e informar os responsáveis.

Não consigo entender a dificuldade das pessoas em saber dividir ambiente de trabalho e os acessos pertinentes dos sites que não tem nada a ver com acesso aos sites que não trazem produtividade para o negócio...mas, essa é outra questão heheheh

Abraço!

Concordo 100% com você, inclusive já tenho até um SARG monitorando os acessos.

E penso da mesma forma os funcionários estão BURLANDO o sistema, explorando a falha dele em beneficio próprio.

Passível de promoção para o mercado.

Bom, o jeito é passar os acessos aos diretores.

Obrigado.

9. Re: Bloqueando acesso HTTPS ao Facebook

Enviado em 06/10/2011 - 19:08h

SMarcell escreveu:

Proxy transparente + bloqueios HTTPS pode esquecer que não rola!

Claro q rola caro amigo, infelizmente ainda não consegui uma regra de iptables que faça isso.....

Só não faz pelo squid, mas por iptables sim. Só não achei essa desgraça de regra....

chat do gmail, imo são exemplos de sites https e eu consegui bloquear via iptables... e o meu proxy tb é transparent

não é possível que não exista uma regra de iptables que bloqueie facebook.... inacreditável.

10. Re: Bloqueando acesso HTTPS ao Facebook

Enviado em 07/10/2011 - 08:16h

thi escreveu:

SMarcell escreveu:

Proxy transparente + bloqueios HTTPS pode esquecer que não rola!

Claro q rola caro amigo, infelizmente ainda não consegui uma regra de iptables que faça isso.....

Só não faz pelo squid, mas por iptables sim. Só não achei essa desgraça de regra....

chat do gmail, imo são exemplos de sites https e eu consegui bloquear via iptables... e o meu proxy tb é transparent

não é possível que não exista uma regra de iptables que bloqueie facebook.... inacreditável.

Só não se esqueça de passar essa regra pra todos nós por favor :D

11. Re: Bloqueando acesso HTTPS ao Facebook

Enviado em 07/10/2011 - 09:21h

Olá pessoal !

Essa configuração parece ser bem interessante: http://www.stato.blog.br/wordpress/?p=446&cpage=3

Bom, existe vida além do proxy transparente.rsrs É possível utilizar WPAD, políticas se estiver utilizando serviço de diretório,etc....Também é possível utilizar proxy transparente para https, o squid possui essa função, mas é necessário habilitar no momento da compilação e utilizar um certificado válido no servidor, senão os sites acessados bloqueiam a conexão.

12. Re: Bloqueando acesso HTTPS ao Facebook

Enviado em 07/10/2011 - 15:34h

Caro amigo,

Desisti do transparent. Tive o trabalho de configurar nos computadores, mas tb agora é só alegria.....

n vou ficar me matando procurando solução q n acho. Te recomendo tb largar o transparent, sem contar q tb é mais seguro.

Abs.

Bloqueando acesso HTTPS ao Facebook

Responder tópico