Bloqueando acesso HTTPS ao Facebook

bladeblaze
(usa CentOS)

Enviado em 06/10/2011 - 08:44h

Pessoal, bom dia.

Estou com um problema serio de segurança.

Tenho um firewall/proxy com Squid 2.6 e Iptables bloqueando todas as redes sociais, porem os usuários estão conseguindo acessar o facebook pela porta 443 (porta que não posso bloquear por causa dos bancos.).

Como resolver?

Ja coloquei o facebook em URL_REGEX, DSTDOM_REGEX, ja coloquei regra de DROP no INPUT da placa local, DROP no FORWARD da placa local e NADA.

alguém pode me dar uma luz?

Obrigado.

SMarcell
(usa Slackware)

Enviado em 06/10/2011 - 09:13h

Tenta via método "connect" no squid.

$ cat https_negados
.facebook.com
.orkut.com
.plus.google.com


acl CONNECT method CONNECT
acl HTTPS_NEGADO dstdomain "/path/https_negados"
http_access deny CONNECT HTTPS_NEGADO
http_access deny HTTPS_NEGADO

volcom
(usa Debian)

Enviado em 06/10/2011 - 09:37h

Muito bom!

Não conhecia e vou testar essa solução!

Nos avise se der certo por favor ;)

bladeblaze
(usa CentOS)

Enviado em 06/10/2011 - 09:54h

Nada!

Coloquei isso no script do SQUID e não funciona.

Lembrando que eu uso proxy transparente OK?

SMarcell
(usa Slackware)

Enviado em 06/10/2011 - 09:59h

Proxy transparente + bloqueios HTTPS pode esquecer que não rola!

bladeblaze
(usa CentOS)

Enviado em 06/10/2011 - 10:04h

Isso vai ser um problema.

Vou ter que colocar direto e ir de maquina por maquina configurando todos os navegadores pra usar o proxy? Isso fica mais fácil ainda de burlar! :S

volcom
(usa Debian)

Enviado em 06/10/2011 - 10:11h

Na minha cabeça o correto seria "avisar" os funcionários que existe o bloqueio e se o acesso for feito "burlando" o bloqueio as medicas cabíveis e necessárias serão tomadas (promoção para o mercado, por exemplo).

Se os diretores/gerentes da empresa estiverem de acordo, uma solução (um pouco mais trabalhosa) seria instalar um Sarg e monitorar os acessos, gerar relatórios e informar os responsáveis.

Não consigo entender a dificuldade das pessoas em saber dividir ambiente de trabalho e os acessos pertinentes dos sites que não tem nada a ver com acesso aos sites que não trazem produtividade para o negócio...mas, essa é outra questão heheheh

Abraço!

bladeblaze
(usa CentOS)

Enviado em 06/10/2011 - 10:26h

Concordo 100% com você, inclusive já tenho até um SARG monitorando os acessos.

E penso da mesma forma os funcionários estão BURLANDO o sistema, explorando a falha dele em beneficio próprio.

Passível de promoção para o mercado.

Bom, o jeito é passar os acessos aos diretores.

Obrigado.

thi
(usa Ubuntu)

Enviado em 06/10/2011 - 19:08h

Claro q rola caro amigo, infelizmente ainda não consegui uma regra de iptables que faça isso.....

Só não faz pelo squid, mas por iptables sim. Só não achei essa desgraça de regra....

chat do gmail, imo são exemplos de sites https e eu consegui bloquear via iptables... e o meu proxy tb é transparent

não é possível que não exista uma regra de iptables que bloqueie facebook.... inacreditável.

volcom
(usa Debian)

Enviado em 07/10/2011 - 08:16h

Só não se esqueça de passar essa regra pra todos nós por favor :D

fs.schmidt
(usa CentOS)

Enviado em 07/10/2011 - 09:21h

Olá pessoal !

Essa configuração parece ser bem interessante: http://www.stato.blog.br/wordpress/?p=446&cpage=3

Bom, existe vida além do proxy transparente.rsrs É possível utilizar WPAD, políticas se estiver utilizando serviço de diretório,etc....Também é possível utilizar proxy transparente para https, o squid possui essa função, mas é necessário habilitar no momento da compilação e utilizar um certificado válido no servidor, senão os sites acessados bloqueiam a conexão.

thi
(usa Ubuntu)

Enviado em 07/10/2011 - 15:34h

Caro amigo,

Desisti do transparent. Tive o trabalho de configurar nos computadores, mas tb agora é só alegria.....

n vou ficar me matando procurando solução q n acho. Te recomendo tb largar o transparent, sem contar q tb é mais seguro.

Abs.