Re: [FUG-BR] Res: bloquear https com squid
- Original Message - From: "Daniel Nerd" To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, December 18, 2008 9:13 AM Subject: [FUG-BR] Res: bloquear https com squid Pegando o gancho do assunto, Nunca filtrávamos o HTTPS por nunca ter necessidade de filtrar sites sérios. Todos os sites "maléficos" eu filtrava por palavra na URL (ex: msn, messenger, orkut, etc). Porém, o site: https://imo.im/ é um gateway em HTTPS para o MSN! Assim, o que antes estava fácil bloquear por URL e por portas no IPFW, agora se transformou num terror! (hehe). Na tentativa inicial de apenas redirecionar o tráfego da porta 443 para o squid, os sites de bancos pararam de funcionar, e os webmails pessoais da galera também. Alguma dica aí? Valeu Daniel - Daniel Vamos à prática /sbin/ipfw add 20 deny log ip from 64.13.152.67 to any in Dec 18 12:11:58 chroot kernel: ipfw: 20 Deny TCP 64.13.152.67:443 192.168.1.5:1083 in via tun0 Dec 18 12:12:00 chroot kernel: ipfw: 20 Deny TCP 64.13.152.67:443 192.168.1.5:1084 in via tun0 Dec 18 12:12:00 chroot kernel: ipfw: 20 Deny TCP 64.13.152.67:443 192.168.1.5:1085 in via tun0 Nem é tanto terror viu ? Coisa de 2 minutos e o problema está resolvido. Bingo :) Abraço --- Wesley Miranda FreeBSD Consult DTI - Departamento de Tecnologia da Informação Tel: (31) 2526 8616 (31) 9426 4404 www.freebsdconsult.com.br d...@freebsdconsult.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Res: bloquear https com squid
Em Thu, 18 Dec 2008 03:13:53 -0800 (PST) Daniel Nerd , conhecido consumidor de drogas (BigMac's com Coke) escreveu: > Na tentativa inicial de apenas redirecionar o tráfego da porta 443 > para o squid, os sites de bancos pararam de funcionar, e os webmails > pessoais da galera também. https NÃO FUNCIONA no squid transparente. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% SEM produtos Microsoft "Existem três tipos de pessoas: as que deixam acontecer, as que fazem acontecer e as que perguntam o que aconteceu." (John Richardson Jr) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Res: bloquear https com squid
Pegando o gancho do assunto, Nunca filtrávamos o HTTPS por nunca ter necessidade de filtrar sites sérios. Todos os sites "maléficos" eu filtrava por palavra na URL (ex: msn, messenger, orkut, etc). Porém, o site: https://imo.im/ é um gateway em HTTPS para o MSN! Assim, o que antes estava fácil bloquear por URL e por portas no IPFW, agora se transformou num terror! (hehe). Na tentativa inicial de apenas redirecionar o tráfego da porta 443 para o squid, os sites de bancos pararam de funcionar, e os webmails pessoais da galera também. Alguma dica aí? Valeu Daniel - Mensagem original De: Renato Frederick Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Enviadas: Terça-feira, 16 de Dezembro de 2008 14:34:00 Assunto: [FUG-BR] RES: RES: bloquear https com squid Você pode bloquear o acesso direto á porta 443 no seu firewall e obrigar a todos usarem o squid manualmente no navegador para HTTPS, seja via Police(se for uma rede com AD) ou via script de configuração automática. Conforme já foi dito, o Proxy transparente não aceita HTTPS porque isto seria um ataque 'man in the middle', no caso o squid interferindo na conexão HTTPS, autenticada e autorizada fim a fim. Na verdade o rdr por si só não aceita nem http, você tem que ir no squid e falar que ele está rodando como transparente(HTTP port 3128 transparent), para aí sim funcionar 100%. E tomar cuidado com programas que não tratam isto corretamente, como os famosos aplicativos da Caixa econômica(conectividade social e outros). > -Mensagem original- > De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em > nome de Renato Botelho > Enviada em: terça-feira, 16 de dezembro de 2008 14:23 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] RES: bloquear https com squid > > 2008/12/16 Ricardo Augusto de Souza : > > Renato, > > > > eu utilizo proxy transparant sim e o https funciona na boa. > > Porem eu nao redireciono a porta 443. > > > > Veja as regras: > > > > # squid trasparente > > no rdr on $int_if inet proto tcp from $sem_proxy to any port 80 > > rdr pass on $int_if inet proto tcp from $lan to any port 80 -> > $int_if port 128 > > > > Entao é isso: se utilizar transparent nao consigo bloquear sites > https? > > Exato, pode fazer o teste, o transparente não consegue bloquear > https, é impossível por conta da implementação. > > -- > Renato Botelho > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Veja quais são os assuntos do momento no Yahoo! +Buscados http://br.maisbuscados.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: bloquear https com squid
2008/12/16 Ricardo Augusto de Souza : > Renato, > > eu utilizo proxy transparant sim e o https funciona na boa. > Porem eu nao redireciono a porta 443. > > Veja as regras: > > # squid trasparente > no rdr on $int_if inet proto tcp from $sem_proxy to any port 80 > rdr pass on $int_if inet proto tcp from $lan to any port 80 -> $int_if port > 128 > > Entao é isso: se utilizar transparent nao consigo bloquear sites https? Exato, pode fazer o teste, o transparente não consegue bloquear https, é impossível por conta da implementação. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: bloquear https com squid
Renato, eu utilizo proxy transparant sim e o https funciona na boa. Porem eu nao redireciono a porta 443. Veja as regras: # squid trasparente no rdr on $int_if inet proto tcp from $sem_proxy to any port 80 rdr pass on $int_if inet proto tcp from $lan to any port 80 -> $int_if port 128 Entao é isso: se utilizar transparent nao consigo bloquear sites https? -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Leandro Keffer Enviada em: terça-feira, 16 de dezembro de 2008 12:26 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] bloquear https com squid Axo que o erro pode estar no firewall, vc esta direcionando a porta 443 ? Pois tanto no autenticado como no transparente o bloqueio funciona 2008/12/16 Renato Botelho > On Tue, Dec 16, 2008 at 12:49 PM, Ricardo Augusto de Souza > wrote: > > Ola, > > eu utilizo a forma abaixo para bloquear alguns domínios: > > > > acl bad_sites dstdomain "/etc/squid/bad_sites.txt" > > > > http_access deny bad_sites > > > > > > Porém os usuarios conseguem acessar os sites via https. > > > > Como vcs bloqueiam sites ( http e https ) ? > > O que deve estar acontecendo é que você usa proxy transparente, > correto? > > Se for isso, não existe maneira pra bloquear https, agora se você usa > autenticado, então com essas regras ele deveria bloquear os dois. > > -- > Renato Botelho > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd