Bloqueando ORKUT

Começaremos pelo bloqueio do ORKUT, inimigo número 1 (juntamente com o MSN) dos administradores de rede. Usando as regras do iptables, ficará assim:


Será preciso adicionar os dois, pois às vezes o orkut conecta-se como orkut.com ou www.orkut.com, por medida de precaução, bloqueie os 2.

Passo a passo:

• iptables -A FORWARD (Adiciona a regra na tabela FORWARD);
• -d www.orkut.com -s 192.168.0.0/24 (Bloqueia o acesso de www.orkut.com a rede inteira);
• -p tcp --dport 80 (Protocolo usado TCP para a porta 80);
• -j DROP (Anular o pedido);
• 192.168.0.0/24 (será substituído pela sua faixa de IP, caso seja a mesma não precisa alterar).

Bloqueio de MSN

O bloqueio do MSN será feito da seguinte forma, usando as regras do iptables, ficará assim:

Particularmente fiz bloqueio de toda e qualquer possibilidade de conexão do MSN, mas consegui apenas bloqueando o gateway e a porta de conexão.


Fazendo isso você terá total bloqueio do MSN, apenas usando o IPTABLES.

Bloqueio de acesso a TROJAN

As regras abaixo bloqueiam acesso as portas que os TROJANS usam para conexão em rede.

As tabelas serão adicionadas às regras nas tabelas INPUT e FORWARD.

Bloqueio a acessos P2P

Evite também o excesso de tráfego desnecessário na sua rede, com programas p2p.

[1] Comentário enviado por denirow em 21/03/2008 - 12:16h:

Muito bom ... vou testar :)

[2] Comentário enviado por Lotus666 em 21/03/2008 - 12:21h:

melhor nao bloquear a porta 443 pq ae vc tb vai estar bloqueando o protocolo https, e sites que o usem nao irão abrir.

[3] Comentário enviado por powerd0wn em 21/03/2008 - 14:47h:

Falae rommelhc, blz?

Cara, não querendo te desanimar, mas...
... essas dicas suas ae não funcionam não, viu? =P

Pesquise sobre: proxies públicos, http-tunneling, icmp-tunneling, dns-tunneling etc... Tem muita coisa pra se burlar esses controles simples.

E outra... os "p2p" fazem coisas que você não imagina pra burlar esses controles.

Pesquise mais sobre iptables, e tente desenvolver políticas restritivas, como negar tudo e autorizar somente o necessário, procurando especificar portas, origens e destino explicitamente.

Atenciosamente,

Rodrigo Martins

[4] Comentário enviado por elgio em 21/03/2008 - 16:06h:

Concordo com Rodrigo.

São medidas, como diria, infantis.
Facilmente burláveis.

Tu só consegue controlar MELHOR com o uso de proxy e iptables.

E ainda tem que ficar brincando de caçar novos proxies todo o dia que os caras descobrem. Minha lista já tá CHEINHA de proxies e mais proxies...

Meu sistema completo inclui:
a) squid para bloquear por ACL

b) analise de logs para contabilizar os sites TOP+ visitados, descartando os conhecidos (pq um proxy NOVO recem descoberto tem muita chance de figurar nos TOP+ do dia :-D)

c) Uma acl PROIBINDO acesso por http://NUMERO-IP (90% dos proxies nao tem DNS)

d) iptables para bloquear HTTPS proxies

e) cruzamento de logs de resolucao de nomes com acesso porta 443. Exemplo: ontem mesmo peguei um IP estranho no HTTPS, que nao conhecia. Consultando mues logs de DNS vi que este IP fora uma resposta para a consulta do proxy MEEBO. Bingo. Mais um IP que eu nao conhecia e que passou a ser bloqueado.

Isto tem funcionado, mas requer ficar SEMPRE ALERTA.

Ah, e quanto a p2p, ai é complicado mesmo. Tem o layer7 do iptables que dá uma BELA ajuda (descrito em um artigo mais abaixo deste)

[5] Comentário enviado por fabiobarby em 22/03/2008 - 13:41h:

Também acho que não resolve nem 10% do problema...

Aproveite as dicas da galera ae acima, e pesquisa também sobre blacklists, de como usar elas, como desenvolver, etc...

Ae você verá que somente bloquear "www.orkut.com" não resolve...

Mas sua intenção é bem vinda!

Parabéns...

[6] Comentário enviado por Thiago Madella em 22/03/2008 - 16:19h:

Valeu pela dica,,,sua intenção é valida.
Parabéns.

[7] Comentário enviado por sdrconsulting em 22/03/2008 - 16:20h:

Amigão,

Sem querer ser chato, mais o seu "Artigo" não tem o formato de um Artigo, está mais para uma DICA. As regras que você colocou ai não funcionam corretamente. Aproveite as dicas da galera e reescreva seu artigo com as melhorias propostas.

Se quiser bater um papo, estou a disposição: msn: sylvio@sdrconsulting.com.br

Abs.

[8] Comentário enviado por leoberbert em 22/03/2008 - 20:04h:

O Ruim de bloquear a porta 443 é apenas a rede não conseguir abrir paginas de banco heheheh.

[9] Comentário enviado por joseslei em 22/03/2008 - 21:18h:

?comentario=
Otimo tutorial. valew

[10] Comentário enviado por exercitobr em 24/03/2008 - 10:51h:

Parabéns, excelente pesquisa e estudo. Os detalhes levantados pelos companheiros são válidos. Parabéns pelo estudo.

[11] Comentário enviado por fideljunior em 25/03/2008 - 15:08h:

Ola! Sou usuario iniciante do Linux, estou aprendendo na distribuição Red Hat 9 server. Testei esses scripts postados aqui e funcionaram perfeitamente. (Usei o bloqueio de paginas, que nesse artigo esta como exemplo o orkut)
Tudo funcionou muito bem... Nao sei se é recomendavel que eu diga mas quando for usar esses comandos tem que digita antes /sbin
ex: /sebin/iptables -A FORWARD -d orkut.com -s 192.168.0.0/24 -p tcp --dport 80 -j DROP
Somente dessa maneira eles vao funcionar!
Valeu!

[12] Comentário enviado por fideljunior em 25/03/2008 - 15:10h:

ops! escrevi errado...
/sbin/iptables -A FORWARD -d orkut.com -s 192.168.0.0/24 -p tcp --dport 80 -j DROP

[13] Comentário enviado por macvitor em 25/03/2008 - 17:21h:

elgio,
posta ai sua lista de open proxies pra ajudar a galera.
flw!!!

[14] Comentário enviado por elgio em 25/03/2008 - 17:43h:

hehehehe.

Eu uso por RegEx porque algumas palavras pegam N urls só elas.
E por RegEx pego até pesquisa do google!

O cara pesquisa no google "Como burlar orkut" e cai no bloqueio! hehehehehe

[15] Comentário enviado por glaucio_klipel em 26/03/2008 - 12:39h:

hehehe pra mim funcionou bloqueando por strings e também bloqueando TODO O TRÁFEGO e liberando soh o necessario, como foi dito antes.

realmente, bloquear p2p e msn eh um caso meio serio, nao eh tao simples, mas as suas regras claramente podem ajudar sim!

abraçao!

[16] Comentário enviado por renatogrosz em 11/12/2008 - 12:50h:

Eu configurei minha rede da seguinte forma (squid + iptables):

Em primeiro lugar:
Bloquei todo forward (ninguem transpassa o firewal)

Depois, liberei forward ao computador do dono da empresa.

Liberei o forward (a todas as máquinas da rede) aos "enderecos confiaveis" (itau, safra, certificados digitais, atualizações gerais)

o AVG tava dando trabalho, então verifiquei que o mesmo permite cadastrar proxy nas configurações dele.
Criei uma conta no squid, (é bom não usuar a sua).

O sistema office Bank do safra usa as configurações do internet explorer, então fiz um atalho na area de trabalho do usuario para ele utilizar quando quer navegar e quando quer usar o banco, o que ele faz é acionar um arquivo com extensão .reg que muda as configurações do internet explorer, depois chama ou o IE ou o sistema do banco dependendo do caso. Se usuario é menos cri-cri, dá para utilizar o Mozzila com o proxy configurado e deichar o IE quieto e escondido. Para o acesso ao e-mail eu permito o forward na porta.

Assim que eu tenho resolvido algumas situações.

O Skype está passando, eu ainda nao descobri porque.

A proposito: sobre colocar ou não o caminho completo para acionar o iptables (ou qualquer outro) dentro do script
É interessante porque se alguem tiver acesso ao seu unix (que provavelmente tem ssh aberto) ele pode chamar um iptables qualquer, inclusive no diretorio corrente, que talvez o atacante ja tenha acesso.

[17] Comentário enviado por rbn24 em 28/01/2009 - 20:58h:

Bom kara gostei muito mas stou com um problema como faço para bloquear o Skype pois eu uso o IPCOP, pois para o MSN é so bloquear a porta mas o skype sai de qualquer forma, e gostaria de saber como faço para bloquea-lo, alguer ajuda serve.