Bloqueio de https e proxy

mciacco
(usa Debian)

Enviado em 27/03/2012 - 10:25h

Pessoal, me deem um help aqui.

Montei um servidor Debian com iptables, squid 3 e samba como pdc...

o squid estava rodando transparente com apenas uma lista de sites permitidos, no caso o restante todos bloqueados. Porém os usuários começaram a acessar facebook utilizando https. Fiz então um bloqueio no iptables através de string. Por ora deu certo, mas percebi que ainda continuam utilizando, pelo que percebi, estão utilizando algum programa para alteração de proxy. Minha dúvida é... Como barrar isso? Se eu passar o squid para autenticado ao invés de transparente, eles conseguem parar de acessar outro proxy com programas ou não?

saitam
(usa Slackware)

Enviado em 27/03/2012 - 11:59h

1. coloque o proxy autenticado no squid
2. cria regras iptables tudo DROP, liberando apenas o serviços necessários, e jamais libere as portas 80 e 443 no FORWARD, forçando assim todo tráfego passar pelo proxy, e se tentar retirar as configurações no navegador, deixa de navegar, obrigando assim o uso do proxy.

Se for feito o item 2 conforme descrito o Ultrasurf deixa de funcionar...

Mas o TOR ainda conecta, mas tem um "meio"
[3]
echo "0" > /proc/sys/net/ipv4/ip_forward

Desabilitando o ip_forward o TOR não conecta mais...

Howto proxy autenticado no Squid - http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

riesdra
(usa Debian)

Enviado em 27/03/2012 - 14:51h

Marcelo,

caso queira fazer um teste em modo transparente instale o squidGuard, e faça o bloqueio por ele.

mciacco
(usa Debian)

Enviado em 27/03/2012 - 15:09h

Ele faz bloqueio e liberação da mesma forma que o squid? Ele faz tratamento SSL?

riesdra
(usa Debian)

Enviado em 27/03/2012 - 16:50h

ele trabalha com listas, ai vai verificar se consta o domínio na lista ou não para fazer o bloqueio do site.

leandrobrunoo
(usa Ubuntu)

Enviado em 29/03/2012 - 03:55h

Bloqueia por nomes.

http://www.vivaolinux.com.br/artigo/A-verdade-sobre-as-ACLs-do-Squid

rafa.lima.rr
(usa Ubuntu)

Enviado em 29/03/2012 - 08:06h

O mais simples a ser feito e o drop com o iptables da porta 443.
mas alguns sites que possam ser liberados como de banco não irão funcionar também.

O SquidGuard é uma ferramenta que se liga ao squid que consulta uma lista de sites(2 milhões de sites por lista) divididos por categoria. sexo, drogas, violência entre outros e também bloqueia por nome. Também existe DansGuard que bloqueia com lista mas também tem leitura do site onde é feita validações de conteúdo de acordo com parâmetros definidos na configuração.


Lembrando que bloqueios 100% não existem!

rafa.lima.rr
(usa Ubuntu)

Enviado em 29/03/2012 - 08:15h

Acredito que, dependendo da configuração, se o IP_FORWARD for setado para '0' o trafego não ira passar de uma porta para outra e o proxy deixará de funcionar.

Só lembrando, sempre ira existir uma forma!

saitam
(usa Slackware)

Enviado em 29/03/2012 - 08:25h

Testei com ip_forward para '0' forçando navegar pelo proxy, ou seja, se retirar as configurações do navegador deixa de navegar, obrigando assim usar o proxy. Esta funcionando...

Assim testei com o TOR e nem conectou (timeout)...
Ultrasurf mesma coisa...
Jamais liberar porta 80 e 443 no FORWARD, forçando assim todo tráfego passar pelo proxy.

zynn
(usa Ubuntu)

Enviado em 29/03/2012 - 08:50h

iptables -t filter -I INPUT -p tcp --dport 443 -j DROP
$iptables -t filter -I FORWARD -p tcp --dport 443 -j DROP
$iptables -t filter -I OUTPUT -p tcp --dport 443 -j DROP

Q as regras irão pro começo da linha.

iptables -i FORWARD -p TCP --dport 443 -j DROP

Só faz isso

mciacco
(usa Debian)

Enviado em 29/03/2012 - 09:28h

Mas fazendo isso eu não perco acesso aos bancos?

saitam
(usa Slackware)

Enviado em 29/03/2012 - 09:31h

Não, libere apenas portas 80 e 443 no OUTPUT e o tráfego força utilizar o proxy...