Burlando SQUID [RESOLVIDO]

1. Burlando SQUID [RESOLVIDO]

Stéfano Hernani dos Santos
stefanols

(usa Debian)

Enviado em 09/07/2008 - 12:45h

Pessoal, é o seguinte. Através dos relatórios do SARG, percebi que haviam pessoas acessando sites que estavam bloqueados. Depois de algum tempo, vi que essas pessoas tinham uma tática para burlar o proxy. Eles digitam no browser por exemplo: "www.orkut.com?org" e acessam o Orkut normalmente. O Orkut está numa lista de bloqueio, porém essas pessoas tem acesso a sites ".org". Esse "?org" no final dos endereços Web permite que eles acessem qualquer site, mesmo que estejam na lista de bloqueados. Alguem sabe como corrigir essa brecha?


  


2. MELHOR RESPOSTA

Aldefax G. Kuhn
agk

(usa Debian)

Enviado em 09/07/2008 - 14:57h

Tenta fazer o seguinte:
Coloca primeiro a regra de bloqueio, mas sem usar nenhum tipo de exceção.

Se precisar usar exceção então faz o contrário na excessão.

Se estiver negando tudo para blacklist exceto para white list faça assim:
Aceito tudo para white list e coloque como exceção blacklist e depois na linha seguinte negue tudo para a blacklist.

Isso deve resolver o problema, mas sugiro pensar na suguestão do colega acima.

Tem uma frase que exemplifica bem isso.

"Se você é responsável pela segurança de uma organização, mas não tem autoridade para estabelecer regras ou punir infratores, seu papel é levar a culpa quando algo grander der errado.



EUGENE SPAFFORD

3. Re: Burlando SQUID [RESOLVIDO]

Vinicus S Moraes
vsmoraes

(usa Arch Linux)

Enviado em 09/07/2008 - 12:51h

Manda embora quem fizer isso =P



4. Re: Burlando SQUID [RESOLVIDO]

Julian Castaman
maninhx

(usa Slackware)

Enviado em 09/07/2008 - 15:40h

como é feito o bloqueio?

é por palavras? tipo www.orkut.com
pois pra mim eu bloquiei a palavra orkut ao invés de www.orkut.com e essa tática de ?org não funciona, não burla meu proxy.

você também pode bloquear o site pelo IP também, através do iptables.


5. Re: Burlando SQUID [RESOLVIDO]

Stéfano Hernani dos Santos
stefanols

(usa Debian)

Enviado em 10/07/2008 - 17:36h

A lista de bloqueio contém por exemplo: orkut.com, gmail.com, youtube.com e etc... Vamos supor que na lista de sites liberados de um determinado usuário tenha a palavra "webmail" liberada e na lista de bloqueio tenha a string "youtube.com". Se esse usuário digitar no seu browser "www.youtube.com?webmail" ele acessa sem nenhum problema. O SARG registra o acesso, porém o SQUID deixou passar.

Vou aplicar as dicas que o pessoal passou. Posto aqui os resultados.


6. RESOLVIDO

Stéfano Hernani dos Santos
stefanols

(usa Debian)

Enviado em 22/07/2008 - 09:51h

É, realmente a dica do "agk" funcionou e a festa dos espertinhos daqui acabou.

Obrigado a todos pelas dicas!


7. Autenticação não aparece

Evaldo Hilário Corrêa
ehc

(usa Fedora)

Enviado em 09/09/2008 - 10:25h

Usuário autentica normalmente porem no relatório do SARG aparece
direct.XXX_XXX_X_XXX ao invez do nome do usuário autenticado

Pode ser alguma forma que o usuário descobriu de navegar no anonimato?
Só descobri qual usuário é, mas não consegui identificar o que ocorre, e como. Descobri porque o usuário não autenticou mais, ou seja ele usa a rede mas não aparece no relatório.
Interessante que ele se loga normalmente.
Alguem tem alguma pista para me dar de como desvendar isso.


8. Re: Burlando SQUID [RESOLVIDO]

Eduardo Paim Silveira
eduardo

(usa Linux Mint)

Enviado em 09/09/2008 - 10:53h

Acontece que você dete ter posto a acl assim:

acl LIBERADOS url_regex .org

Não pode ser feito assim. Tem que ser feito assim:

acl LIBERADOS dstdom_regex .org

Ai não vai ter como burlar ;)

Abraços


9. Aki no meu squid fiz assim e funfou

Rodrigo Bruno Mamede de Paiva
rbmpaiva

(usa Ubuntu)

Enviado em 03/03/2009 - 17:06h

no squid, coloquei a acl apontando pra um arquivo, dentro do arquivo apenas tem digitado a palavra orkut, mais no squid, além de coloca http_access deny all acl, coloca embaixo http_reply_access deny all acl..
aki funfa tranquilo, sendo por caminhos de pesquisa em sites de pesquisa que acham o orjut ou por qualquer caminho aki, cai na minha pagina de erro...
espero ter ajudado.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts