Author Topic: Bloqueio definitivo do facebook e outros sites que usam https em proxy transp.  (Read 17431 times)

tacioandrade

  • Zen Warrior
  • ***
  • Posts: 143
  • Karma: +6/-0
    • View Profile
    • Twitter
Galera assim como a maioria de vocês venho tendo dores de cabeça com bloqueio de sites que usam https e tem que utilizar proxy transparente seja por qual motivo for. Para pessoas com nosso ambiente é algo complicado de se encontrar solução para este tipo de ação, por este motivo estou utilizando uma solução (não com só com o Zentyal mais também com o Endiian Firewall) em 3 clientes e na empresa que trabalho.

1ª Instale o módulo DNS no Gateway da rede (se já não estiver instalado), após feito isso você irá criar uma regra DNS local apontando o domínio que deseja bloquear (no meu caso Facebook mais pode ser substituído por qualquer outro). Após criar você irá em Endereços de IP do domínio e substituirá o endereço de lá por um inválido, no meu caso eu coloco (127.0.0.2). Após isso vá em estações (ainda do mesmo DNS) e adicione um host www apontando para o mesmo domínio.

2ª Após feito isso, lá no topo da parte de DNS clique no Checkbox "Ativar cache de DNS Transparente" e salve o módulo.

Ao fazer o segundo passo você faz com que TODAS as requisições de DNS feitas para qualquer servidor externo seja substituída para um do seu servidor local, desta forma o usuário não terá mais acesso ao Facebook ou aos sites que você achar indevido mesmo que o mesmo use https, ftp, etc. =D

Agora tem um porem, o Zentyal não tem uma opção (que o Endian tem) de exceções para o DNS transparente, então todas as maquinas da rede serão afetadas, porem para algumas soluções ainda é uma boa opção.


Espero que essa dica ajude mais pessoas e caso ache uma forma de adicionar exceções ao DNS transparente eu posto aqui.



Att. Tácio Andrade.

wemersonrv

  • Zen Samurai
  • ****
  • Posts: 331
  • Karma: +4/-0
    • View Profile
Já usei essa opção... Funciona muito bem se a ideia for bloquear para 100% das estações, porém infelizmente não dá pra se criar exceções nesse método. Acho que tanto no cache de DNS transparente quanto no proxy transparente deveria ter opções para se configurar essas exceções... um exemplo aqui meu:

Nossa empresa tem 4 setores distintos, onde apenas 2 são bloqueados parcialmente, inclusive bloqueio para o rei da improdutividade e acoxambração, o facebook!!!!  :o Já os outros 2 setores são 100% livres, e são permitidos inclusive facebook, pois nesse caso o facebook já é uma ferramenta de trabalho...

Bem, sobrou a diretoria, que além de precisar estar 100% liberada; também não quer que sua navegação esteja listada nos relatórios e pra isso deve passar longe do proxy e precisaria estar nas exceções também!

tacioandrade

  • Zen Warrior
  • ***
  • Posts: 143
  • Karma: +6/-0
    • View Profile
    • Twitter
Realmente mais tem como se fazer manualmente, você tem que criar uma regra de firewall liberando o envio de requisições DNS para o 8.8.8.8 ou seu DNS a partir das maquinas que você desejar.

O DNS transarente funciona redirecionando todas as requisições na porta DNS para o Zentyal, se você liberar a passagem para o servidor externo como primeira regra deve funcionar (nunca fiz, mais na lógica seria essa).



Att. Tácio Andrade.

pipous

  • Zen Apprentice
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Não seria mais facil criar um uma regra no firewall bloqueando a saida https ? neste caso daria para criar grupos que podem e que não podem acessar https, o problema seriam os usuarios que usassem esta regra e tivessem que usar bancos.

jquintao

  • Moderator
  • Zen Hero
  • *****
  • Posts: 648
  • Karma: +14/-0
  • jquintao
    • View Profile
    • NetSol
Olá pessoALL,

Acho melhor marcar o proxy e bloquear por ele... Deixando a pirta 443 aberta, fica fácil burlar o sistema...

Abraços,
Jorge

wemersonrv

  • Zen Samurai
  • ****
  • Posts: 331
  • Karma: +4/-0
    • View Profile
Seria uma boa o zentyal ter essas opções no ambiente gráfico... tipo, escolher quais os acessos https são pra ser bloqueados também!

jquintao

  • Moderator
  • Zen Hero
  • *****
  • Posts: 648
  • Karma: +14/-0
  • jquintao
    • View Profile
    • NetSol
Veja isto:

Bloqueando socialwebsites

A nível de DNS

Você pode criar um domínio (exemplo: facebook.com) e apontar para 127.0.0.1 no módulo de DNS. Garanta que todos usuários usem o DNS do próprio Zentyal e proiba a consulta externa de DNS para usuários que deseja limitar

A nível de FIREWALL

Você pode criar um objeto com todos os ip's de empresas e websites que deseja bloquear. Depois crie uma regra para NEGAR conexões para este objeto no Firewall - Filtro de Pacotes / Regras para redes locais.

Para descobrir os IP's, use SSH com comandos como:

~ % host tuenti.es
tuenti.es has address 95.131.168.181
~ % whois 95.131.168.181
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '95.131.168.0 - 95.131.175.255'

inetnum:        95.131.168.0 - 95.131.175.255
netname:        ES-TUENTI-20090401
descr:          Tuenti Technologies, S.L.


Vc tem estas duas alternativas... Eu prefiro não usar proxy transparente...

Abraços,
Jorge Quintão
« Last Edit: March 25, 2013, 09:56:18 pm by jquintao »

pipous

  • Zen Apprentice
  • *
  • Posts: 13
  • Karma: +0/-0
    • View Profile
Veja isto:

Bloqueando socialwebsites

A nível de DNS

Você pode criar um domínio (exemplo: facebook.com) e apontar para 127.0.0.1 no módulo de DNS. Garanta que todos usuários usem o DNS do próprio Zentyal e proiba a consulta externa de DNS para usuários que deseja limitar

A nível de FIREWALL

Você pode criar um objeto com todos os ip's de empresas e websites que deseja bloquear. Depois crie uma regra para NEGAR conexões para este objeto no Firewall - Filtro de Pacotes / Regras para redes locais.

Para descobrir os IP's, use SSH com comandos como:

~ % host tuenti.es
tuenti.es has address 95.131.168.181
~ % whois 95.131.168.181
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '95.131.168.0 - 95.131.175.255'

inetnum:        95.131.168.0 - 95.131.175.255
netname:        ES-TUENTI-20090401
descr:          Tuenti Technologies, S.L.


Vc tem estas duas alternativas... Eu prefiro não usar proxy transparente...

Abraços,
Jorge Quintão

Jorge não ficou muito claro esta sua explicação

Abraço

jquintao

  • Moderator
  • Zen Hero
  • *****
  • Posts: 648
  • Karma: +14/-0
  • jquintao
    • View Profile
    • NetSol
Olá Amigo,

Qual parte você não entendeu? Me desculpe, talvez tenha usado alguns termos técnicos que para mim são normais mas que talvez para você sejam novos...

Abraços,
Jorge Quintão

nesken

  • Zen Apprentice
  • *
  • Posts: 17
  • Karma: +0/-0
    • View Profile
Eu fiz ao contrario.. Bloqueei tudo que sai pela porta 443... crio um objeto com as faixas de IP que preciso.. e vou liberando somente as faixas dos IPs que o pessoal precisa acessar por https.. acho mais pratico.. e ainda dá pra controlar quem pode acessar ou nao.

nesken

  • Zen Apprentice
  • *
  • Posts: 17
  • Karma: +0/-0
    • View Profile
Jquintao .. caso a pessoa nao tenha um servidor de dominio.. e um usuario mais esperto alterar o dns da maquina pra 8.8.8.8 por exemplo ... esse bloqueio perderia a validade certo?

Anderson Felipe

  • Zen Warrior
  • ***
  • Posts: 168
  • Karma: +7/-1
    • View Profile
Amigos, tudo bem?

Então... Essa solução que foi apresentada pelo Jorge é a Nível de DNS ou seja obviamente sem o serviço de DNS não é possível realizar o bloqueio (NÃO COM ESSAS DICAS).

Para garantir que os usuários de sua rede vão usar o DNS local e evitar que mesmo que eles mudem na mão pra 8.8.8.8 como o amigo nesken citou, basta marcar a opção de DNS TRANSPARENTE que está localizado no módulo de DNS.

Outras opções pra quem não pode ter um DNS como o amigo nesken indagou seria vc alterar o arquivo hosts que fica em C:\Windows\System32\drivers\hosts seguindo a mesma linha de pensamento proposta acima. E claro não dá permissão de acesso a esse arquivo aos usuários.

Só que imagino eu que quem usa zentyal deseja ter uma solução digamos que um pouco mais profissional e não essas soluções de contorno.


Abraços,

Anderson Felipe
Sds,

Anderson Felipe
(Estou de volta turminha do compartilhamento de informações 8)!!!)

nesken

  • Zen Apprentice
  • *
  • Posts: 17
  • Karma: +0/-0
    • View Profile
bem.. como eu disse eu bloqueio a porta 443 e vou liberando a rede 443 que precisar... uma pergunta.. esse DNS transparente, mesmo se a maquina estiver com 8.8.8.8 o zentyal vai ignorar a configuração?

Anderson Felipe

  • Zen Warrior
  • ***
  • Posts: 168
  • Karma: +7/-1
    • View Profile
bem.. como eu disse eu bloqueio a porta 443 e vou liberando a rede 443 que precisar... uma pergunta.. esse DNS transparente, mesmo se a maquina estiver com 8.8.8.8 o zentyal vai ignorar a configuração?


http://doc.zentyal.org/en/dns.html#transparent-dns-proxy

Proxy DNS transparente do Zentyal dá-lhe uma maneira de forçar o uso do seu servidor DNS sem ter que alterar a configuração dos clientes. Quando esta opção for habilitada, todas as solicitações de DNS que são encaminhados através do seu servidor são redirecionados para o servidor DNS interno do Zentyal. Os clientes têm de utilizar Zentyal como sua porta de entrada para certificar-se os pedidos serão encaminhados. Para ter esta opção disponível, o módulo de firewall deve ser ativado.
(TRADUZIDO VIA GOOGLE TRADUTOR).
Sds,

Anderson Felipe
(Estou de volta turminha do compartilhamento de informações 8)!!!)

nesken

  • Zen Apprentice
  • *
  • Posts: 17
  • Karma: +0/-0
    • View Profile
vou dar uma lida nessa documentação