Author Topic: Ayuda para bloquear https!!!  (Read 38202 times)

Miguel Salcedo

  • Zen Apprentice
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Ayuda para bloquear https!!!
« on: March 22, 2011, 09:59:43 pm »
 Buenas tardes vuelvo a escribir en vista de que nadie responde mi duda... Estoy configurando Zentyal y no logtro bloquear paginas como https://facebook.com, https://youtube.com, https://imo.im, etc... La verdad ya he leido el libro, los foros y no logro solucionarlo. Hice lo q aparece por ahí sobre crear un servicio https tcp con puerto destino 443 luego creo la regla en el firewall donde deniego a los objetos entrar a ese servicio pero no hace nada... Es decir sigo sin bloquear esas paginas. Alguien que ya haya bloqueado dichas paginas que me ayude por favor...

eaguade

  • Zen Apprentice
  • *
  • Posts: 23
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #1 on: March 26, 2011, 06:09:01 pm »
Buenas !

Yo lo he hecho y no he tenido ningún problema. Has configurado la regla de 443 en Redes externas hacia Zentyal, redes internas hacia Zentyal o redes internas?
Siempre queremos lo que no tenemos ¿Entonces no tengo ningún conocimiento?

calex28

  • Zen Monk
  • **
  • Posts: 60
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #2 on: April 01, 2011, 03:01:28 pm »
Y al bloquear el puerto no bloqueas también paginas de bancos, etc.

Oscarion

  • Zen Apprentice
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #3 on: April 18, 2011, 11:14:44 pm »
Amigo buenas tardes, si lo tienes funcionando podrias publicar los pasos como lo hicistes. para ayudarnos a todos muchas gracias

elbasysteming

  • Zen Apprentice
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #4 on: June 07, 2011, 01:54:09 pm »
hola eaguade, tambien hemos tenido el mismo problema.. no bloquea las paginas con https, hemos hecho lo que hiciste arriba, bloqueamos el 443 y nada.. Será que puedes publicar de forma detallada lo que tu hiciste.. Gracias de antemano..

ljimenez29

  • Zen Apprentice
  • *
  • Posts: 18
  • Karma: +3/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #5 on: June 08, 2011, 01:57:13 am »
Que tal, yo tengo configurado proxi transparente con donde permito toda la navegación, luego creo reglas y filtros para denegar lo que quiera. En el caso de bloquear paginas HTTPS lo hice así y me funciono:


1.- Primero creo un Servicio


Vamos a:
Servicios ----> Añadir nuevo

Le colocan un nombre al servicio por ejemplo https

En la lista de servicios ubicamos https y antes de entrar a configurar la casilla Interno debe estar desmarcada(si marcas la casilla también debería funcionar pero a mi me no marcándola) ahora si, entramos a la Configuración del servicio creado (https) y hacemos click en Añadir nuevo

y configuramos:

Protocolo: TCP/UDP
Puerto origen: Cualquiera
Puerto destino: Seleccionan Puerto único y escriben el numero del puerto que es: 443

Listo ahora guardamos los  cambios.

2.- Segundo creo la Regla

Vamos a:
Cortafuegos ---->Filtrado de paquetes, hacemos click en Reglas de filtrado para las redes internas

y configuramos la regla para HTTPS asi:

Configurar reglas ----> Añadir nuevo

Decisión: DENY
Origen: Aquí colocas la IP del equipo al quieres bloquearles las direcciones https o colocas un objeto para bloquear varios miembros(equipos)
Destino: Cualquiera
Servicio: https

Listo volvemos a guardar los  cambios.

De esta manera pude bloquear las paginas https. Esto también te va a bloquear los módulos de las paginas de bancos que manejen conexiones seguras.

Saludos.
« Last Edit: June 08, 2011, 02:17:31 pm by ljimenez29 »

ljimenez29

  • Zen Apprentice
  • *
  • Posts: 18
  • Karma: +3/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #6 on: June 08, 2011, 02:19:59 pm »
Corregí mi post, no hay que marcar la opción Interno en la lista de servicios.

Saludos.

nicolasdiogo

  • Forum Moderator
  • Zen Samurai
  • *****
  • Posts: 263
  • Karma: +3/-0
  • a pessimist, but trying out optimism
    • View Profile
    • BrainPowered Business Intelligence Consultancy - UK
Re: Ayuda para bloquear https!!!
« Reply #7 on: July 03, 2011, 07:07:34 pm »
entonces esta todo correcto?
my opinions and suggestion expressed on this forum are my own as a user.
please note that i am not part of the Zentyal Development Team

www.brainpowered.net - supporting open-source Business Intelligence in Europe

djfenixchile

  • Zen Apprentice
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #8 on: July 21, 2011, 06:23:56 pm »
CUEEEK!!! no me resulto :'(
Al final me resulto mas sencillo "EMBRUJAR" el DNS, se quedaron todos sin Facebook (tipico los gerentes querian que se los habilitara). Me fui a Infraestructure -> DNS -> Add New y en donde dice "Domain" le puse "facebook.com" y en "IP Address" le di una ip inactiva para que diera bote y asi me resulto (teoria de la navaja de occam). En otro post aqui mismo, lei que el proposito del protocolo HTTP'S' es proporcionar un canal de comunicacion, directo, encriptado y seguro (aunque todos sabemos que nada es seguro en internet) por resa razon los proxy no logran filtrarlo ya que pasa encriptado y no sabe que interpretar (bueno, eso dicen). Saludos
« Last Edit: July 22, 2011, 02:00:02 am by djfenixchile »

Ezequiel Fernandez

  • Zen Apprentice
  • *
  • Posts: 35
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #9 on: August 19, 2011, 09:53:16 am »
buenas a todos, yo estoy con el mismo problema.
Tengo un zentyal 2.0.20 con autentificacion y filtrado.
He probado crear un servicio con el 443 y nada no hay forma de evitar que un usuario ponga https:// y pueda entrar a facebook.

Teneis alguna idea para otras soluciones ?

PD = lo de embrujar los DNS no me sirve ya que es una escuela con portatiles y equipos de mesa entonces se pueden cambiar la dns y se las pasan por encima..
« Last Edit: August 19, 2011, 09:56:20 am by efburgos »

cabildocl

  • Zen Samurai
  • ****
  • Posts: 282
  • Karma: +5/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #10 on: August 22, 2011, 08:50:27 pm »
los pasos son:

1.- ping a facebook.com
2.- con IP obtenida ir http://whois.arin.net/ui y obtener el rango de facebook
3.- Crear una regla de bloqueo para ese rango y https

listo
Julio Saldivar M.
Ingeniero Electronico
Cisco CCNA, CCDA, IPTX
Asterisk DCAP
Linux LPIC-1

Ezequiel Fernandez

  • Zen Apprentice
  • *
  • Posts: 35
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #11 on: August 24, 2011, 12:19:16 pm »
eso ya lo intente pero no hay manera.

La unica solucion que encontre es edita el squid.conf y comentar la acl de https.

de esa manera no va ningun https

cabildocl

  • Zen Samurai
  • ****
  • Posts: 282
  • Karma: +5/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #12 on: August 24, 2011, 04:49:37 pm »
Permitiste el acesso https en firewall?
Julio Saldivar M.
Ingeniero Electronico
Cisco CCNA, CCDA, IPTX
Asterisk DCAP
Linux LPIC-1

ljimenez29

  • Zen Apprentice
  • *
  • Posts: 18
  • Karma: +3/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #13 on: August 24, 2011, 05:34:25 pm »
Es como dice cabildocl, pero haz ping a facebook.com y a www.facebook.com. Luego las ip que te den cuando hagas ping la metes en http://whois.arin.net/ui. Entre toda la información que te muestres ubicas estos segmentos de ip: 69.63.176.0/20 y 66.220.144.0/20.

Ahora después que tengas esas ip, vas a crear un Objeto (Por ejemplo llamado Facebook) con dos miembros y le asignas a cada uno los segmentos de ip. Y Guardas.

Luego te vas a Cortafuego>Filtrado de Paquetes>Reglas de filtrado para las redes internas. Aquí vas a configurar una nueva regla y la configuras así:

Decisión: Denegar
Origen: El Objeto(Las maquinas) al que le quieres denegar el acceso
Destino: El objeto facebook que se creo anteriormente
Servicio:https


Guardar.

Eso es todo a mi funciona así. Tengo proxi transparente con política predeterminada de Siempre denegar.
« Last Edit: August 25, 2011, 01:57:33 am by ljimenez29 »

Ezequiel Fernandez

  • Zen Apprentice
  • *
  • Posts: 35
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #14 on: August 24, 2011, 05:44:24 pm »
buenas, eso mismo he echo y no hay manera.
La unica solucion que encontre fue esta que te comento cambiar en el squid.conf el acl de https
aparte de eso me encuentro con problemas para bloquear segun que web por ej, pongo en el mi perfil default miniclip.com denegar siempre y no hay manera que la bloquee.. es un poco raro he echo lo mismo poniendo la IP de miniclip y tampoco funciona....
al Final termino modificando los ficheros de zentyal para poder bloquear lo que quiero...
No se si sera un bug de mi zentyal o que la verdad es un poco desesperante....