Author Topic: Ayuda para bloquear https!!!  (Read 36919 times)

cabildocl

  • Zen Samurai
  • ****
  • Posts: 282
  • Karma: +5/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #15 on: August 24, 2011, 05:54:29 pm »
Julio Saldivar M.
Ingeniero Electronico
Cisco CCNA, CCDA, IPTX
Asterisk DCAP
Linux LPIC-1

Ezequiel Fernandez

  • Zen Apprentice
  • *
  • Posts: 35
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #16 on: August 24, 2011, 05:57:27 pm »
gracias por el tuto, lo volvere a repasar pero vamos como te comente esto no va :).
Por otro lado la diferencia podria ser que estoy usando Autorizacion y filtrado? en ves de un proxy transparante...
Un error que me pasa cuanto intento ponerles a las ip .0/20 es que no me deja y me da error sabes pòr q puede ser?

cabildocl

  • Zen Samurai
  • ****
  • Posts: 282
  • Karma: +5/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #17 on: August 24, 2011, 08:32:42 pm »
Tienes configurado el proxy en el navegador? si es asi no configures ssl o https por el proxy.

Saludos
Julio Saldivar M.
Ingeniero Electronico
Cisco CCNA, CCDA, IPTX
Asterisk DCAP
Linux LPIC-1

steelman

  • Zen Apprentice
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #18 on: March 23, 2012, 10:29:58 pm »
Hola soy nuevo usando la solucion de zentyal y a mi parecer es una de las mejores soluciones que he encontrado en la red, les comento como podemos bloquear facebook.com y dominios sin necesidad de cerrar el puerto 443 que es de suma importancia sobre todo para bancos.

1) Instalar el modulo DNS
2) Ya que se encuentra instalado le damos palomita en Habilite el caché de DNS transparente
3) Nos vamos a la opcion que dice Dominios y le damos click en añadir nuevo/a
4) Metemos el dominio de nuestro interés, en este caso yo ingreso facebook.com
5) Mas abajo metemos la direccion ip 127.0.0.1 que viene siendo el localhost de las maquinas
6) Le damos añadir
7) Guardamos cambios

Y listo ya quedó bloqueado el dominio facebook.com

Para personas que no quieren filtrar yo recomiendo que tengan un segundo gateway y los mandemos por ese segundo gateway para que no haya complicaciones.


Espero que esta información les sea de ayuda.

domedfd

  • Zen Apprentice
  • *
  • Posts: 9
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #19 on: June 11, 2012, 09:40:21 pm »
hice como ljimenez29 dijo y se travo mi servidor.
ahora reinicia y queda iniciando

cabildocl

  • Zen Samurai
  • ****
  • Posts: 282
  • Karma: +5/-0
    • View Profile
Julio Saldivar M.
Ingeniero Electronico
Cisco CCNA, CCDA, IPTX
Asterisk DCAP
Linux LPIC-1

Escorpiom

  • Zen Hero
  • *****
  • Posts: 897
  • Karma: +25/-1
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #21 on: June 12, 2012, 06:11:56 am »
Debo advertir que en Zentyal 2.2 el numero de IP's que se puede bloquear con el cortafuegos es limitado, y facebook tiene un monton.
En Zentyal 3.0 voy a volver a intentar si podemos bloquear todas las IP's mediante el cortafuegos.

Saludos.
Marcus' Rule:
Blanks & capitals = avoid it and you'll avoid problems...

abaguilar

  • Zen Apprentice
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #22 on: July 13, 2012, 12:06:25 am »
Hola!, en una de las empresas que colaboro a administrar se utiliza un zentyal 2.2, rápidamente después de intalar el proxy http nos dimos cuenta que los usuarios ya conocían la puerta abierta que tenían con el protocolo https así que se me asignó la tarea de solucionar este problema. Después de mucho batallar cómo ustedes me tope con algunos inconvenientes cómo por ejemplo:

-Si en el firewall crean una regla que contenga por ejemplo origen:cualquiera, destino:cualquiera, servicio:any>>accept entonces sin importar que por encima pusiera una regla para negar acceso a algún puerto desde cualquier objeto esa regla no se veía aplicada ya que la anterior daba acceso a todo sin importar que existieran otras para denegar acceso.
-Si se creaba una regla con origen:usuarioslimitados, destino:ipdepaginablqueada, servicio:https>>deny si no existía una regla cómo la mencionada en el punto anterior entonces efectivamente bloqueaba el acceso por el servicio https pero también caulquier acceso a direcciones ip que no estuvieran incluidas dentro el objeto destino bloqueado lo causaba problemas con páginas de bancos, mail etc.

Después de mucho pelear finalmente termine con un método algo complicado que funciona pero es tardado:

-Primero creo el servicio https en el puerto 443
-luego creo 2 objetos uno llamado Bloqueado y Otro Acceso, en acceso puse las direcciones de bancos, servidores webmail y páginas conocidas que utilizan el servicio https para funcionar y que estan permitidas, en Bloqueado las ips de facebook, twitter...
(NOTA: *por petición de la empresa debo permitir todos los servicios adicionales y para evitar problemas antes de crear esta regla generé otra con los valores: Objeto origen:usuarioslimitados, destino:cualquiera, servicio:todos menos https>>accept; esto último se hace seleccionando https y Inverse match para que no se meta con ese servicio)
-Creo la regla: origen:Usuarioslimitados, destino:bloqueado, servicio:https>>deny; y otro encima de este con: origen:Usuarioslimitados, destino:Acceso, Servicio:https>>accept

Todo esto claro sobre el filtrado de paquetes de redes internas del Firewall. En caso de que alguna página no funcione (ya que todas las páginas no incluidas en Acceso son bloqueadas por el Zentyal) se nos envía una solicitud y al ser autorizado se incluye en el objeto Acces y fin.


Espero les sirva de algo  ;)

christian

  • Guest
Re: Ayuda para bloquear https!!!
« Reply #23 on: July 13, 2012, 07:44:17 am »
Sorry if I intervene here in English but I don't speak Spanish and believe automatic translation will be meaningless. I hope someone here will be able to translate for the community.

- if you use HTTP transparent proxy, there is almost nothing you can do in order to block HTTPS because this is managed at firewall level and blocking list of IP is not realistic.
- using explicit proxy, you can block https://youtube.com or https://facebook.com very easily using "domain filtering" option.
- still, if you want this to be very strict and accurate, you will have to block access to external proxies like anonymizers  :-[

Escorpiom

  • Zen Hero
  • *****
  • Posts: 897
  • Karma: +25/-1
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #24 on: July 13, 2012, 08:23:09 am »
Christian dice:

Quote from: Christian
- Si estas usando proxy HTTP transparente, no hay casi nada que puedes hacer para bloquear HTTPS porque esto esta siendo manejado a nivel de cortafuegos y bloquear una lista de IP's no es factible.
- Usando proxy no-transparente, puedes bloquear https://youtube.com o https://facebook.com muy facil usando la opción "filtrado de dominio".
- Aun asi, si quieres que esto sea estricto y correcto, necesitas bloquear acceso a proxys externos como proxy anónimo.

I hope this is what Christian wanted to say, sorry my Spanish is not that good  :) 

También quiero agregar algo, el método de abaguilar no funciona 100% y les explico porque.
Primero que todo, Facebook maneja un numero extenso de IP's, actualmente es imposible agregarlas todas en un objeto de red porque se cuelga el cortafuegos.
Si has olvidado agregar una IP, el bloqueo puede funcionar solo de vez en cuando.

Lo que ya se ha dicho antes, lo que SI puede funcionar es el tal "whitelisting", osea bloquear todas las conexiones HTTPS mediante una regla en el cortafuegos
y luego una regla encima que autoriza las conexiones HTTPS permitidas como bancos etc.
Esto es mas o menos lo que abaguilar acaba de explicar.

Personalmente no utilizo proxy no-transparente porque siempre hay algo que no funciona, ademas requiere configuraciones adiccionales y en mi red esto no siempre es posible.
 
Saludos. 
Marcus' Rule:
Blanks & capitals = avoid it and you'll avoid problems...

cabildocl

  • Zen Samurai
  • ****
  • Posts: 282
  • Karma: +5/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #25 on: July 15, 2012, 01:00:44 am »
Estimado Escorpiom con respecto al tema de facebook claro que ellos tienen muchas ips, pero estas pueden ser resumir en un numero limitado de subredes, siendo posible el filtrado por en el firewall.

Saludos
Julio Saldivar M.
Ingeniero Electronico
Cisco CCNA, CCDA, IPTX
Asterisk DCAP
Linux LPIC-1

Escorpiom

  • Zen Hero
  • *****
  • Posts: 897
  • Karma: +25/-1
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #26 on: July 15, 2012, 06:42:26 am »
cabildocl,
Bloqueando toda una subred es posible, pero sin querer podemos dejar bloqueado sitios que no tienen nada que ver con Facebook.
Si estas seguro que toda esa subred es destinado a Facebook bien, pero yo no estoy seguro.

Saludos. 
Marcus' Rule:
Blanks & capitals = avoid it and you'll avoid problems...

alex_miguel17

  • Zen Apprentice
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #27 on: August 11, 2012, 04:58:01 pm »
Estan vivos aun ?
es por el tiempo del post nomas , solo queria decir que funciona en la forma que ljimenez29 lo muestra lo estoy haciendo , solo tengo un pequeño problema, Trabajo en una empresa de electronicos a lo cuales alos vendedores le he podido bloquear los Https con los pasos que ljimenez29 puso mas arriba, lo malo es que los vendedores usan mucho Hotmail  que tambien esta bloqueado :/

Escorpiom

  • Zen Hero
  • *****
  • Posts: 897
  • Karma: +25/-1
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #28 on: August 12, 2012, 06:57:29 am »
Hola Alex Miguel,

Por supuesto esta bloqueado Hotmail, si lees bien el post de ljimenez29 puedes notar que TODAS las conexiones seguras están bloqueadas.
Puedes crear una regla permitiendo el acceso a Hotmail, esto es lo que quiero decir con "whitelisting".
Esta nueva regla lo colocas encima de la regla que bloquea todo. Asi te va funcionar Hotmail, para bancos el procedimiento es similar.

Saludos.
Marcus' Rule:
Blanks & capitals = avoid it and you'll avoid problems...

ronald

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: Ayuda para bloquear https!!!
« Reply #29 on: August 24, 2012, 12:45:20 am »
Miguel Salcedo,

Para que las políticas de filtrado (filtrado de contenido) se apliquen tanto para páginas http como https deberás bloquear el puerto 443 en [ Cortafuegos > Filtrado de paquetes > "Tráfico entre redes internas y de redes internas a Internet"], para los usuarios que deben ingresar a páginas de Entidades Bancarias deberás configurarle "Proxy Manual". No es posible el filtrado de contenido sobre https con proxy transparente, es una limitación técnica, la única forma de hacerlo es usando proxy manual.

Si el gerente necesita hacer negocios por Facebook, entonces configurale proxy manual o a su vez permitile solo a su IP el acceso al puerto 443 ;)

PD: Repito, la regla es en "Tráfico entre redes internas y de redes internas a Internet"