Burlando SQUID [RESOLVIDO]

1. Burlando SQUID [RESOLVIDO]

stefanols
(usa Debian)

Enviado em 09/07/2008 - 12:45h

Pessoal, é o seguinte. Através dos relatórios do SARG, percebi que haviam pessoas acessando sites que estavam bloqueados. Depois de algum tempo, vi que essas pessoas tinham uma tática para burlar o proxy. Eles digitam no browser por exemplo: "www.orkut.com?org" e acessam o Orkut normalmente. O Orkut está numa lista de bloqueio, porém essas pessoas tem acesso a sites ".org". Esse "?org" no final dos endereços Web permite que eles acessem qualquer site, mesmo que estejam na lista de bloqueados. Alguem sabe como corrigir essa brecha?

0 0

Quote

2. MELHOR RESPOSTA

agk
(usa Debian)

Enviado em 09/07/2008 - 14:57h

Tenta fazer o seguinte:
Coloca primeiro a regra de bloqueio, mas sem usar nenhum tipo de exceção.

Se precisar usar exceção então faz o contrário na excessão.

Se estiver negando tudo para blacklist exceto para white list faça assim:
Aceito tudo para white list e coloque como exceção blacklist e depois na linha seguinte negue tudo para a blacklist.

Isso deve resolver o problema, mas sugiro pensar na suguestão do colega acima.

Tem uma frase que exemplifica bem isso.

"Se você é responsável pela segurança de uma organização, mas não tem autoridade para estabelecer regras ou punir infratores, seu papel é levar a culpa quando algo grander der errado.

EUGENE SPAFFORD

0 0

Quote

3. Re: Burlando SQUID [RESOLVIDO]

vsmoraes
(usa Arch Linux)

Enviado em 09/07/2008 - 12:51h

Manda embora quem fizer isso =P

0 0

Quote

4. Re: Burlando SQUID [RESOLVIDO]

maninhx
(usa Slackware)

Enviado em 09/07/2008 - 15:40h

como é feito o bloqueio?

é por palavras? tipo www.orkut.com
pois pra mim eu bloquiei a palavra orkut ao invés de www.orkut.com e essa tática de ?org não funciona, não burla meu proxy.

você também pode bloquear o site pelo IP também, através do iptables.

0 0

Quote

5. Re: Burlando SQUID [RESOLVIDO]

stefanols
(usa Debian)

Enviado em 10/07/2008 - 17:36h

A lista de bloqueio contém por exemplo: orkut.com, gmail.com, youtube.com e etc... Vamos supor que na lista de sites liberados de um determinado usuário tenha a palavra "webmail" liberada e na lista de bloqueio tenha a string "youtube.com". Se esse usuário digitar no seu browser "www.youtube.com?webmail" ele acessa sem nenhum problema. O SARG registra o acesso, porém o SQUID deixou passar.

Vou aplicar as dicas que o pessoal passou. Posto aqui os resultados.

0 0

Quote

6. RESOLVIDO

stefanols
(usa Debian)

Enviado em 22/07/2008 - 09:51h

É, realmente a dica do "agk" funcionou e a festa dos espertinhos daqui acabou.

Obrigado a todos pelas dicas!

0 0

Quote

7. Autenticação não aparece

ehc
(usa Fedora)

Enviado em 09/09/2008 - 10:25h

Usuário autentica normalmente porem no relatório do SARG aparece
direct.XXX_XXX_X_XXX ao invez do nome do usuário autenticado

Pode ser alguma forma que o usuário descobriu de navegar no anonimato?
Só descobri qual usuário é, mas não consegui identificar o que ocorre, e como. Descobri porque o usuário não autenticou mais, ou seja ele usa a rede mas não aparece no relatório.
Interessante que ele se loga normalmente.
Alguem tem alguma pista para me dar de como desvendar isso.

0 0

Quote

8. Re: Burlando SQUID [RESOLVIDO]

eduardo
(usa Linux Mint)

Enviado em 09/09/2008 - 10:53h

Acontece que você dete ter posto a acl assim:

acl LIBERADOS url_regex .org

Não pode ser feito assim. Tem que ser feito assim:

acl LIBERADOS dstdom_regex .org

Ai não vai ter como burlar ;)

Abraços

0 0

Quote

9. Aki no meu squid fiz assim e funfou

rbmpaiva
(usa Ubuntu)

Enviado em 03/03/2009 - 17:06h

no squid, coloquei a acl apontando pra um arquivo, dentro do arquivo apenas tem digitado a palavra orkut, mais no squid, além de coloca http_access deny all acl, coloca embaixo http_reply_access deny all acl..
aki funfa tranquilo, sendo por caminhos de pesquisa em sites de pesquisa que acham o orjut ou por qualquer caminho aki, cai na minha pagina de erro...
espero ter ajudado.

0 0

Quote