Paginas seguras [RESOLVIDO]

eduardo_jst
(usa Slackware)

Enviado em 25/04/2011 - 12:31h

Bom dia, eu uso squid autenticado, e estou tendo problemas os usuarios cancelam a tela de login e digitam https://www.facebook.com e outras paginas da mesma forma atraves da porta 443, tentei bloquear a porta mas ai eu bloqueio sites se bancos, alguem pode me ajudar como proceder com isso?

renato_pacheco
(usa Debian)

Enviado em 25/04/2011 - 13:24h

Faça uma regra no iptables permitindo q apenas o seu proxy acesse o HTTPS e negue para o restante. Assim, para acessar sites d banco e outras coisas, a pessoa terá d configurar no navegador o proxy e, deste, vc pode utilizar os filtros para bloquear sites d relacionamento.

eduardo_jst
(usa Slackware)

Enviado em 25/04/2011 - 16:22h

Como faço isso, no caso é redirecionando a 443 para porta do proxy?

renato_pacheco
(usa Debian)

Enviado em 25/04/2011 - 16:25h

NUNCA faça isso! Não faz parte das boas práticas d segurança (equivale ao ataque homem-do-meio) e pode invalidar certos certificados. Como disse, o usuário teria q configurar no navegador o endereço do proxy para acessar os sites seguros. A partir dae vc filtra as URL's.

volcom
(usa Debian)

Enviado em 25/04/2011 - 16:32h

Mas e se o usuário "espertinho" remover as configurações no browser???

Eu acredito que as políticas das empresas devem existir, os colaboradores informados e as punições aplicadas (desculpem radicalizar hehehe)

Se o colaborador sabe que é proibido, recebe uma mensagem de acesso negado e ainda assim coloca o httpS para burlar, SARG neles e os gestores, gerentes, diretores que tomem as devidas providências!

Mas que seria muito bom ter como bloquear esse "recurso", seria sim! Nunca vi nenhum jeito que funcionasse com Squid, me mostrem se possível :D

renato_pacheco
(usa Debian)

Enviado em 25/04/2011 - 16:35h

O lance é esse: bloquear a porta 443 para FORWARD e permitir q apenas o squid utilize-a. Assim, se o "espertinho" remover as configs, nada d acessar porta 443!

eduardo_jst
(usa Slackware)

Enviado em 25/04/2011 - 18:13h

certo, agradeço atenção, mas como faço isso atraves do acl_safes, se for eu ja fiz, mas como disse algus usuarios cancelam a tela de login e digita https e passa de boa, pois o squid não bloqueia acesso seguros caso cancele o login.

eduardo_jst
(usa Slackware)

Enviado em 26/04/2011 - 08:35h

Sei que aqui o negocio é apenas dar dicas para conseguir resolver o problema, mas
estou pesquisando e fazendo testes a algum tempo e sem sucesso, tem como me mostrar como eu libero para apenas o squid usar a porta 443.

att.

renato_pacheco
(usa Debian)

Enviado em 26/04/2011 - 09:35h

Supondo q vc tenha bloqueado acesso direto à porta 443 no seu firewall:

iptables -A FORWARD -p tcp --dport 443 -j DROP

E q vc tenha liberado no squid a porta 443 como Safe_ports (isso vc já sabe), faça o seguinte:

- Na máquina cliente, abra o navegador. Estou supondo q seja o Firefox. Nos outros é quase a msm coisa;
- Vá em Ferramentas > Opções;
- Vá na aba Avançado, aba Rede e, no menu Conexão, clique em Configurar Conexão...;
- Selecione a opção "Configução manual do proxy" e coloque o endereço do seu proxy + porta;
- Marque a caixa "Usar este proxy para todos os protocolos";
- Clique em OK em tudo.

Pronto! Só dessa forma o caboco vai conseguir acessar a porta 443. Sem a config do proxy, ele não consegue.

brunotec
(usa Debian)

Enviado em 26/04/2011 - 11:00h

desculpem me intrometer no tópico mas queria saber se caso o squid for transparent então essa configuração no browser pelo usuario não funcionaria não é?

renato_pacheco
(usa Debian)

Enviado em 26/04/2011 - 11:16h

Claro q funcionaria! Analise... quando configuramos pelo navegador, não colocamos a porta 3128? Portanto, o navegador não acessará a porta 80, mas, sim, a porta 3128 diretamente. Se retirarmos as configs. do proxy, ae ele volta a ser transparente, pq ele volta a acessar a porta 80 e o firewall vai redirecionar essas requisições para a porta 3128.

brunotec
(usa Debian)

Enviado em 26/04/2011 - 11:25h

Entendi, agora ficou claro! hehehe bem simples mesmo.

vlw ai renato!