IPCop: Bloquear HTTPS con discriminacion

Iniciado por [u]nsigned, 25 Enero 2013, 13:08 PM

0 Miembros y 1 Visitante están viendo este tema.

[u]nsigned

Hola, en mi trabajo se me ha pedido que configure un proxy-router para bloquear ciertas paginas web. El mismo es el gateway de toda la lan.

El problema es bloquear tambien la navegacion segura con HTTPS (por ejemplo Facebook). Se que hay una solucion con IPTABLES, pero por desgracia la misma se aplica a toda la RED y lo que yo necesito es que se puedan discriminar algunas IP, es decir que algunos usuarios si puedan entrar y otros no...alguien sabe si esto es posible con IPCop?

Uso la version 1.4.21 dado que con la 2.x hay muchos problemas para instalar add-os tales como URL filter.

MUchas gracias por leer!

Saludos

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!

alister

iptables tiene targets para eso!
no todos los selectores consisten en el protocolo, puedes combinar varios selectores de protocolo con selectores de rangos de ips para conseguir lo que quieras.

el objetivo en si mismo no es un reto en absoluto. el reto aqui es comprender como funciona iptables si eres nuevo en su utilizacion, cosa que ya quedaria fuera del tema de este hilo.

Back 2 business!

[u]nsigned

Gracias por responder. El tema es que quiero ahcerlo con algo mas sofisticado, porque dia por medio me van a ir pidiendo agregar o sacar IP's y no da andar tocando tanto las reglas de iptables, por eso queria saber si existe algun add-ons o directamente alguna distro capas de ahcer esto...SME Server ya lo prove y tampoco me sirve..

Saludos

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!

alister

Cita de: El As del Club Paris en 25 Enero 2013, 17:52 PM
Gracias por responder. El tema es que quiero ahcerlo con algo mas sofisticado, porque dia por medio me van a ir pidiendo agregar o sacar IP's y no da andar tocando tanto las reglas de iptables, por eso queria saber si existe algun add-ons o directamente alguna distro capas de ahcer esto...SME Server ya lo prove y tampoco me sirve..

Saludos

yo en tu lugar, y dado que te piden proxy (doy por sentado que vas a usar squid), buscaria en la documentación de squid como añadir listas negras, que no es una cosa muy ompleja y permite cambiarse con frecuencia y sin tanta complejidad como iptables.

como lo ves?
Back 2 business!

el-brujo

#4
la única manera de hacerlo es por la resolución de las dns.

Es lógico que ipcop (o cualquier otro sistema) no pueda filtrar https, puesto que va cifrado y no ve lo que hay, y si no lo veo no lo puedo filtrar.

Pero cuando entras a https://facebook.com haces igualmente una petición dns para resolver el dominio facebook, así que en el servidor dónde esté instalado ipcop y añades una entrada al /etc/hosts Fichero archivo HOSTS en Linux

facebook.com 0.0.0.0

Lógicamente las dns del los clientes deben usra el servidor ipcop, si usan sus propias dns entonces se podrán saltar el filtro.

También puedes crear una regla para bloquear todo el tráfico https, pero entonces tampoco podrán entrar a bancos, etc.

También podráis bloquear por las ips que usa facebook, pero recuerda que usa varias y seguramente irá añadiendo:


    66.220.144.0 - 66.220.159.255
    69.63.176.0 - 69.63.191.255
    69.171.224.0 - 69.171.255.255
    204.15.20.0 - 204.15.23.255


66.220.144.0/20
69.171.224.0/20
204.15.20/22


69.63.176.0/20,
69.63.184.0/21,
204.15.20.0/22,
204.74.66.0/24,
204.74.67.0/24,
66.220.152.0/19

http://bgp.he.net/dns/facebook.com#_ipinfo
http://whois.arin.net/rest/net/NET-173-252-64-0-1/pft

¿Usas algún Addon?

Mira algunos de los addons de IpCop:

http://sourceforge.net/apps/trac/ipcop/wiki/Addons

alister

#5
Cita de: el-brujo en 25 Enero 2013, 18:20 PM
la única manera de hacerlo es por la resolución de las dns.

Es lógico que ipcop (o cualquier otro sistema) no pueda filtrar https, puesto que va cifrado y no ve lo que hay, y si no lo veo no lo puedo filtrar.


hombre, iptables, puerto de destino 443... drop ... y ya haces algo bastante apañao!

y de todos modos si la capa SSL esta encima de la TCP, podemos discriminar el trafico por destino! ¿no?
Back 2 business!

el-brujo

si, pero bloquear  todo el tráfico https no es la solución, si luego quierer entrar a un banco o cualquier otro sitio que use https no podrá.

La única manera de filtrar https es bloquear por dns, o bloquear por ip, o si usas algún addon que filtre por categorías de webs (pero filtran también por dns).

alister

#7
Cita de: el-brujo en 25 Enero 2013, 18:43 PM
si, pero bloquear  todo el tráfico https no es la solución, si luego quierer entrar a un banco o cualquier otro sitio que use https no podrá.

La única manera de filtrar https es bloquear por dns, o bloquear por ip, o si usas algún addon que filtre por categorías de webs (pero filtran también por dns).

si, tienes razon.

si va a usar un proxy cache, configurar una buena listita negra no es tan dificil, y es lo que vengo diciendo desde el principio. yo apostaria por esa solucion.

PD: los rangos de IP de facebook enteros:
66.220.144.0 - 66.220.159.255
69.63.176.0 - 69.63.191.255
204.15.20.0 - 204.15.23.255
Back 2 business!