Como bloquear todas as portas HTTPS

johnnybe · Nov 14, 2011, 9:32 PM

Para ser mais explícito, as regras na LAN devem ficar parecidas com a imagem anexa abaixo.
Mas vou chamar novamente atenção para suas configurações em System: Advanced: Admin Access. Muita atenção à Anti-Lockout Rule.

Obs: Usando Squid transparente funciona.

vhugojr · Nov 16, 2011, 12:51 AM

Otimo, jhonnybe, consegui bloquear o https, agora seguindo o seu tutorial ao contrario, vou desbloqueando os serviços https necessários na rede. Obrigado mais uma vez pela ajuda, abraços.

vhugojr · Nov 16, 2011, 1:48 AM

E ai meu caro Jhonnybe, após realizar alguns testes, realmente ir liberando determinados serviços https me ajudou, mas surgiu um problema que ainda não consegui resolver. Ao bloquear a porta https, não consigo logar no msn, nem pelo windows live messenger, mas se eu desabilito essa regra, ele loga normalmente, vc poderia me ajudar nesse procedimento, pois preciso liberar o msn para determinados ip´s.

renkx · Nov 16, 2011, 10:44 AM

Saudações vhugojr,

Cara, seguinte, sei que existem um monte de sites que usam potocolo HTTPS que a gente não gostaria dos usuarios utilizando eles em nossa rede, por exemplo alguns servidores alguns proxys que a galera usa por ai…porém, tem muita coisa extremamente util que esta mudando para HTTPS por questões de segurança, por causa de encriptação e bla bla bla.

Assim sendo, deixo apenas uma idéia pra vc avaliar, será que vale mesmo a pena bloquear TODOS os sites HTTPS, ou fazer um levantamento dos que vc não quer, e usar uma regra de firewall com um alias para um bloqueio mais específico?

marcelloc · Nov 16, 2011, 11:15 AM

@vhugojr:

E ai meu caro Jhonnybe, após realizar alguns testes, realmente ir liberando determinados serviços https me ajudou, mas surgiu um problema que ainda não consegui resolver. Ao bloquear a porta https, não consigo logar no msn, nem pelo windows live messenger, mas se eu desabilito essa regra, ele loga normalmente, vc poderia me ajudar nesse procedimento, pois preciso liberar o msn para determinados ip´s.

Eu acho que o msn nao esta logando por conta do squid.

Da uma olhada nos logs do squid.

Se o msn estiver indo para https, o impspector morre de vez.

felipeortega · Nov 16, 2011, 12:44 PM

:D
Prezado @vhugojr realmente ao fechar todas as conexões HTTPS acaba rolando um stress básico. Segue um link que na época me ajudou bastante só liberar o necessário que o MSN logara normalmente.

http://support.microsoft.com/kb/960820/pt-br

vhugojr · Nov 16, 2011, 5:31 PM

Pois é meu caro renkx, eu até pensei nisso, mas existe alguns clientes que realmente, sempre tem aquele funcionario espertinho que consegue acessar algum serviço não autorizado pelo https, por isso resolvi tomar essa atitude de bloquear todos os serviços e ir desbloqueando só o necessário. Só que, por experiência própria, realmente as vezes fica enviavel, pois toda hora vai ter alguem do cliente me ligando pra desbloquear um ou outro serviço que eles precisarem. Realmente vou pensar seriamente em deixar tudo liberado os https, e ir criando aliases para bloquear serviços indesejáveis como redes sociais e mensageiros. Por enquanto agradeço a dica abraço.

marcelloc · Nov 16, 2011, 7:53 PM

@vhugojr:

Pois é meu caro renkx, eu até pensei nisso, mas existe alguns clientes que realmente, sempre tem aquele funcionario espertinho que consegue acessar algum serviço não autorizado pelo https, por isso resolvi tomar essa atitude de bloquear todos os serviços e ir desbloqueando só o necessário. Só que, por experiência própria, realmente as vezes fica enviavel, pois toda hora vai ter alguem do cliente me ligando pra desbloquear um ou outro serviço que eles precisarem. Realmente vou pensar seriamente em deixar tudo liberado os https, e ir criando aliases para bloquear serviços indesejáveis como redes sociais e mensageiros. Por enquanto agradeço a dica abraço.

Descordo 100% com essa atitude de não bloquear porque dá trabalho.

Trazendo para o mundo real, você está dizendo que desconsidera a possibilidade de trancar seu carro porque toda vez que fosse abrir ou fechar você teria o trabalho de usar a chave enquanto o ladrão não precisaria dela para te furtar o bem.

É triste ver administradores de firewall fazendo isso.

johnnybe · Nov 16, 2011, 9:36 PM

@marcelloc:

@vhugojr:

Pois é meu caro renkx, eu até pensei nisso, mas existe alguns clientes que realmente, sempre tem aquele funcionario espertinho que consegue acessar algum serviço não autorizado pelo https, por isso resolvi tomar essa atitude de bloquear todos os serviços e ir desbloqueando só o necessário. Só que, por experiência própria, realmente as vezes fica enviavel, pois toda hora vai ter alguem do cliente me ligando pra desbloquear um ou outro serviço que eles precisarem. Realmente vou pensar seriamente em deixar tudo liberado os https, e ir criando aliases para bloquear serviços indesejáveis como redes sociais e mensageiros. Por enquanto agradeço a dica abraço.

Descordo 100% com essa atitude de não bloquear porque dá trabalho.

Trazendo para o mundo real, você está dizendo que desconsidera a possibilidade de trancar seu carro porque toda vez que fosse abrir ou fechar você teria o trabalho de usar a chave enquanto o ladrão não precisaria dela para te furtar o bem.

É triste ver administradores de firewall fazendo isso.

E a polêmica está lançada! :D

Oras bolas! Se dá trabalho, ótimo pra quem realiza o trabalho. O custo é de quem paga, quem realiza ganha o seu pão de cada dia.
Deixa dar trabalho, desde que tenha ficado bem claro o propósito da regra criada e sua extensão (por escrito e assinada por ambas as partes). Se alguém chamar para liberar isso ou aquilo, que pague pelo chamado extra. Pode chamar dez vezes! Vinte é melhor. ;D

Afinal, quem é o Admin da Rede? O patrão?

Patrão - "Quero que libere tudo que é software de bate-papo para o pessoal da diretoria e da administração direta."
Admin da rede - "Yes, Sir… mas veja que..."
Patrão - interrompendo - "Faça o que pedi!!!"
Admin da rede - intimidado - "Yes, Sir!"

Dois dias depois "alguém da diretoria" confessa que pegou um vírus depois de fazer download de um arquivo via MSN.
E o patrão chama o Admin da Rede:

Patrão - "Porque você não me avisou que isso poderia pegar vírus? Bloqueia tudo e só deixa eu. E tira o vírus da máquina! Não vou pagar o serviço porque você não me avisou!"

::)

vhugojr · Nov 17, 2011, 12:17 AM

Ok aceito a crítica construtiva, realmente eu teria uma boa resposta para essa sua afirmação que dizendo que é "triste ver adminstradores agirem deste jeito …", mas realmente não estou aqui para discutir como se deve ou não ser um administrador de redes, estou neste fórum apenas para sanar minhas duvidas técnicas em relação a configuração do pfsense. Agradeço a dica, mas estarei encerrando este tópico e brevemente postarei outro me expressando melhor, pois acho que a culpa foi minha mesmo de não formular a pergunta correta.

Agradeço a todos que colaboraram neste tópico e até uma próxima, abraços a todos.

johnnybe · Nov 20, 2011, 6:13 PM

@vhugojr:

E ai meu caro Jhonnybe, após realizar alguns testes, realmente ir liberando determinados serviços https me ajudou, mas surgiu um problema que ainda não consegui resolver. Ao bloquear a porta https, não consigo logar no msn, nem pelo windows live messenger, mas se eu desabilito essa regra, ele loga normalmente, vc poderia me ajudar nesse procedimento, pois preciso liberar o msn para determinados ip´s.

Esse tutorial Bloquear e liberar HTTPS no pfSense vai ajudar bastante para o que você pretende. Há uma Nota2, após o passo nº.5 do tutorial, que contém informações sobre esse procedimento para liberar apenas determinados IPs.

vhugojr · Nov 21, 2011, 6:59 PM

Ok Jhonnybe, eu vi o tutorial e vou testar aqui, e depois posto pra dizer o resultado, obrigado pela força.

amaica · Mar 9, 2012, 1:17 AM

Ola vhugojr conseguiu liberar o msn/hotmail? eu também barrei o https foi uma otima solução, mas não consigo liberar o site do hotmail e msn…ja fiz uma busca no site "Hurricane Electric Internet Services" peguei todos os networks do hotmail....e nada.

marcelloc · Mar 9, 2012, 1:24 AM

Procure por um documento da Microsoft que informa os hosts que são utilizados no msn e hotmail.

Ele já foi postado aqui no forum e tenho certeza que o Google também pode ajudar. ;)

No alias, inclua o nome dos hosts que você encontrar.

Att,
Marcello Coutinho

amaica · Mar 9, 2012, 11:44 AM

mas alguem passou por esse problema?

felipeortega · Mar 9, 2012, 12:03 PM

:-[ Neste mesmo post já postei o link da Microsoft mostrando portas e urls utilizadas, mas vou passar uma lista mais atualizada que a anterior que eu postei http://support.microsoft.com/kb/2027572 .

marcelloc · Mar 9, 2012, 12:35 PM

Valeu Felipe pelo link.

A dificuldade é somente com os hosts que tem *.alguma.coisa. Cadastre todos os outros hosts(sem o https://) e veja se funciona.

amaica · Mar 9, 2012, 6:21 PM

Fiz um aliase com os hosts que estão na lista da microsoft acima exceto os com o *. alguma coisa…e liberei https para este aliase...a pagina do hotmail abriu mas nao o msn. Obrigado a todos.

amaica · Mar 9, 2012, 6:46 PM

Funcionou beleza pessoal revisei os hosts…da minha parte ta resolvido
Abraço

amaica · Mar 12, 2012, 10:02 PM

Ola pessoal to precisando de uma dica, não consigo liberar no firewall o site "wwws.cnpq.br " , será que é por causa do "wwws"? pesquisei no http://bgphe.net/ a network do site mas ele não libera.