Bloquear facebook pero permitir whatsapp



  • Buenas a todos en este foro.
    Antes de empezar a comentar mi problema pongo a su disposición los siguientes datos:

    Tengo la encomienda de hacer en la empresa un bloqueo a redes sociales como twitter, youtube, facebook, instagram a un grupo de personas (vendedores).

    Pero necesito que todos tengan acceso a whatsapp (directores, vendedores, clientes).

    He probado con squidguard pero no me hace el bloqueo de https

    Con opendns sería un bloqueo global por lo tanto todos los usuarios de la LAN se quedarían sin whatsapp

    He probado con el bloqueo mediante el ASN:

    http://networktools.nl/asinfo/facebook.com

    
    whois -h whois.radb.net -- '-i origin AS32934' | awk '/^route:/ {print $2;}' | sort | uniq
    

    Y eso es genial pero me bloquea whatsapp.

    Y ni hablar de aplicar el bloqueo por ASN a youtube, porque me bloquea hasta los DNS de google.

    Cada integrante en la empresa tiene un equipo ya sea portátil (laptop) o de escritorio y un móvil (android, win phone, ios) por lo que no esta en las opciones poner el paso obligatorio de todos los equipos a través de un proxy (NO TRANSPARENTE) ya que también tenemos invitados (clientes) los cuales tendrán acceso a todo.

    Mi ISP es UNINET (Telmex) MÉXICO.

    Tengo unas IPS reservadas para unos equipos ethernet y wifi.

    Tengo un pool de ips para el resto de equipos, que por lo general son invitados y algunos vendedores que hacen cambio de teléfonos los cuales los proporciona la empresa.

    Les dejo un gráfico de como está actualmente y como debería quedar nuestra LAN.

    Actualmente se encuentra así la LAN porque solo he hecho pequeñas pruebas creando grupos y alias dentro de pfsense incluyendo en este grupo de restringidos un teléfono para hacer las pruebas. Pero como son cosas que no prosperaron, las he deshecho.

    ACTUALMENTE:

    DESEADA:

    La red no puede quedar restringida por acceso por MAC address por el constante acceso de clientes.

    La idea es una vez se tenga el esquema listo (el plan de como quedará estructurada la LAN y con sus respectivas pruebas), se van a inventariar todas las MAC address de los equipos de la empresa y se van a asignar a IPS reservadas y estas a su vez estarán ligadas a la restricción, para que todo aquel equipo extra llegado a la red pueda gozar de no tener restricciones.

    En su momento pensé en el uso de VLAN para los restringidos aplicando una regla por ASN pero quedamos igual respecto al acceso a whatsapp.

    ¿Que opción recomiendan en este caso, recordando que no se debe ir configurando manualmente equipo por equipo porque la gran mayoría son portátiles y móviles, estos equipos viajan a agencias y hoteles en donde hacen uso de sus respectivas asignaciones dinámicas?

    Espero que todo esto que digo no les resulte engorroso, pero como el post llamado recomendaciones al postear pide que explique con detalle.

    Muchas gracias por tomarte la molestia de leer hasta este punto.

    Saludos.



  • @Wynztech:

    Yo hace tiempo que uso OPNsense en lugar de pfSense pero imagino que se podra hacer igual.

    Sigue este tutorial y listo, tendras lo que pides.

    https://docs.opnsense.org/manual/how-tos/ips-sslfingerprint.html

    Hola buenas tardes..

    Espero no llegar tarde.
    lo que debes tener en consideración es:

    1.- usar certificados para poder filtlar Https.  debes de instalar una entidad certificadora local o en su caso comprar un certificado de entidad de raiz.

    2.- reglas en el firewall para bloquear IPs de acceso a internet. (para que solo salgan las personas que deseas)

    3.- Proxy ya sea transparente o no transparente. (yo recomiendo no transparente), instalar squid guard o crear tus reglas personalizadas.

    4.- claro hacer MITM para filtrar el trafico https.

    deber de tener en cuenta que al crear certificados autofirmados desde pfsense debes instalarlo en cada cliente que se conecte a la red (omitir en caso de usar proxy Transparente), pero si tuvieses un servidor de directorio activo podrias intalarlos en automatico desde ahi a todos las maquinas de dominio.

    podrias mandar las configuraciones de tu pfsense. para tratar de ayudarte ya que es un tema demasiado extenso es toda una solucion.



  • Hola buenas tardes..

    Espero no llegar tarde.
    lo que debes tener en consideración es:

    1.- usar certificados para poder filtlar Https.  debes de instalar una entidad certificadora local o en su caso comprar un certificado de entidad de raiz.

    2.- reglas en el firewall para bloquear IPs de acceso a internet. (para que solo salgan las personas que deseas)

    3.- Proxy ya sea transparente o no transparente. (yo recomiendo no transparente), instalar squid guard o crear tus reglas personalizadas.

    4.- claro hacer MITM para filtrar el trafico https.

    deber de tener en cuenta que al crear certificados autofirmados desde pfsense debes instalarlo en cada cliente que se conecte a la red (omitir en caso de usar proxy Transparente), pero si tuvieses un servidor de directorio activo podrias intalarlos en automatico desde ahi a todos las maquinas de dominio.

    podrias mandar las configuraciones de tu pfsense. para tratar de ayudarte ya que es un tema demasiado extenso es toda una solucion.

    1.-
    ¿La entidad certificadora local me desplegara en los navegadores ese molesto anuncio que el acceso no es seguro cada que quiero ingregar a algún sitio con HTTPS?

    En caso de comprar un certificado de entidad raíz ¿Que precio tiene? ¿Dudo mucho que me autoricen la compra del certificado porque precisamente he usado puro deshecho para armar el PC en donde está instalado el pfsense. Por el momento no tenemos para invertir en un certificado de entidad raíz.

    2.-
    No deseo bloquear el acceso a Internet, solo necesito bloquear algunos sitios (la mayoría son redes sociales) para algunas personas (vendedores). El resto de las personas (altos mandos y clientes) deberán tener acceso total a internet, aunque los clientes no deberán tener acceso a recursos como impresoras etc., pero eso será otro asunto que atenderé después. Ahora lo que me importa es ver de que manera puedo bloquear el acceso a facebook pero permitir el acceso a whatsapp.

    3.-
    No es viable el no transparente por lo mismo de la visita de nuestros clientes, no es viable configurar cada teléfono de cada cliente que llegue a la empresa.
    Probé con squidguard pero no filtra el acceso https
    Las reglas personalizadas no funcionan porque facebook posee muchos servidores en los cuales también hostean los servicios de whatsapp y comparten la misma ip. Si hago una consulta por nslookup me puede brindar una cantidad X de ips pero tiempo después esas direcciones se renovaran y el bloqueo ya no será efectivo.
    El bloqueo por ASN es super efectivo pero me bloquea todo lo relacionado con facebook como empresa llamese: Facebook, Whatsapp, Instagram.
    El bloqueo de youtube por ASN me pareció un chiste al ver que si aplico la regla me iba a bloquear todo lo relacionado con Google.
    Probando con los DNS de OpenDns hacen bloqueo parejo de redes sociales por lo tanto whatsapp también estará bloqueado.

    4.-
    Para hacer lo de MITM debo hacer primero lo del paso 1 ¿cierto?

    Saludos compañero y muchas gracias por el apoyo que me estás brindando.



  • bueno para filtar Https necesitas Si o Si un certificado ..  si solo deseas bloquear facebook entonces yo me enfocaria a ssl_bump

    no apareceria el error molesto que indicas pero simplmente apareceria error en la conexion en facebook



  • hola,

    yo tengo todo bloqueado por Rules LAN, bloque todo lo que sea redes sociales  y Youtube.

    para bloquear o no whatsapp  tengo una regla donde aplico los puertos que este utiliza 5222/4 y listo.

    saludos



  • Eso suena excelente, pero en el caso de whatsapp web ¿Como se procede?
    ¿Como lograste bloquear todo lo que sea redes sociales incluyendo youtube?

    Saludos.



  • Hola, yo tengo implementada (mas o menos) la solución que estás buscando (a excepción del bloqueo de whatsapp, donde yo si lo aplico).
    Te comparto una captura de las reglas que creé en la interfaz LAN.

    Necesitas:
    1. Asignarle IP fija a las direcciones MAC con privilegios.
    2. Crear un alias para apuntar a las IP con privilegios.
    3. Crear un alias para la lista de redes que vas a bloquear.

    En tu caso, solo eliminarías la regla de bloqueo de Whatsapp.

    Si vas a combinar con Squidguard, tienes que crear otro alias para las IPs con privilegios que se excluirán del Squid (bypass proxy).



Log in to reply