1.Conexão/2.Furos no proxy/3.Monitoramento



  • Boa noite

    1. Estou utilizando o pfsense 2.3.3-RELEASE-p1 com proxy transparente (Filtrando tanto HTTP quanto HTTPS (Com certificado instalado nas estações)). Referente a filtragem e navegação esta tudo funcionando bem o meu problema esta na conexão da estação.
    As maquinas navegam na internet, porém, o icone de rede apresenta um triangulo amarelo com a mensagem: "Sem acesso a internet". Gostaria de saber se alguem ja passou por isso e se sim, se possuem alguma ideia do que pode estar causando isto.
    Pode parecer coisa besta (de certo modo até é pois a maquina navega) mas toda hora eu recebo chamado falando sobre esta bendita ocorrência e ja esta exaustivo ter de ir de setor em setor falar sempre a mesma coisa (temos algo em torno de 140 maquinas por aqui). Se alguém souber o que esta causando isto ou já teve uma experiencia similar fico grato.

    Observações adicionais:

    • Estou com o antivirus do squid desabilitado

    • Tenho configurado no windows server o serviço de DNS e DHCP. Ambos funcionando bem (aparentemente).

    • As maquinas que estao registradas no bypass do proxy não apresentam este problema.


    2. Outro ponto que gostaria de levantar é referente aos meios para burlar a filtragem do proxy.
    Tenho alguns usuários mais ligeiros por aqui e eles costumam acessar sites como: https://www.proxysite.com/pt/ para conseguir acesso a alguns sites que não deveriam (Como por exemplo o youtube). Temos um link limitado de 8Mbps por aqui e quando todas as maquinas estão em uso fica um inferno conseguir navegação. Só agora que o proxy/firewall foi implementado que deu uma melhorada. Porém, sempre tem aqueles que querem acessar tudo sem nem ao menos saber o prejuizo que isto causa e por conta disto vira e mexe tem alguem acessando o youtube. Eu vou adicionando sites desse genero na blacklist e evitando o acesso, porém, cedo ou tarde vao começar a utilizar VPNs em .exe e ai vai complicar ainda mais a situação. Alguem sabe uma forma de evitar que isso aconteça?
    Tem como verificar o fluxo de dados e caso passe por outro caminho que não seja o proxy a conexão nao seja estabelecida?
    Aceito sugestões.


    3. Para finalizar… Alguem tem algum pacote que me permita monitorar o trafego e vistoriar os sites que estão sendo acessados em tempo real? Eu achei um pelo pfsense mesmo, chamado: ntopng. Procuro algo similar a ele. Ele tem quebrado um galho mas se alguem souber de uma ferramenta melhor para este serviço eu ficaria muito grato.

    Agradeço desde já  :D



  • Vamos lá.

    1. Acredito que o erro aconteça pelo fato de tu não ter configurado nas estações o IP do pfsense como DNS primário.

    2. Vá adicionando esses sites na lista de bloqueio. A questão das vpns que são instaladas nas máquinas e a questão de tu ter uma politica de segurança que não deixa o usuário comum instalar nada sem autorização da T.I. No teu AD tu pode criar GPOs pra bloquear instalações de softwares, etc.

    3. O proprio squid e squidguar/e2guardian fazem isso automatico. Deve ter uma aba de nome "Tempo Real/Real Time". O ntopng também é bom pra isso. Tu pode dar uma olhada também no squidanalyzer.



  • @empbilly:

    Vamos lá.

    1. Acredito que o erro aconteça pelo fato de tu não ter configurado nas estações o IP do pfsense como DNS primário.

    2. Vá adicionando esses sites na lista de bloqueio. A questão das vpns que são instaladas nas máquinas e a questão de tu ter uma politica de segurança que não deixa o usuário comum instalar nada sem autorização da T.I. No teu AD tu pode criar GPOs pra bloquear instalações de softwares, etc.

    3. O proprio squid e squidguar/e2guardian fazem isso automatico. Deve ter uma aba de nome "Tempo Real/Real Time". O ntopng também é bom pra isso. Tu pode dar uma olhada também no squidanalyzer.

    1. Eu uso o serviço DNS do Windows Server que tenho configurado e isto começou a acontecer recentemente. Mas vou realizar o teste e dou um feedback caso solucione o problema.

    2. Certo, vou fazendo isso. Quanto as VPNs… Já tem diretiva que nao permita que o usuario instale nada na estação, porém, aqui é uma escola e os alunos costumam trazer notebook e plugar cabos RJ nas entradas disponiveis e ai eles navegam fora do dominio e é ai que eu perco o controle.

    3. Eu até cheguei a dar uma olhada na aba Real Time mas achei ela muito simples. Gostaria de uma ferramenta um pouco melhor que me permitisse filtrar os dados e tudo mais. Algo como o Wireshark (ta ai uma boa solução, me passou agora pela cabeça). Vou dar uma olhada no squidanalyzer, vlw.



  • 1. ok

    2. O ideal em um "ambiente ideal" é que pontos de rede que não tenham equipamentos, estejam inativos. E se não me engano, esses softwares de vpn podem utilizar a 443 e ate um método diferente chamado obfuscator. Fica bem difícil tu bloquear isso.

    3. ok



  • NewPR quanto ao ícone de rede com alerta pode ocorrer somente pelo fato de a estação não conseguir pingar na internet. Esse é o teste de conectividade que o Windows faz pra testar se está com acesso a Internet.

    Se você está com o Squidguard habilitado, ele possui listas que bloqueiam sites de Proxy e VPN e funcionam muito bem.



  • Sobre a pergunta 1. Se o teste de conectividade que o windows faz, não estiver liberado no firewall, ele vai marcar a conexão como "sem internet"

    Ignore o erro ou monitore o que o windows faz pra testar a conectividade e libere o acesso.

    Sobre a pergunta 2. Habilitando o filtro de ssl e utilizando o e2guardian, você consegue bloquear o conteúdo da página. Só de habilitar o filtro de ssl, você já mata a grande maioria dos "pula proxy" desde que não tenha outras portas abertas no fw que a ferramenta possa usar.

    Sobre a pergunta 3, A aba tempo real  mostra o log do squid e nela é possível filtrar. De qualquer forma, você ainda pode acessar o log direto pela console e fazer seus filtros.



  • @andrefreire:

    NewPR quanto ao ícone de rede com alerta pode ocorrer somente pelo fato de a estação não conseguir pingar na internet. Esse é o teste de conectividade que o Windows faz pra testar se está com acesso a Internet.

    Se você está com o Squidguard habilitado, ele possui listas que bloqueiam sites de Proxy e VPN e funcionam muito bem.

    Então, eu estou com o squidguard desabilitado porque quando eu habilito ele começa a chover erro de certificado nas maquinas. Com ele off tudo funciona bem é só ligar que acontece isso.



  • @marcelloc:

    Sobre a pergunta 1. Se o teste de conectividade que o windows faz, não estiver liberado no firewall, ele vai marcar a conexão como "sem internet"

    Ignore o erro ou monitore o que o windows faz pra testar a conectividade e libere o acesso.

    Sobre a pergunta 2. Habilitando o filtro de ssl e utilizando o e2guardian, você consegue bloquear o conteúdo da página. Só de habilitar o filtro de ssl, você já mata a grande maioria dos "pula proxy" desde que não tenha outras portas abertas no fw que a ferramenta possa usar.

    Sobre a pergunta 3, A aba tempo real  mostra o log do squid e nela é possível filtrar. De qualquer forma, você ainda pode acessar o log direto pela console e fazer seus filtros.

    1. Show, vou verificar isto. Talvez haja alguma regra no firewall que esteja bloqueando o protocolo ICMP e talvez este seja o problema. Um dos professores daqui implementou algumas regras la e talvez esta esteja inclusa.

    2. Certo.

    3. Eu verifiquei aqui e vi que da para fazer isso. Achei bacana. Mas a ferramenta ntopng é bem mais completa e tem me ajudado pra caramba. Fica ai a recomendação da ferramente. Basta instalar ela pelo gerenciador de pacotes do pfsense.