Filtro por Aplicação - Aplicativos Smartphones
-
Prezados, boa tarde!
Por gentileza se alguém puder me ajudar. Há hoje no mercado com PfSense, alguma solução para Filtro de Conteúdo para bloquear Não somente Sites (URL´s), mas também por aplicação, aos usuários que acessam uma rede WiFI Corporativa, por exemplo, bloquear o Instagram, Facebook, etc?
Obrigado desde já!
-
@felipepipers A única solução que encontrei foi bloquear os IP´s dos servidores destes aplicativos.
-
@felipepipers said in Filtro por Aplicação - Aplicativos Smartphones:
Por gentileza se alguém puder me ajudar. Há hoje no market com PfSense, alguma solução for Filter of Conteúdo for block Não some Sites (URL´s), mas também for application, aos usuários that acessam uma red WiFI Corporative, by exemplo, block o Instagram, Facebook, etc?
squid-proxy
-
@hugoeyng Opa.. Primeiramente obrigado pela tua ajuda. Então, esses IP´s não são dinâmicos? Se não, onde pego a lista: Grato.
-
@silence obrigado pela ajuda. No Pacote do Squid
Guard, tem essa função? -
@felipepipers Olá
Existem categorias pré-definidas no SquidGuard.O problema é que por elas você bloqueia para toda a rede e as vezes a gente quer liberar para uns e não para outros.
É bem possível que com mais conhecimento se consiga limitar apenas para grupos de usuários, mas daí foge do meu alcance. Acredito que não seja possível limitar por grupos usando proxy transparente.
-
@felipepipers Segue uma lista de redes do FB. Não sei o quanto está atualizada. Mas é possível encontrar na net.
31.13.24.0/21
31.13.64.0/19
31.13.64.0/18
31.13.85.16
31.13.85.71
31.13.96.0/19
66.220.0.0/16
66.220.128.0/19
66.220.144.0/20
69.63.176.0/20
69.63.184.0/21
69.171.0.0/16
69.171.192.0/18
69.171.224.0/19
69.171.248.65
74.119.76.0/22
103.4.96.0/22
173.252.64.0/19
173.252.64.0/18
173.252.96.0/19
173.252.102.241
204.15.20.0/22 -
@felipepipers said in Filtro por Aplicação - Aplicativos Smartphones:
@silence obrigado pela ajuda. No Pacote do Squid
Guard, tem essa função?As aplicações têm usado a porta 443, o que significa que o proxy pode bloquear.
Vou usar como exemplo o teamviewer.O teamviewer usa a porta 5938 TCP (se não me engano).
Apenas bloquear essa porta não bloqueia o teamviewer.
Portanto, indo no proxy e bloqueando o acesso ao domínio teamviewer.com resolve.O problema que você estaria fazendo interceptação SSL (MITM), e isso por si só pode te causar diversos outros problemas.
Mesmo usando a função *splice all que não checa o payload, apenas verifica o cabeçalho, já é suficiente para quebrar algumas aplicações.
-> * correção de split all para splice all.
-
@mcury Certo entendi.... Então nesse caso pelo que estou vendo, ou é o Squid, pois o PfBlocker pelo que já usei, neste cenário não atua bem, OU então outro tipo de Firewall.
-
@hugoeyng Ok Obrigado!
-
@felipepipers said in Filtro por Aplicação - Aplicativos Smartphones:
@mcury Certo entendi.... Então nesse caso pelo que estou vendo, ou é o Squid, pois o PfBlocker pelo que já usei, neste cenário não atua bem, OU então outro tipo de Firewall.
Em relação a bloqueio por DNS, isso também não está fácil hoje em dia..
Pois celulares estão usando o DOH (DNS over HTTPs), e DOT (DNS over TLS).Para bloquear o DOT, basta bloquear a porta 853 dos celulares para a Internet.
Em relação ao DOH, recomendo que você dê uma pesquisada, pode ser que consiga dessa maneira, mas como tem muito tempo que não faço isso, prefiro que você faça uma pesquisa nova pois posso estar desatualizado.
Mas quando eu fiz isso, eu precisei habilitar o TLD no DNSBL, e incluir listas de DOH, mas não sei realmente se as listas estão atualizadas, ou até mesmo se esse procedimento ainda é valido... -
@mcury ótima aula rsrs.. muito obrigado. Vou tentar. Abs
-
@felipepipers said in Filtro por Aplicação - Aplicativos Smartphones:
@mcury ótima aula rsrs.. muito obrigado. Vou tentar. Abs
De nada amigo...
Isso acontece pois o proxy faz a conexão pelo cliente, portanto quebrando a cadeia SSL, que tem como fundamento a conexão direta cliente > servidor.
Mesmo usando splice all (que verifica o cabeçalho SNI - Server name indication), o proxy ainda faz a conexão pelo cliente e isso já é suficiente para quebrar alguns sites, como de bancos por exemplo, incluindo algumas aplicações e sites de governo.Em relação ao DNS, isso não acontece, mas tem os outros problemas que citei acima.
O squid bem configurado, com bypass bem feito, sendo usado como proxy explícito com uso de arquivo .PAC, funciona, mas a configuração está longe de ser trivial, e precisa de bastante ajustes.
Mas isso não serve para redes wifi, imagina configurar .PAC nos celulares, ou até mesmo configurar manualmente cada um deles....
Proxy transparente vai quebrar um monte de coisas também, é pior ainda no caso de celulares.Outras pessoas têm tido sucesso usando um pacote não oficial, é um proxy chamado e2guard, eu nunca testei então não posso falar muito, mas pelo que venho lendo, alguns usuários conseguem fazer os bloqueios sem demais problemas.
Eu pessoalmente tentaria fazer pelo pfblockerng... Boa sorte amigo.
-
@mcury Certo, vou seguir tua dica, tentando primeiramente pelo PfBlockerNG versão Devel. Grato
-
@mcury Aproveitando tua dica, já achei um material com explicação básica sobre o assunto que tu falou, a fim de ajudar mais pessoas que virem esse tópico. https://www.cloudflare.com/pt-br/learning/dns/dns-over-tls/
-
@felipepipers said in Filtro por Aplicação - Aplicativos Smartphones:
@mcury Aproveitando tua dica, já achei um material com explicação básica sobre o assunto que tu falou, a fim de ajudar mais pessoas que virem esse tópico. https://www.cloudflare.com/pt-br/learning/dns/dns-over-tls/
Boa, obrigado por compartilhar, enriquece o tópico pros demais