Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Vulnerabilidad de pfsense (navegación anónima)

    Scheduled Pinned Locked Moved Español
    7 Posts 3 Posters 3.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      vvicencio
      last edited by

      Sres. tengo un problema con pfsense, necesito bloquear la posibilidad que tienen los usuarios de utilizar un proxy alternativo como los que aparecen en este link http://proxy.org/proxies_sorted.shtml o mas importante aun que no puedan utilizar alguna aplicación como generadora de tuneles.
      Me refiero a utilizar por ejemplo una aplicacion como real tunnel u otro similar.

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        Como los métodos empleados para hacer navegación anónima pueden ser variopintos no hay una medida de seguridad al 100%.

        Puede que algún cortafuegos de los que hay en el mercado tenga algo específico para esto, pero no lo conozco.

        Estoy en un centro educativo y este es un problema que se da… Para minimizarlo hay que:

        1. No autorizar puertos de salida que no sean estrictamente necesarios. Un caso típico son los túneles por SSH. Pues bien, mis usuarios no necesitan para nada hacer SSH en Internet. Pues no dejar salir a TCP 22, etc. Sólo dejo ir a TCP 80, 443, TCP/UDP 53 (bueno, de hecho, ni a este porque resolvemos dentro)...

        2. Obligar al uso de un proxy (squid) NO transparente con filtros (squidGuard) que permitan denegar dominios como los de la lista que das así como palabras en la URL que contengan proxy, hideip y similares... Digo NO transparente porque de lo contrario no puedes detectar las URL cuando se usa HTTPS (TCP 443).

        3. Impedir mediante squid+squidGuard la descarga de programas (denegar extensiones .exe, dominios de descarga populares...)

        4. Auditar periódicamente cuáles son los dominios más habituales por parte de los usuarios. Hay herramientas de análisis para squid que lo hacen automáticamente. De esta forma se pueden actualizar las reglas de squidGuard.

        Bueno, ya ves que el tema tien miga...

        1 Reply Last reply Reply Quote 0
        • belleraB
          bellera
          last edited by

          Estaba pensando que también puedes emplear http://www.opendns.com/

          1 Reply Last reply Reply Quote 0
          • belleraB
            bellera
            last edited by

            Más cosas que se quedaron en el tintero:

            Informar a los usuarios que la navegación anónima puede suponer una amenaza para su seguridad. El servicio usado puede estar recabando datos de todo lo que haga… http://en.wikipedia.org/wiki/Anonymizer

            Confeccionar normas de uso de los sistemas informáticos y ponerlas en conocimiento de todos los usuarios.

            Son cosas que ayudan...

            1 Reply Last reply Reply Quote 0
            • V
              vvicencio
              last edited by

              Ok, tratare de seguir tus consejos para minimizar aquella desventaja por lo visto la tienen practicamente todos los firewalls porque incluso lo he comprobado con firewall basado en hardware no recuerdo la marca pero lo he visto en mas de una empresa.

              1 Reply Last reply Reply Quote 0
              • Z
                Zas
                last edited by

                Hola, yo lo he conseguido con:

                squidguardian (lista gratuita:http://www.shallalist.de/;  categoria: redirector: deny)  –> se acabaron los "proxies anónimos"

                Por ejemplo:

                Shalla Secure Services

                Requested entry proxyanonimo.es was

                found in /redirector/domains : proxyanonimo.es

                Un saludo.

                1 Reply Last reply Reply Quote 0
                • belleraB
                  bellera
                  last edited by

                  Estas listas son de pago según dónde se usen:

                  http://www.shallalist.de/licence.html

                  También hay otras bastante completas, de pago. Por ejemplo:

                  http://urlblacklist.com/?sec=download

                  Yo empleo las de la Universidad de Toulouse, que son de libre distibución. Con modificaciones nuestras…

                  http://cri.univ-tlse1.fr/blacklists/

                  Siempre hay que ir auditando qué pasa y obrar en consecuencia.

                  Ok, tratare de seguir tus consejos para minimizar aquella desventaja por lo visto la tienen practicamente todos los firewalls porque incluso lo he comprobado con firewall basado en hardware no recuerdo la marca pero lo he visto en mas de una empresa.

                  Habría que ver hasta donde llegan estos equipos… y su precio. A mi me pusieron un BlueCoat por Real Decreto. Lento, caro y dependiente de la Base de Datos remota de BlueCoat, a pagar cada año. El resultado es que está apagado y squid+squidGuard funcionan de maravilla.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.