Vulnerabilidad de pfsense (navegación anónima)
-
Sres. tengo un problema con pfsense, necesito bloquear la posibilidad que tienen los usuarios de utilizar un proxy alternativo como los que aparecen en este link http://proxy.org/proxies_sorted.shtml o mas importante aun que no puedan utilizar alguna aplicación como generadora de tuneles.
Me refiero a utilizar por ejemplo una aplicacion como real tunnel u otro similar. -
Como los métodos empleados para hacer navegación anónima pueden ser variopintos no hay una medida de seguridad al 100%.
Puede que algún cortafuegos de los que hay en el mercado tenga algo específico para esto, pero no lo conozco.
Estoy en un centro educativo y este es un problema que se da… Para minimizarlo hay que:
1. No autorizar puertos de salida que no sean estrictamente necesarios. Un caso típico son los túneles por SSH. Pues bien, mis usuarios no necesitan para nada hacer SSH en Internet. Pues no dejar salir a TCP 22, etc. Sólo dejo ir a TCP 80, 443, TCP/UDP 53 (bueno, de hecho, ni a este porque resolvemos dentro)...
2. Obligar al uso de un proxy (squid) NO transparente con filtros (squidGuard) que permitan denegar dominios como los de la lista que das así como palabras en la URL que contengan proxy, hideip y similares... Digo NO transparente porque de lo contrario no puedes detectar las URL cuando se usa HTTPS (TCP 443).
3. Impedir mediante squid+squidGuard la descarga de programas (denegar extensiones .exe, dominios de descarga populares...)
4. Auditar periódicamente cuáles son los dominios más habituales por parte de los usuarios. Hay herramientas de análisis para squid que lo hacen automáticamente. De esta forma se pueden actualizar las reglas de squidGuard.
Bueno, ya ves que el tema tien miga...
-
Estaba pensando que también puedes emplear http://www.opendns.com/
-
Más cosas que se quedaron en el tintero:
Informar a los usuarios que la navegación anónima puede suponer una amenaza para su seguridad. El servicio usado puede estar recabando datos de todo lo que haga… http://en.wikipedia.org/wiki/Anonymizer
Confeccionar normas de uso de los sistemas informáticos y ponerlas en conocimiento de todos los usuarios.
Son cosas que ayudan...
-
Ok, tratare de seguir tus consejos para minimizar aquella desventaja por lo visto la tienen practicamente todos los firewalls porque incluso lo he comprobado con firewall basado en hardware no recuerdo la marca pero lo he visto en mas de una empresa.
-
Hola, yo lo he conseguido con:
squidguardian (lista gratuita:http://www.shallalist.de/; categoria: redirector: deny) –> se acabaron los "proxies anónimos"
Por ejemplo:
Shalla Secure Services
Requested entry proxyanonimo.es was
found in /redirector/domains : proxyanonimo.es
Un saludo.
-
Estas listas son de pago según dónde se usen:
http://www.shallalist.de/licence.html
También hay otras bastante completas, de pago. Por ejemplo:
http://urlblacklist.com/?sec=download
Yo empleo las de la Universidad de Toulouse, que son de libre distibución. Con modificaciones nuestras…
http://cri.univ-tlse1.fr/blacklists/
Siempre hay que ir auditando qué pasa y obrar en consecuencia.
Ok, tratare de seguir tus consejos para minimizar aquella desventaja por lo visto la tienen practicamente todos los firewalls porque incluso lo he comprobado con firewall basado en hardware no recuerdo la marca pero lo he visto en mas de una empresa.
Habría que ver hasta donde llegan estos equipos… y su precio. A mi me pusieron un BlueCoat por Real Decreto. Lento, caro y dependiente de la Base de Datos remota de BlueCoat, a pagar cada año. El resultado es que está apagado y squid+squidGuard funcionan de maravilla.