Como evitar acceso a proxy externos?



  • Hola,
    Después de tener todo mas o menos bien capado y en su sitio descubro que hay usuarios que acceden a web capadas en su caso facebook a través de web como estas: proxy.linki.es
    mas info: http://www.dacostabalboa.com/es/acceder-a-webs-bloqueadas-con-un-proxy-web/5978

    Como se puede evitar esto? Quitando el proxy transparente? o hay mas opciones?
    Salu2



  • Me ha tocado ver esos sitios, aunque pensadola bien, la unica manera de atacarlos es crear acl's, hablar con los jefes de lo que esta sucediendo, hacerles entender el riesgo de que los usuarios se estan brincando las politicas y que debe haber castigos severos, con su bendicion hacia ti x parte de  ellos.

    1ro Permitir solo paginas que sea requeridas para la empresa: bancos, gobierno, etc.
    2do crear grupos o departamentos y cada uno con sus respectivas url permitidas segun sea el caso.
    3ro El dueno de la empresa y otros que tu creas conveniente ser usuarios sin restricciones(incluido tu), nadie mas debe estar en este grupo.
    4to bloquea todo lo demas.
    5to Si crees necesario hasta por tiempos de navegacion puedes hacerlo.
    6to tu reglas del firewall debe solo permitir los puertos necesarios, lo demas cuello.

    Una vez hecho lo anterior, yo empezaria a monitorear los logs, y buscaria quien esta tratando de entrar a las paginas que tienes identificadas que usan esos sitios para ocultarse(aunque con las ACL no seran mas permitidas), ademas si no es necesario el facebook no lo dejes salir.

    El monitoreo constante te va a ayudar a detectar los tercos, ellos van a tratar x todos medios de brincarse, pero como ya tus ACL's estaran definidas, la bendicion de tus jefes, sancion a los necios, pueden hasta correrlos, con la informacion de la empresa no se juega.

    Saludos  ;D



  • Gracias por la respuesta,
    Pero mas o menos todo eso ya lo tengo implantado y funcionando, el problema es que al ser https no pasa por el proxy, la solución que he adoptado es la misma que para facebook por https, he creado un alias y lo he bloqueado con las reglas del firewall.
    El problema… no se cuantas paginas como estas podrá haber.
    Salu2



  • mmmm https, pero si tienes restricciones, no deberian llegar a esas paginas si tienes todo controlado x acl..!!!

    Cuantas paginas existen, millones que hacen eso…!!!

    Si tienes algun usuario X que sabes que usa alguna de los proxy que mencionas, podrias pasarnos la config del squid, el acl que aplica a ese usuario y la parte del access.log donde squid le de access o sea la url que esta accesando el usuario.

    Saludos!!!



  • A lo mejor en primer lugar no deberian poder alcanzar paginas como la que mencionas, (proxy.linki.es), y esto lo haces con blacklist usando squidguard o dansguardian integrados al squid. con el mismo pfsense se puede usando squid+squidguard



  • Tengo todo eso instalado, Squid + SquidGaurd, tengo la Common ACL con casi todo denegado, excepto 2 o 3 Targets, incluido el Target [blk_BL_redirector] que es el que usan los proxy externos como "proxy.linki.es" pero el problema del Squid Transparente es el no filtrado de las https y algunas paginas de proxy externos que tienen https, mi idea principal era bloquear estas paginas con el mismo sistema que se bloquea facebook por https y funciona, pero el problema es que hay muchísimas paginas de Web Proxy como podemos ver en http://proxy.org/cgi_proxies.shtml y claro trabajo es increible, entonces tengo que optar por dos opciones que creo que son las únicas que hay:

    1ª - No usar proxy transparente.
    2ª - Denegar todo el trafico https excepto el necesario, como algunas web de bancos,etc…

    Algún consejo o idea?

    Salu2



  • mansi estuve revisando este caso y tienes toda la boca llena de razon, en modo transparente estamos perdidos, por que? y no es squid si no pfsense.

    Cuando uno usa el modo transparente, pfsense genera un regla que redirecciona toda la comunicacion en el 80 hacia el puerto 3128 de squid, de ahi viene su modo transparente, pero nunca lo hace para el 443.

    En la v 1.2.3 se podia crear este regla para cualquier puerto, asi uno podia tener a squid sin modo transparente y atraves de nuestras reglas enrutabamos todo el trafico del puerto 80/443 hacia 3128, un modo transparente que funcionaba.

    Esto cambio en la v2.0x, ya que hasta la fecha e tratado, revisado el foro gringo, y anu no veo luz. Bueno esto es solo un poco de historia, en resumen en modo transparente estas frito vas  a tener que cambiarlo y apuntar tus navegadores a tu proxy.

    Lo unico bonito del modo transparente es que no tienes que cambiar tus navegadores uno x uno, pero esto solo lo haces 1 vez y listo.

    De modo no transparente al menos vas a tener mayor control de todo lo que cruza y es la unica manera de atacar el problema que tienes, solo tendras un regla que le permita a tus clientes comunicarse a el puerto 3128 y nada de 80/443 asi ellos tienen todo perdido, asi tengo mis proxies, y si los chistosos deshabilitan el proxy de sus navagadores no iran a ningun lado por que tu pfsense no tendra ninguna regla que permita la salida hacia los puertos 80/443.

    Y no vas a necesitar un ACL que bloquie todas las paginas de proxis publicos, ya que solo vas a permitir las paginas que tu digas y listo.

    Cualquier duda por aqui andamos, nos cuentas como te fue  :)



  • Hola, yo estoy en la misma situación hace buen tiempo, la solución es un poco compleja y todavía no la implementé, pero la probé virtualizada. Usar WPAD, que te permite una configuración más fácil para todos los equipos. La explicación está aca http://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid

    Saludos!



  • Português:
    Use o squid para liberar sites https que Voce conhece.
    Bloqueia tudo na lan e libera So o que Voce conhece.
    Use wpad para definir o proxy.

    Nao sei espanhol :(



  • Despues de muucho leer y analizar, me decidí por salir al exterior por lista blanca, es la forma más segura y es mucho más dificil de saltear que con un proxy transparente, en mi caso se puede aplicar porque no tienn que acceder a mas de 10 o 15 páginas. Saco al 95% del personal por proxy, y dejo sin proxy (por ahora) a los cargos más altos.



  • Acabo de ayudar a un amigo a configurar en su empresa un pfsense 2.0 con squid para control de accesos.

    El modo transparente solo funciona para el puerto 80, el 443 queda fuera y por ahi nos estaban pegando duro.

    Decidimos eliminar la opcion de modo transparente, y nos fuimos por el modo largo, no cambia mucho, una vez hecho esto ya no se hace nada del GUI todo por la consola, es lo bonito de Unix.

    Creamos grupos de ACL segun la estructura de la empresa, el whitelist lo usamos para sitios en comun para todos, de ahi seguimos x definir los acl para cada departamento.

    El tenia que accesar a web servers que no usaban puertos comunes como 7001, aqui tambien tuvimos que dar de alta ACL's que contenplaran esos puertos.

    En fin, hasta el momento todo esta operando, solo salen a paginas autorizadas por los ACL, no tuvimos que usar squidguard u otra utileria.

    Adios problema de los abusivos.

    Ya solo es cuestion de dar de alta el wpad, pero proxima semana quda listo ese, saludos!!!


Log in to reply