Como bloquear todas as portas HTTPS



  • Boa tarde amigos do fórum, eu dei uma pesquisada aqui no forum, mas nao encontrei nada específico como eu quero, pelo menos não consegui achar. Minha situação é a seguinte:

    • tenho um servidor pfsense 2.0 com proxy transparente e gostaria de bloquear a porta https - 443 - para toda a rede interna, e depois ir desbloqueando determinados serviços que utilizam essa porta, como bancos por exemplo. Como devo criar a regra lah no Firewall. Agradeço desde já pela ajuda.


  • É preciso ter cuidado na criação de regras de bloqueio HTTPS se o acesso à GUI do pfSense também é HTTPS.
    É melhor checar essa configuração em System: Advanced: Admin Access para não cometer um erro e bloquear seu acesso
    à interface de configuração
    . Por isso existe a Anti-Lockout Rule. Então, muita atenção nos seus passos.

    Se você fizer uma pequena adaptação à esse Tutorial (link abaixo), seguindo o passo 2 do tutorial, talvez você consiga o que pretende. Se você ler atentamente o tutorial, acredito que até mesmo a adaptação da criação de aliases no passo 1 pode ajudar:
    http://www.nextsense.com.br/blog/archives/402

    Importante: Lembre-se que o efeito das regras é sempre aplicado no sentido de cima para baixo. Então certifique-se da posição dessa nova Regra em relação às outras Regras na LAN.

    E mais um alerta: antes de qualquer alteração, sempre é recomendável fazer um backup:
    http://forum.pfsense.org/index.php/topic,42641.msg220382.html#msg220382



  • Para ser mais explícito, as regras na LAN devem ficar parecidas com a imagem anexa abaixo.
    Mas vou chamar novamente atenção para suas configurações em System: Advanced: Admin Access. Muita atenção à Anti-Lockout Rule.

    Obs: Usando Squid transparente funciona.




  • Otimo, jhonnybe, consegui bloquear o https, agora seguindo o seu tutorial ao contrario, vou desbloqueando os serviços https necessários na rede. Obrigado mais uma vez pela ajuda, abraços.



  • E ai meu caro Jhonnybe, após realizar alguns testes, realmente ir liberando determinados serviços https me ajudou, mas surgiu um problema que ainda não consegui resolver. Ao bloquear a porta https, não consigo logar no msn, nem pelo windows live messenger, mas se eu desabilito essa regra, ele loga normalmente, vc poderia me ajudar nesse procedimento, pois preciso liberar o msn para determinados ip´s.



  • Saudações vhugojr,

    Cara, seguinte, sei que existem um monte de sites que usam potocolo HTTPS que a gente não gostaria dos usuarios utilizando eles em nossa rede, por exemplo alguns servidores alguns proxys que a galera usa por ai…porém, tem muita coisa extremamente util que esta mudando para HTTPS por questões de segurança, por causa de encriptação e bla bla bla.

    Assim sendo, deixo apenas uma idéia pra vc avaliar, será que vale mesmo a pena bloquear TODOS os sites HTTPS, ou fazer um levantamento dos que vc não quer, e usar uma regra de firewall com um alias para um bloqueio mais específico?



  • @vhugojr:

    E ai meu caro Jhonnybe, após realizar alguns testes, realmente ir liberando determinados serviços https me ajudou, mas surgiu um problema que ainda não consegui resolver. Ao bloquear a porta https, não consigo logar no msn, nem pelo windows live messenger, mas se eu desabilito essa regra, ele loga normalmente, vc poderia me ajudar nesse procedimento, pois preciso liberar o msn para determinados ip´s.

    Eu acho que o msn nao esta logando por conta do squid.

    Da uma olhada nos logs do squid.

    Se o msn estiver indo para https, o impspector morre de vez.



  • :D
    Prezado @vhugojr realmente ao fechar todas as conexões HTTPS acaba rolando um stress básico. Segue um link que na época me ajudou bastante só liberar o necessário que o MSN logara normalmente.

    http://support.microsoft.com/kb/960820/pt-br



  • Pois é meu caro renkx, eu até pensei nisso, mas existe alguns clientes que realmente, sempre tem aquele funcionario espertinho que consegue acessar algum serviço não autorizado pelo https, por isso resolvi tomar essa atitude de bloquear todos os serviços e ir desbloqueando só o necessário. Só que, por experiência própria, realmente as vezes fica enviavel, pois toda hora vai ter alguem do cliente me ligando pra desbloquear um ou outro serviço que eles precisarem. Realmente vou pensar seriamente em deixar tudo liberado os https, e ir criando aliases para bloquear serviços indesejáveis como redes sociais e mensageiros. Por enquanto agradeço a dica abraço.



  • @vhugojr:

    Pois é meu caro renkx, eu até pensei nisso, mas existe alguns clientes que realmente, sempre tem aquele funcionario espertinho que consegue acessar algum serviço não autorizado pelo https, por isso resolvi tomar essa atitude de bloquear todos os serviços e ir desbloqueando só o necessário. Só que, por experiência própria, realmente as vezes fica enviavel, pois toda hora vai ter alguem do cliente me ligando pra desbloquear um ou outro serviço que eles precisarem. Realmente vou pensar seriamente em deixar tudo liberado os https, e ir criando aliases para bloquear serviços indesejáveis como redes sociais e mensageiros. Por enquanto agradeço a dica abraço.

    Descordo 100% com essa atitude de não bloquear porque dá trabalho.

    Trazendo para o mundo real, você está dizendo que desconsidera a possibilidade de trancar seu carro porque toda vez que fosse abrir ou fechar você teria o trabalho de usar a chave enquanto o ladrão não precisaria dela para te furtar o bem.

    É triste ver administradores de firewall fazendo isso.



  • @marcelloc:

    @vhugojr:

    Pois é meu caro renkx, eu até pensei nisso, mas existe alguns clientes que realmente, sempre tem aquele funcionario espertinho que consegue acessar algum serviço não autorizado pelo https, por isso resolvi tomar essa atitude de bloquear todos os serviços e ir desbloqueando só o necessário. Só que, por experiência própria, realmente as vezes fica enviavel, pois toda hora vai ter alguem do cliente me ligando pra desbloquear um ou outro serviço que eles precisarem. Realmente vou pensar seriamente em deixar tudo liberado os https, e ir criando aliases para bloquear serviços indesejáveis como redes sociais e mensageiros. Por enquanto agradeço a dica abraço.

    Descordo 100% com essa atitude de não bloquear porque dá trabalho.

    Trazendo para o mundo real, você está dizendo que desconsidera a possibilidade de trancar seu carro porque toda vez que fosse abrir ou fechar você teria o trabalho de usar a chave enquanto o ladrão não precisaria dela para te furtar o bem.

    É triste ver administradores de firewall fazendo isso.

    E a polêmica está lançada!  :D

    Oras bolas! Se dá trabalho, ótimo pra quem realiza o trabalho. O custo é de quem paga, quem realiza ganha o seu pão de cada dia.
    Deixa dar trabalho, desde que tenha ficado bem claro o propósito da regra criada e sua extensão (por escrito e assinada por ambas as partes). Se alguém chamar para liberar isso ou aquilo, que pague pelo chamado extra. Pode chamar dez vezes! Vinte é melhor.  ;D

    Afinal, quem é o Admin da Rede? O patrão?

    Patrão - "Quero que libere tudo que é software de bate-papo para o pessoal da diretoria e da administração direta."
    Admin da rede - "Yes, Sir… mas veja que..."
    Patrão - interrompendo - "Faça o que pedi!!!"
    Admin da rede - intimidado - "Yes, Sir!"

    Dois dias depois "alguém da diretoria" confessa que pegou um vírus depois de fazer download de um arquivo via MSN.
    E o patrão chama o Admin da Rede:

    Patrão - "Porque você não me avisou que isso poderia pegar vírus? Bloqueia tudo e só deixa eu. E tira o vírus da máquina! Não vou pagar o serviço porque você não me avisou!"

    ::)



  • Ok aceito a crítica construtiva, realmente eu teria uma boa resposta para essa sua afirmação que dizendo que é "triste ver adminstradores agirem deste jeito …", mas realmente não estou aqui para discutir como se deve ou não ser um administrador de redes, estou neste fórum apenas para sanar minhas duvidas técnicas em relação a configuração do pfsense. Agradeço a dica, mas estarei encerrando este tópico e brevemente postarei outro me expressando melhor, pois acho que a culpa foi minha mesmo de não formular a pergunta correta.

    Agradeço a todos que colaboraram neste tópico e até uma próxima, abraços a todos.



  • @vhugojr:

    E ai meu caro Jhonnybe, após realizar alguns testes, realmente ir liberando determinados serviços https me ajudou, mas surgiu um problema que ainda não consegui resolver. Ao bloquear a porta https, não consigo logar no msn, nem pelo windows live messenger, mas se eu desabilito essa regra, ele loga normalmente, vc poderia me ajudar nesse procedimento, pois preciso liberar o msn para determinados ip´s.

    Esse tutorial Bloquear e liberar HTTPS no pfSense vai ajudar bastante para o que você pretende. Há uma Nota2, após o passo nº.5 do tutorial, que contém informações sobre esse procedimento para liberar apenas determinados IPs.



  • Ok Jhonnybe, eu vi o tutorial e vou testar aqui, e depois posto pra dizer o resultado, obrigado pela força.



  • Ola vhugojr conseguiu liberar o msn/hotmail? eu também barrei o https foi uma otima solução, mas não consigo liberar o site do hotmail e msn…ja fiz uma busca no site "Hurricane Electric Internet Services" peguei todos os networks do hotmail....e nada.



  • Procure por um documento da Microsoft que informa os hosts que são utilizados no msn e hotmail.

    Ele já foi postado aqui no forum e tenho certeza que o Google também pode ajudar. ;)

    No alias, inclua o nome dos hosts que você encontrar.

    Att,
    Marcello Coutinho



  • mas alguem passou por esse problema?



  • :-[ Neste mesmo post já postei o link da Microsoft mostrando portas e urls utilizadas, mas vou passar uma lista mais atualizada que a anterior que eu postei http://support.microsoft.com/kb/2027572 .



  • Valeu Felipe pelo link.

    A dificuldade é somente com os hosts que tem *.alguma.coisa. Cadastre todos os outros hosts(sem o https://) e veja se funciona.



  • Fiz um aliase com os hosts que estão na lista da microsoft acima exceto os com o *. alguma coisa…e liberei https para este aliase...a pagina do hotmail abriu mas nao o msn. Obrigado a todos.



  • Funcionou beleza pessoal revisei os hosts…da minha parte ta resolvido
    Abraço



  • Ola pessoal to precisando de uma dica, não consigo liberar no firewall o site "wwws.cnpq.br " , será que é por causa do "wwws"?  pesquisei no http://bgphe.net/ a network do site mas ele não libera.



  • olhando o log de acesso,

    O site wwws.cnpq.br redireciona para www.cnpq.br e ainda faz uma chamada para www.google-analytics.com

    Libera os tres hosts.

    att,
    Marcello Coutinho



  • ainda neste tema voces saberiam me dizer a que hosts o skype se conecta..para mim poder libera - lo?



  • @amaica:

    ainda neste tema voces saberiam me dizer a que hosts o skype se conecta..para mim poder libera - lo?

    Ate onde testei ele faz conexão ponto a ponto via 443 como os clientes o que exige https liberado.



  • Obrigado….vou estudar uma maneira


Log in to reply