elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Sistemas Operativos
| |-+  GNU/Linux (Moderador: MinusFour)
| | |-+  IPCop: Bloquear HTTPS con discriminacion
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: IPCop: Bloquear HTTPS con discriminacion  (Leído 17,373 veces)
[u]nsigned


Desconectado Desconectado

Mensajes: 2.397

JS/Node developer


Ver Perfil WWW
IPCop: Bloquear HTTPS con discriminacion
« en: 25 Enero 2013, 13:08 pm »

Hola, en mi trabajo se me ha pedido que configure un proxy-router para bloquear ciertas paginas web. El mismo es el gateway de toda la lan.

El problema es bloquear tambien la navegacion segura con HTTPS (por ejemplo Facebook). Se que hay una solucion con IPTABLES, pero por desgracia la misma se aplica a toda la RED y lo que yo necesito es que se puedan discriminar algunas IP, es decir que algunos usuarios si puedan entrar y otros no...alguien sabe si esto es posible con IPCop?

Uso la version 1.4.21 dado que con la 2.x hay muchos problemas para instalar add-os tales como URL filter.

MUchas gracias por leer!

Saludos


En línea

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!
alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: IPCop: Bloquear HTTPS con discriminacion
« Respuesta #1 en: 25 Enero 2013, 17:28 pm »

iptables tiene targets para eso!
no todos los selectores consisten en el protocolo, puedes combinar varios selectores de protocolo con selectores de rangos de ips para conseguir lo que quieras.

el objetivo en si mismo no es un reto en absoluto. el reto aqui es comprender como funciona iptables si eres nuevo en su utilizacion, cosa que ya quedaria fuera del tema de este hilo.



En línea

Back 2 business!
[u]nsigned


Desconectado Desconectado

Mensajes: 2.397

JS/Node developer


Ver Perfil WWW
Re: IPCop: Bloquear HTTPS con discriminacion
« Respuesta #2 en: 25 Enero 2013, 17:52 pm »

Gracias por responder. El tema es que quiero ahcerlo con algo mas sofisticado, porque dia por medio me van a ir pidiendo agregar o sacar IP's y no da andar tocando tanto las reglas de iptables, por eso queria saber si existe algun add-ons o directamente alguna distro capas de ahcer esto...SME Server ya lo prove y tampoco me sirve..

Saludos
En línea

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!
alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: IPCop: Bloquear HTTPS con discriminacion
« Respuesta #3 en: 25 Enero 2013, 18:06 pm »

Gracias por responder. El tema es que quiero ahcerlo con algo mas sofisticado, porque dia por medio me van a ir pidiendo agregar o sacar IP's y no da andar tocando tanto las reglas de iptables, por eso queria saber si existe algun add-ons o directamente alguna distro capas de ahcer esto...SME Server ya lo prove y tampoco me sirve..

Saludos

yo en tu lugar, y dado que te piden proxy (doy por sentado que vas a usar squid), buscaria en la documentación de squid como añadir listas negras, que no es una cosa muy ompleja y permite cambiarse con frecuencia y sin tanta complejidad como iptables.

como lo ves?
En línea

Back 2 business!
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.637


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: IPCop: Bloquear HTTPS con discriminacion
« Respuesta #4 en: 25 Enero 2013, 18:20 pm »

la única manera de hacerlo es por la resolución de las dns.

Es lógico que ipcop (o cualquier otro sistema) no pueda filtrar https, puesto que va cifrado y no ve lo que hay, y si no lo veo no lo puedo filtrar.

Pero cuando entras a https://facebook.com haces igualmente una petición dns para resolver el dominio facebook, así que en el servidor dónde esté instalado ipcop y añades una entrada al /etc/hosts Fichero archivo HOSTS en Linux

Código:
facebook.com 0.0.0.0

Lógicamente las dns del los clientes deben usra el servidor ipcop, si usan sus propias dns entonces se podrán saltar el filtro.

También puedes crear una regla para bloquear todo el tráfico https, pero entonces tampoco podrán entrar a bancos, etc.

También podráis bloquear por las ips que usa facebook, pero recuerda que usa varias y seguramente irá añadiendo:


    66.220.144.0 - 66.220.159.255
    69.63.176.0 - 69.63.191.255
    69.171.224.0 - 69.171.255.255
    204.15.20.0 - 204.15.23.255


66.220.144.0/20
69.171.224.0/20
204.15.20/22


69.63.176.0/20,
69.63.184.0/21,
204.15.20.0/22,
204.74.66.0/24,
204.74.67.0/24,
66.220.152.0/19

http://bgp.he.net/dns/facebook.com#_ipinfo
http://whois.arin.net/rest/net/NET-173-252-64-0-1/pft

¿Usas algún Addon?

Mira algunos de los addons de IpCop:

http://sourceforge.net/apps/trac/ipcop/wiki/Addons
« Última modificación: 25 Enero 2013, 18:42 pm por el-brujo » En línea

alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: IPCop: Bloquear HTTPS con discriminacion
« Respuesta #5 en: 25 Enero 2013, 18:28 pm »

la única manera de hacerlo es por la resolución de las dns.

Es lógico que ipcop (o cualquier otro sistema) no pueda filtrar https, puesto que va cifrado y no ve lo que hay, y si no lo veo no lo puedo filtrar.


hombre, iptables, puerto de destino 443... drop ... y ya haces algo bastante apañao!

y de todos modos si la capa SSL esta encima de la TCP, podemos discriminar el trafico por destino! ¿no?
« Última modificación: 25 Enero 2013, 18:32 pm por alist3r » En línea

Back 2 business!
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.637


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: IPCop: Bloquear HTTPS con discriminacion
« Respuesta #6 en: 25 Enero 2013, 18:43 pm »

si, pero bloquear  todo el tráfico https no es la solución, si luego quierer entrar a un banco o cualquier otro sitio que use https no podrá.

La única manera de filtrar https es bloquear por dns, o bloquear por ip, o si usas algún addon que filtre por categorías de webs (pero filtran también por dns).
En línea

alister


Desconectado Desconectado

Mensajes: 513


Ver Perfil
Re: IPCop: Bloquear HTTPS con discriminacion
« Respuesta #7 en: 25 Enero 2013, 18:52 pm »

si, pero bloquear  todo el tráfico https no es la solución, si luego quierer entrar a un banco o cualquier otro sitio que use https no podrá.

La única manera de filtrar https es bloquear por dns, o bloquear por ip, o si usas algún addon que filtre por categorías de webs (pero filtran también por dns).

si, tienes razon.

si va a usar un proxy cache, configurar una buena listita negra no es tan dificil, y es lo que vengo diciendo desde el principio. yo apostaria por esa solucion.

PD: los rangos de IP de facebook enteros:
66.220.144.0 - 66.220.159.255
69.63.176.0 - 69.63.191.255
204.15.20.0 - 204.15.23.255
« Última modificación: 25 Enero 2013, 18:55 pm por alist3r » En línea

Back 2 business!
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
bloquear puertos con IPCOP
GNU/Linux
pedraxito 5 7,371 Último mensaje 12 Enero 2015, 16:00 pm
por dperez_admin
IPCop 2.0.0 anunciado
Noticias
wolfbcn 0 2,659 Último mensaje 24 Septiembre 2011, 23:31 pm
por wolfbcn
y mi post? DISCRIMINACION ABSURDA..
Sugerencias y dudas sobre el Foro
franquito2 9 6,315 Último mensaje 21 Febrero 2014, 01:29 am
por xaps
#WeAreN, el hashtag contra la discriminación religiosa
Noticias
wolfbcn 0 1,450 Último mensaje 5 Agosto 2014, 02:24 am
por wolfbcn
CV ciego: ¿Una medida capaz de acabar con la discriminación laboral? « 1 2 »
Foro Libre
El_Andaluz 10 6,288 Último mensaje 18 Julio 2017, 08:56 am
por buite
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines