Restringir acceso a páginas https con proxy transparente

Forums: 

Hola,

Alguna herramienta para bloquear accesos a páginas https, utilizo squid el problema es que al configurar en modo transparente con la opción del man-in-the-middle sale el error del certificado en la máquinas clientes y ahora google ha bloqueado completamente el acceso con esto opción.

Tengo alrededor de 200 pc, 50 laptops y unos 40 celulares. Por esta razón es necesario que sea en modo transparente ya que configurar proxys en laptops y celulares le complica la vida a los usuarios.

Alguna idea

Muchas gracias

es muy delicado y peligroso

Imagen de falcom

es muy delicado y peligroso lo q estas haciendo, salvo q tengas el consentimiento de tus users/autoridades... es demasiado delicado..
[quote]WARNING: {X} HTTPS was designed to give users an expectation of privacy and security. Decrypting HTTPS tunnels without user consent or knowledge may violate ethical norms and may be illegal in your jurisdiction. Squid decryption features described here and elsewhere are designed for deployment with user consent or, at the very least, in environments where decryption without consent is legal. These features also illustrate why users should be careful with trusting HTTPS connections and why the weakest link in the chain of HTTPS protections is rather fragile. Decrypting HTTPS tunnels constitutes a man-in-the-middle attack from the overall network security point of view. Attack tools are an equivalent of an atomic bomb in real world: Make sure you understand what you are doing and that your decision makers have enough information to make wise choices.[/quote]
te recomiendo mirar otras opciones, te puedes cargar un problema legal enorme!

Cita:

Imagen de falcom

[quote]pues claro hay varias alternativas, aca una de las tantas
http://www.ecualug.org/2012/05/23/comos/centos6_%C2%BFc%C3%B3mo_bloquear_facebook_con_iptables
aunque en centos 5x no funciona...
otra forma es metiendo en tu iptables esto

iptables -I FORWARD -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j DROP
iptables -I FORWARD -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j DROP
iptables -I FORWARD -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j DROP
iptables -I FORWARD -p tcp -m iprange --dst-range 204.74.64.0-204.74.127.255 --dport 443 -j DROP
iptables -I FORWARD -p tcp -m iprange --dst-range 69.171.224.0-69.171.255.255 --dport 443 -j DROP
iptables -I FORWARD -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.254 --dport 443 -j DROP
iptables -I FORWARD -p tcp -m iprange --dst-range 173.252.64.1-173.252.127.254 --dport 443 -j DROP

otra alternativa es aplicando layer 7 en tu kernel (la mas segura y limpia)
en fin...[/quote]

Ese bloqueo lo hace Google

Imagen de deathUser

Ese bloqueo lo hace Google Chrome desde cierta versión, usa otro browser o has el downgrade a la versión de Chorme que no tiene el bloqueo ;)

bye
;)

PD: Ojo con la nota de Falcom ...

Hola,

Hola,

Estuve revisando lo de bloquear por firewall facebook, pero me sucede algo curioso desde navegadores como chrome y firefox se bloquea el acceso https a facebook, pero desde internet explorer se puede navegar sin problemas.

Tengo instalado centos 6 y realicé los siguiente:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128
iptables -I FORWARD -p tcp -m string --dport 443 --string 'facebook' --algo kmp -j DROP
iptables -I FORWARD -s 192.168.1.10 -p tcp --dport 443 -m string --string 'facebook' --algo kmp -j ACCEPT

Le probé tanto con el algoritmo kmp como con el bm

Si me pueden ayudar muchas gracias

Será que estás probando en

Imagen de deathUser

Será que estás probando en Internet Explorer en la máquina con IP 192.168.1.10 ...??? :D ...

No debería pasar ya que el bloqueo es a nivel de paquetes (red) no de aplicación ...

bye
;)

Páginas