23/03/12

Bloqueando o Facebook com Endian Firewall


Desde que comecei a escrever sobre o Endian Firewall, tenho recebido e-mails e comentários de incentivos pela iniciativa. Tenho recebido também pedidos de explicações de como solucionar determinados problemas. Então, como várias pessoas me pediram dicas de como bloquear o facebook com o Endian Firewall, decidi escrever sobre o assunto. Existem outras formas de se bloquear o facebook, mas por enquanto, desse jeito está funcionando.
Quando vamos bloquear o facebook, nos deparamos com um grande problema, o protocolo HTTPS.




O tráfego de dados utilizando o protocolo HTTPS é criptografado e por esse motivo o Endian Firewall não consegue identificar que site foi digitado pelo usuário permitindo assim a sua passagem. Os usuários mais experientes habilitam o protocolo HTTPS como padrão para a conexão com o facebook burlando assim a segurança do filtro de conteúdo.
Para contornar esse problema, vamos descer um pouco na camada OSI e vamos trabalhar com endereços de rede.

- Descobrindo as redes que atendem o facebook.

Para descobrir os endereços de rede do facebook, utilizei o bom e velho nslookup do Windows e em complemento a ele, utilizei o site http://www.kloth.net/services/nslookup.php. Fiz uma pesquisa utilizando os endereços facebook.com / fb.com / facebook.com.br / facebook.com.tw.
Analisando os resultados do site e do windows, pude perceber que o facebook atende pelas redes 66.220.0.0; 66.171.0.0; 69.220.0.0; 69.171.0.0; 69.63.0.0; 204.74.0.0; 208.93.0.0. Para esses endereços de rede a mascara a ser utilizada é a 255.255.0.0 ou /16.

- Implementando o bloqueio.

Acesse o Endian Firewall utilizando o endereço da interface verde no seu navegador. Assim que a tela principal abrir, acesse a aba firewall e o menu tráfego de saída.







Assim que a tela de configuração do firewall de saída for totalmente carregado, clique no link "adicionar nova regra de firewall".


Na opção origem tipo, selecione Zona / Interface e logo abaixo marque a opção verde.
Na opção destino tipo, selecione Rede / IP e logo abaixo preencha com os endereços de rede coletados com o comando nslookup e com o site. Lembrando de colocar o /16 no final de cada endereço. Dessa forma estamos especificando a mascara de sub-rede a ser utilizada.

Exemplo: 66.220.0.0/16

Na opção serviço, selecione "definido pelo utilizador".
Na opção protocolo, selecione "TCP + UDP".
Na opção porta de destino, digite 80 e 443.

80 - http
443 - https

Na opção política ação, selecione "bloquear".
No campo observação, escreva algo que lembre a função dessa regra. Exemplo: Bloqueando o Facebook.
Na opção posição, selecione uma posição que fique antes dos protocolos http e https.

Obs.: O firewall verifica as regras em seqüência, então, se você colocar essa regra depois de uma regra que libere os protocolos http e https, o bloqueio não funcionará, pois o firewall vai parar nas regras que liberam.

Para finalizar, clique no botão criar regra.

Você retornará para a tela da lista de regras. Clique no botão aplicar na caixa de diálogo verde que se abrirá no topo da tela.



Um grande abraço a todos e até o próximo post.


17 comentários:

DougSky disse...

kkkk to rindo muito...funcionou!!!!

DougSky disse...

Cara,esse bloqueio e foda mesmo os pc que tem acesso liberado tbm foram bloqueados...mas resolvi criando uma outra regra inversa..Vlw
Espero outras otima dicas como esta!!

Fernando Miranda disse...

Fala Doug, o que você tem que fazer é o seguinte. Crie uma regra que libera o acesso ao facebook a determinadas máquinas e coloque ANTES da regra que proibe.

Abraço.

Anônimo disse...

Man,

Eu fiz a mesma coisa ano passado. O problema é que os IPs do facebook (o qualquer site grande) podem mudar aleatoriamente. Foi o que aconteceu comigo.
Em duas semanas, os usuários ja estavam conseguindo acessar.
Continuo na luta atras de uma solução definitiva.

Anônimo disse...

Este tipo de bloqueio é apenas um paleativo que dura por pouco tempo, o correto é ter proxy autenticado no endian e bloquear via acls do squid ou contentfilter.

Fernando Miranda disse...

Realmente esse bloqueio é chato de se fazer e dá trabalho porque devemos estar sempre testando. No meu trabalho o bloqueio já está funcionando a 4 meses e não tenho tido problemas com acessos indevidos. Fiz o bloqueio via content filter e acl, mas quem estava usando o protocolo HTTPS estava furando esse bloqueio. Dando uma estudada nos IPs do Facebook, pude perceber que eles variam, mas sempre nas mesmas redes. O que fiz foi bloquear as redes atendidas pelo facebook. Deem uma olhada nos IPs e mascaras de sub-rede. E no mais é de vez em quando fuçar os logs e verificar atividades suspeitas.

Um grande abraço.

Anônimo disse...

Fernando, boa tarde,

No endian, quando eu ativo o proxy ele para de verificar o firewall???
Ou posso utilizar tanto o bloqueio de firewall quanto acl no filter content?

Fernando Miranda disse...

Pode usar ambos.

Euclides disse...

Boa tarde, amigo, eu crio a regra e aprlico pra blokear o face, mas as vezes ele blokeia ea s vezes nao
e quando habilito o proxy ele nao entra nem no uol.

Anônimo disse...

Há, obviamente, muito para saber sobre isso. Eu acho que você fez alguns bons pontos de recursos também. Continue trabalhando trabalho, ótimo!

Anônimo disse...

Excelente!!!!

BrunoOo disse...

Euclides, verifica se possui a regra de antivirus nas atividades de saída, passei por esse problema, removi ela e nada mais funcionava. nenhum site era acessado.

Jackson Vieira disse...

Quando usamos o proxy transparente podemos utilizar a lista de host e apontar o endereço do facebook para o endereço de loopback do endian, esse controle funciona através do serviço de dns, se o usuário for um "mala" e trocar o dns basta configurarmos o proxy dns que mesmo com um dns que não seja do endian o bloqueio irá funcionar....
Ótimo post, abraço!!!

Rodrigo Matos disse...

Bom dia pessoal,

Também utilizo o proxy transparente, no caso da porta 80 ele bloqueia no content filter do proxy, eu adiciono no filtro do proxy o facebook.com. ele bloqueia e faz logs, agora se o usuário colocar https "s" que indica a porta de segurança 443 ele já não filtra.

Segunda alternativa
Quando eu crio a regra no firewall, para que a origem Rede Local "verde" com destino Ip Facebook e ai eu busco todos os endereço Ips do Facebook e bloqueio eles, funciona, não acessa mais por algum tempo o facebook.

Porém agora surgiu um novo tipo de acesso, o usuário utiliza um software, como o UltraSurf, que através da porta 443 sai pra fora da rede e utiliza outro proxy, ele faz uma configuração de proxy no Navegador internet Explorer Apontando para a máquina local 127.0.0.1 na porta 9666, então fica tudo liberado, acessa normalmente o facebook e não faz logs no firewall.

Não posso bloquear a porta 443 para saída, alguém tem alguma alternativa para bloquear a nível de firewall estes proxy externos que alguns usuários. Mais "espertinhos" utilizam.

Desde já agradeço a todos, Valeu!

My space playlist disse...

migrei pro brfw!!

My space playlist disse...

depois de tanto sofrer com esse bloqueio migrei para o brfw!!

Eduardo Ranier disse...

Bom dia a todos,

Parabéns pelo ao autor do blog, certamente deve ajudar muitos que estão conhecendo o Endian, uma solução e tanto!

Bom vamos lá, irei dizer como eu fiz para resolver este "probleminha".

No proxy transparente não existe uma forma totalmente eficaz de bloquear ou liberar paginas HTTPS (facebook, bancos, e outros).

Porém com o proxy habilitado e com a opção NÃO TRANSPARENTE, ai a conversa muda, ele consegue realizar este filtro.
Feito essa configuração, lembre de ir no firewall e criar a seguintes regras:

Pegar o endereço MAC do ENDIAN e liberar TUDO para saída do ENDIAN. (apenas do Servidor ENDIAN!!).

Depois segue liberando as portas que necessita.

Só mais uma observação, NUNCA libere a porta 80 e 443 da rede VERDE para VERMELHA neste caso de proxy não transparente, pois assim, o usuário pode simplesmente desmarcar o proxy no navegador e navegar como se o ENDIAN não existisse.

E por último, criar uma regra bloqueando tudo (todos protocolos, todas as portas).