Quienes administramos redes sabemos de lo complicado que es que los usuarios de la misma respeten el area laboral e utilicen el internet para lo que realmente es, trabajar, en lugar de eso nos obligan a crear restricciones en el area de trabajo para bloquearles accesos a aplicaciones de descargas de musica, paginas de porno o otros programas que utilizan para saltarse esos bloqueos, vaya en pocas palabras: lo que sea necesario para no trabajar…
Ejemplos:
Ultrasurf y TOR
Ok, en en realidad apoyo el uso de esas aplicaciones, ya que no fueron creadas con el fin de que los huevones no trabajaran sino para que gente de países donde hay accesos a internet mas controlados consigan acceder a contenido que pueda cuestionar la autoridad del gobierno.
Como funcionan esas 2 aplicaciones? muy sencillo, utilizando el puerto 443 que es el del https crean un túnel y un proxy local en su maquina que redirecciona todo mediante el puerto 9666 (si, tiene el numero de la bestia) y permite al usuario pasarse por el arco del triunfo todo el bloqueo. NO BLOQUEEN EL 9666 EN EL PROXY, ese puerto se crea localmente en la maquina donde esta el ultrasurf.
Ahora bien en mi trabajo estoy comenzando a implementar DANSGUARDIAN y SQUID y uno de mis problemas fueron las 2 aplicaciones que he comentado, buscando en el internet encontré respuestas tan chifladas sobre como bloquear estas dos aplicaciones: impide el uso de https a todas las direcciones excepto a las que tu digas…. en pocas palabras si hacen eso tendrían que dar permisos manuales a cada dirección https que sus usuarios visiten… no gracias tengo mas de 800 usuarios y no me convence…. otros era conseguir la lista completa de servidores tor y de Ultrasurf…. Saben cuantos servidores hay en en la red TOR???? ahora multiplicándolo por la cantidad de aplicaciones de ese tipo es absolutamente… irreal al menos para el trabajo de solo una persona.
Respuesta mas sencilla:
TOR y ULTRASURF funcionan de la siguiente manera: mediante el puerto 443 o https crean un túnel PERO no utilizan nombres de dominio es decir, google.com.mx o youtube.com sino 74.125.227.17 o 74.125.95.93 en pocas palabras usan una ip… dansguardian tiene la opción para no permitir el acceso de enlaces mediante la ip. donde?? en las listas de dansguardian entren a el archivo bannedsitelist y descomenten:
#*ips
es decir:
*ips
Reinicien dansguardian y listo.
Existen otras opciones, para mi en mi trabajo no hay acceso a paginas únicamente con la ip así que me funciona y obtengo el resultado deseado:
Se, TOR no pasa de ahi… (-)
Saludos!!!
Es malvado doctor… malvaaaaaaaaaaado….
la verdad es que habia detectado muchos usuarios con ese tipo de programas pero de plano ya se la bañaron con el uso de ancho de banda so… se cierra el chorro.
Muchas gracias por el dato, no estoy seguro si alguien en mi LAN use alguna de esas mañas, pero es bueno saber cómo evitarlo.
Sin embargo, yo encontré una respuesta que no requiere dansguardian, con squid es más que suficiente:
#1) Se crea una acl en squid para que reconozca cualquier IP
acl ip url_regex [[:digit:]]{1,3}.[[:digit:]]{1,3}.[[:digit:]]{1,3}.[[:digit:]]{1,3}
fuente:
http://robertobecerra.com/?p=366 acá lei que squid utiliza el motor de expresiones regulares GNU regex
y
http://www.cyberciti.biz/faq/grep-regular-expressions/ tomé la expresión regular de la IP
Despues de creada esta acl, se la deniego:
http_access deny ip
Obviamente, esto se debe reforzar con las politicas de IPtables (denegar todo excepto 22,80,8080,3128,10000 en INPUT) para que el resultado sea el esperado.
Es correcto, pero en aquel entonces dansguardian lo utilizaba como un filtro de paginas web y resultaba mas sencillo realizarlo mediante sus listas,
¿Pero squid no es un filtro de paginas web (proxy caché)?
No, Squid guarda en cache (en el disco duro y la memoria) las paginas que mas visitan tus usuarios de acuerdo a lo que tu configures, en mi caso guardaba todas las imágenes para que la petición la cubriera el proxy, es decir la petición no sale a Internet si visitan un sitio mas de 2 veces, bastante útil para sitios como Yahoo que atiborran de imágenes toda su web, Obviamente también mediante ese método puedes bloquear puertos de salida pero no filtrado de contenido a detalle. Ahora si quisieras agregar un filtrado de contenido gratuito tendrías que agregar dansguardian que te permite bloquear con listas predefinidas, es decir hay listas como por ejemplo las de http://urlblacklist.com/ que te permiten fácilmente bloquear sitios de publicidad o de porquerías que únicamente consumen ancho de banda.
respetar el area laboral mis bolas te pasas de riata por pendejos como tu existen hacekrs que te hacen el trabajo imposible
salu2 gemelo de mi culo
Alguien tiene problemas con bloqueos a paginas no es así? =) Hackers usando ultrasurf? pfff jajaajaja buen día.
Jajajaja ni a crackers llegan Doctor, buen aporte y saludos de Zacatecas 🙂
esta esta mejor
http://www.maravento.com/2013/03/firewall.html
Son soluciones muy diferentes, en algo no estoy de acuerdo únicamente, el filtrado mediante IP’s regularmente los ISP grandes hacen movimientos en sus direcciones publicas constantemente (cuando hay ataques, para balancear cargas, etc, etc,,,) por lo que podría ser un poco tedioso.
Por eso yo proponía en aquel entonces (2010) mediante dansguardian prohibir la salida que no sea a nombres de dominio. Aunque actualmente no administro una red y seria difícil dar mi opinión al día, creo que lo ideal seria contar con una solución (no necesariamente de paga) que actualice automáticamente su lista negra/blanca para evitar todo el proceso de estar validando IP’s constantemente.
Disculpa, sabes si tu solución sigue vigente?
He leido esta serie de post y es bastante completa.
http://www.maravento.com/2013/03/firewall.html
http://www.maravento.com/2013/03/firewall-ii.html
http://www.maravento.com/2013/06/firewall-iii.html
Probablemente no, tiene demasiado tiempo, te recomendaría crear un laboratorio para que lo validaras, pero de que ayuda ayuda.
Gracias por la info.
Es correcto. Y el articulo remite a este portal para los que quieran consultar tu método, que es muy bueno también
Felicitaciones. La idea es tener muchas armas para combatir el mismo mal
Mientras haya acceso a la red siempre puedes tener internet gratis sin problemas, solo depende de que tantos conocimientos informáticos tengas sobre eso. Los administradores deben entender que sus acciones son inútiles y que solo hacen enojar más a sus trabajadores, por tal motivo deben prepararse para sus consecuencias.
Por ejemplo en mi caso robo información de mi empresa y la vendo al mejor postor (siempre hay idiotas de otras empresas dispuestos a pagar grandes de cantidades de dinero por esa basura). Mis compañeros me piden a cada rato que tumbe el sistema para no trabajar Entro a la pc de administrador remotamente y le cambio su password de administrador a cada rato. Sin mencionar que puedo hackear directamente el router de la empresa, cambiarle el password de administrador y quitarle todos sus bloqueos que hagan y navegar perfectamente. Es divertido ver como los empresarios gastan tanta cantidad de dinero en programas de bloqueo, en torpes administradores de redes, un montón de tiempo y todo eso, Cuando los empleados pueden pasarse todo eso gratuitamente y en menos tiempo si saben como hacerlo. Yo si fuese empresaria les diría, pueden ver todo lo que quieran, pero eso si, entreguen el trabajo a tiempo. Con eso todos seria felices. No entiendo la mentalidad castrante de algunos empresarios de no permitir nada. En el trabajo solo trabajas un 30% del tiempo, el resto es platicar con los compañeros de trabajo. y sinceramente escuchar las platicas de los compañeros cuando no tienes nada que hacer es aburridisimo, prefiero estar jugando un juego, revisando mi facebook, chateando con amigas o ver películas o algo más en lo que llega algo que tenga que hacer.
Una cosa que deberían hacer todos los que están tratando de bloquear a sus trabajadores, es darse un tiro en la cabeza, el mundo seria un mejor lugar sin ustedes.
Lo siento mucho señor empresario, a mi me gusta irme a dormir en el trabajo, jugar juegos online, ver vídeos, chatear con mis amigas mientras ando allá y me gusta disfrutar del internet gratis al que tengo derecho solo por ser trabajadora del lugar. Una nueva era se aproxima y las personas obreras no serán más esclavas, lo siento señor empresario pero ahora usted es mi esclavo y le guste o no le guste, este de acuerdo o no, me va a tener que mantener quiera o no. Así que más le vale ofrecerme un buen servicio de internet, o si no prepararse para que su empresa quede en la bancarota. Amo estos nuevos tiempos.
jajajajaja cada gente loca en este mundo… ardido.. como los chhuahuas.. entre mas ladran es por que no hacen nada… y el que tanto presume es por que todo lo carece…
uy si uy si!! un parasito(a) hacker! pobre haz de ser la excepcion, el 90% de las mujeres y mas las de oficina apenas y saben encender la computadora. Y si se les bloquea es por que les pagan por desquitar un sueldo no para ir a rascarse su ediondo queso. Asi que Natalie seas hombre o mujer tus argumentos solo demuestran tu pobre integridad, en la vida nada es gratis y tus pobres conocimientos de hackers son los que un niño de secundaria ha leido en taringa. suerte parasito.
g8 b8 m8
Hola estimado.
Agradezco el que haya publicado esta alternativa dr.modding
Una pregunta. Para hacer esto el proxy tendría que dejarse como NO transparente y tendría que configurarse en cada browser?
Lo pregunto ya que en mi caso hay gran cantidad de portátiles que frecuentemente salen y complicaría a ellos esa configuración
Saludos
Yo no veo ningún problema en que lo hicieras, pero has pruebas porque el manual ya es muy antiguo.