[opensuse-es] Problema con flitrado de HTTPS en Squid
Hola amigos, tengo un problema con el filtrado de paginas de mensajeria en squid (uso el Squid 3.0 en openSUSE 11), el filtro de paginas funciona macanudo, hasta que un payasito le agrega la "s" al http:// , por ejemplo al http://www.meebo.com, lo tengo bloqueado pero cuando lo ponen como https://www.meebo.com, se pasea el filtro, al igual que con el imo.im, alguien encontro una solucion a esto?, por lo pronto el imo ya lo tengo bloqueado pero a la mala con una regla DROP en el firewall, el problema es con el meebo que tiene como 20 ips y al parecer las cambian cada cierto tiempo... Agradezco su ayuda... Saludos -- Aland Laines Calonge Tecnico en Informatica -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Aland Laines escribió:
Hola amigos, tengo un problema con el filtrado de paginas de mensajeria en squid (uso el Squid 3.0 en openSUSE 11), el filtro de paginas funciona macanudo, hasta que un payasito le agrega la "s" al http:// , por ejemplo al http://www.meebo.com, lo tengo bloqueado pero cuando lo ponen como https://www.meebo.com, se pasea el filtro,
Es el comportamiento esperado, http://wiki.squid-cache.org/SquidFaq/AboutSquid#head-593dae4b6b740816917a6cc...
al igual que con el imo.im, alguien encontro una solucion a esto?, por lo
Cambiar politicas de red draconianas quizas ? -- "A computer is like an Old Testament god, with a lot of rules and no mercy. " Cristian Rodríguez R. Platform/OpenSUSE - Core Services SUSE LINUX Products GmbH Research & Development http://www.opensuse.org/
Saludos.
Usa algo como esto en tu ACL:
acl msn_servers url_regex -i "/etc/squid/msn_servers"
Y la aplicas con algo como (antes de tus ACLs de CONNECT por si acaso):
http_access deny msn_servers losDeaPie
Donde "losDeaPie" es tu acl que identifica a quienes vas a bloquear.
En /etc/squid/msn_servers, pones un dominio por linea asi:
areamessenger.com
communicationtube.net
e-messenger.net
easymessenger.net
ebuddy.com
emessenger.cl
flick.im
iloveim.com
imessengr.com
imhaha.com
imo.im
imunitive.com
jooce.com
kkurok.com
koolim.com
mabber.com
mangeloo.com
meebo.com
messengerfx.com
mijnmessenger.nl
mister-i.com
mmclient.com
msn2go.com
msnger.com
radiusim.com
sinmessenger.com
toksta.com
wbmsn.net
webmessenger.msn.com
Como ves, he tenido mucho tiempo para perder buscando a donde van los
usuarios a chatear cuando el messenger se bloquea. Seguramente hay uno
que otro server/domino que se me escapa de la lista, asi que si
detectas mas, son bienvenidos a mi lista. Contrario a lo que varios
colisteros puedan pensar, bloquear MSN es muy requerido por las
empresas y no solo es cuestion de fastidiar a los usuarios.
Hasta la proxima.
Carlos.
2008/9/30 Aland Laines
Hola amigos, tengo un problema con el filtrado de paginas de mensajeria en squid (uso el Squid 3.0 en openSUSE 11), el filtro de paginas funciona macanudo, hasta que un payasito le agrega la "s" al http:// , por ejemplo al http://www.meebo.com, lo tengo bloqueado pero cuando lo ponen como https://www.meebo.com, se pasea el filtro, al igual que con el imo.im, alguien encontro una solucion a esto?, por lo pronto el imo ya lo tengo bloqueado pero a la mala con una regla DROP en el firewall, el problema es con el meebo que tiene como 20 ips y al parecer las cambian cada cierto tiempo...
Agradezco su ayuda...
Saludos
-- Aland Laines Calonge Tecnico en Informatica -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 1/10/08, Carlos Martinez escribió:
Contrario a lo que varios colisteros puedan pensar, bloquear MSN es muy requerido por las empresas y no solo es cuestion de fastidiar a los usuarios.
Completamente de acuerdo. Además de que permitir esas cosas (clientes de mensajería instantánea o salas de "chat" en entornos windows) a los usuarios, sin ningún tipo de control, supone un riesgo de seguridad :-/. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-10-01 a las 15:20 +0200, Camaleón escribió:
El 1/10/08, Carlos Martinez escribió:
Contrario a lo que varios colisteros puedan pensar, bloquear MSN es muy requerido por las empresas y no solo es cuestion de fastidiar a los usuarios.
Completamente de acuerdo.
Además de que permitir esas cosas (clientes de mensajería instantánea o salas de "chat" en entornos windows) a los usuarios, sin ningún tipo de control, supone un riesgo de seguridad :-/.
Ampliar info, svp :-) - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkjjf+4ACgkQtTMYHG2NR9U/9wCgh3Dw2CNi2r+iJbi+gvfrFgza L0MAniCzXOfLBpmR3DnVulFsDoxGqdD+ =HLZ2 -----END PGP SIGNATURE-----
El 1/10/08, Carlos E. R. escribió:
El 2008-10-01 a las 15:20 +0200, Camaleón escribió:
Además de que permitir esas cosas (clientes de mensajería instantánea o salas de "chat" en entornos windows) a los usuarios, sin ningún tipo de control, supone un riesgo de seguridad :-/.
Ampliar info, svp :-)
Los clientes de mensajería, bajo windows especialmente, son un coladero. La noticia "sensacionalista" :-), aquí: *** La mensajería instantánea, un coladero para virus y troyanos http://www.elpais.com/solotexto/articulo.html?xref=20070813elpepunet_7&type=Tes&anchor=elpeputec *** No es más que otro canal de entrada para todo tipo de malware o incluso, y a nivel empresarial, robo de datos o acceso a información confidencial. El problema (aparte de los propios agujeros de seguridad de los programas) es que el usuario, con los clientes IM, no percibe la inseguridad de la misma manera que cuando navega, por ejemplo, por lo que resulta más vulnerable :-/ Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El día 1 de octubre de 2008 15:20, Camaleón escribió:
Además de que permitir esas cosas (clientes de mensajería instantánea o salas de "chat" en entornos windows) a los usuarios, sin ningún tipo de control, supone un riesgo de seguridad :-/.
No lo pongo en duda pero bien usado, un cliente de IM es una herramienta muy útil en una oficina. Al menos si la oficina es una fábrica de software. Yo estoy en sistemas, en mi oficina tenemos todos el skype y me es muy útil para comunicarme con esos entes extraños llamados "pogamadores" :O) -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 1/10/08, Quique escribió:
No lo pongo en duda pero bien usado, un cliente de IM es una herramienta muy útil en una oficina.
No lo pongo en duda. El problema no es el programa sino el usuario :-)
Al menos si la oficina es una fábrica de software. Yo estoy en sistemas, en mi oficina tenemos todos el skype y me es muy útil para comunicarme con esos entes extraños llamados "pogamadores" :O)
¿Skype? Huy, peor lo pones porque ese usa un protocolo propietario... quién sabe si no hay puertas traseras con filtraciones a terceras empresas con datos de vuestro software >:-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-10-01 a las 17:43 +0200, Camaleón escribió:
El 1/10/08, Quique escribió:
el skype y me es muy útil para comunicarme con esos entes extraños llamados "pogamadores" :O)
¿Skype? Huy, peor lo pones porque ese usa un protocolo propietario... quién sabe si no hay puertas traseras con filtraciones a terceras empresas con datos de vuestro software >:-)
Y como tengas una ip estable y con ciertas condiciones te conviertes en un nodo retransmisor sin pedirlo. Te aumenta el tráfico de internet sin que sea tuyo, porque lo usan para que los pobres usuarios con ip volatil y con routers no colaborantes en sus casas puedan hablar sin problemas. Por eso sólo me parece que fué que lo vetaron en las universidades francesas. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkjjnKAACgkQtTMYHG2NR9XaxwCdED7IzvRoktJTGF4IjYKSr/Hn 4cQAn3CGiy5UJx7vrV6LVkW1g17T9//8 =ybKV -----END PGP SIGNATURE-----
participants (6)
-
Aland Laines -
Camaleón -
Carlos E. R. -
Carlos Martinez -
Cristian Rodríguez -
Quique