Usuário Burlando Servidor

sodomyzer
(usa Debian)

Enviado em 27/07/2012 - 15:26h

Olá pessoal, estou com um problema em minha rede que não sei como solucionar, na empresa em que trabalho vários usuários estão burlando o servidor proxy acessando a internet pelo navegador Tor (o navegador utilizado na Deep Web), acontece que olhando o log do sarg eu vi que o acesso é feito atravez do ip de um servidor qualquer.

Não sei se minha ideia funcionaria, mas queria colocar algum comando que impeça o usuário de digitar o ip do site que quer abrir, por exemplo, quero entrar no google, se eu digitar www.google.com ou 74.125.234.242(que é o ip do google ele entra), queria uma forma de bloquear o acesso aos sites pelo ip, por exemplo, se o usuário digitar www.google.com entra, mas se digitar 74.125.234.242 ele não entra, assim talvez eu consiga barrar esse Tor.

No relatorio do Sarg aparece como abaixo

137.56.163.64:8080
171.25.193.21:443
www.globo.com/
www2.bancobrasil.com.br:443 sn109ds.mail.services.live.com/DeltaSync_v2.0.0/ItemOperations.aspx
204.45.16.2:443
sup.live.com/whatsnew/whatsnewservice.asmx
68.169.35.102:443

Quando ta o nome do site é que eles estão usando o navegador normal, quando ta os IPs é quando estão usando o Tor.

Detalhe, não sei os IPs dos servidores do Tor, então é impossível barrar um IP específico, eu preciso barrar todos os IPs deixando o usuário navegar apenas se ele digitar o endereço do site.

Vi esse comando uma vez, mas já tem muito tempo, nas pesquisas que fiz não consegui encontrar ele novamente e por ter pouca experiência eu não sei como fazer isso.

Alguém tem alguma solução?

eritonalmeida
(usa Debian)

Enviado em 27/07/2012 - 17:25h

acl sites_ip dstdom_regex [0-9]+\.[0-9]+\.[0-9]+\.[0-9]+

http_access deny sites_ip

viniciuspedra
(usa Debian)

Enviado em 29/07/2012 - 18:15h

nao eh uma dica mas sei que funciona ;)

trabalhei em uma empresa em que um funcionário que usava o tor foi demitido...

sodomyzer
(usa Debian)

Enviado em 30/07/2012 - 09:07h

eritonalmeida

Valeu cara, sua dica funcionou, pelo menos temporariamente.

Testei o Tor na minha máquina e ele não conecta de maneira nenhuma, olhei o relatorio do sarg e o usuário teve várias tentativas bloqueadas de acesso, porém na parte da tarde praticamente na hora de ir embora ele disse que mesmo assim da pra usar se configurar de outra maneira la, ele disse que chegou a usar, mas não vi relatorio do sarg dizendo que tava liberado, vou ter que olhar na máquina dele se realmente ta funcionando com alguma outra configuração, fiquei na dúvida se realmente ta funcionando ou ele falou só pra falar que não consigo bloquear.

O duro é que nem ameaças de demissão não adianta porque todo mundo aqui sabe que o patrão não demite ninguém por conta disso, em 14 anos de empresa só houve 2 demissões e foi por algo mais grave que isso, então o pessoal nem esquenta.

Obrigado pelas dicas, vou espiar a máquina do indivíduo, se realmente estiver funcionando volto aqui no tópico pra dizer.

renato_pacheco
(usa Debian)

Enviado em 30/07/2012 - 10:46h

A dica do @eritonalmeida funciona se o seu proxy estiver configurado no navegador. Se ele for transparente, só funcionará se o usuário estiver acessando via porta 80. Se tentar outras portas (443, por exemplo), não passará pelo squid. O certo é bloquear o acesso a todas as portas e liberar alguns IP's para acessar sites seguros (bancos, e-mails etc.). Outra opção é remover o proxy transparente e usar proxy autenticado (bem melhor!).

danniel-lara
(usa Fedora)

Enviado em 30/07/2012 - 10:54h

usando o proxy autenticado é melhor como o Renato sugeriu

sodomyzer
(usa Debian)

Enviado em 30/07/2012 - 16:35h

O Proxy já é autenticado, sempre foi.

renato_pacheco
(usa Debian)

Enviado em 30/07/2012 - 16:37h

Então é o seu firewall q tá com brechas. Imponha a política d DROP para INPUT e FORWARD da tabela filter e libere apenas o necessário.

sodomyzer
(usa Debian)

Enviado em 30/07/2012 - 17:13h

Mas o Tor usa a porta padrão da net 80 e 443 pra conexão, se eu barrar essa porta eu fico sem net, nem os navegadores normais funcionam.

Na verdade ta tudo sendo direcionado pra 3128, por isso quando o usuário usava o Tor ele aparecia no relatório do Sarg, sendo assim após adicionar os comandos do colega lá em cima no Squid toda vez que o usuário tentava acessar ele recebia acesso negado na cara, porém ele me disse que configurou o Tor de outra forma e que funciona, só não sei se é verdade ou onda dele, porque tentei configurar na minha máquina e não conecta nem a pau.

renato_pacheco
(usa Debian)

Enviado em 30/07/2012 - 17:20h

Como o proxy tá autenticado, tudo vai para o squid. A partir dae, vc bloqueia as conexões, d acordo com as opções dadas. Outro lance é liberar apenas o necessário (como disse antes) e inserir, no final das regras, a linha http_access deny all, para bloquear tudo menos o q foi liberado explicitamente.

sodomyzer
(usa Debian)

Enviado em 31/07/2012 - 11:00h

Realmente o problema está resolvido, o usuário estava era de onda falando que continuava a funcionar hehe, tão simples como duas(no meu caso 3 porque adicionei excessões) pequenas linhas podem resolver um problema assim rsrsrsrs

Problema resolvido até encontrarem outra forma de burlar as regras novamente, infelizmente aqui só trabalham programadores, que por sua vez não são bobos como qualquer leigo, sendo assim sempre arrumam um jeitinho e burlar, mas se burlar basta descobrir e bloquear, só tem uma forma completamente efetiva de acessar tudo sem restrição e sem ter como bloquear, que é acessando um computador externamente via logmein, teamviewer ou algo parecido, pois não posso bloquear porque damos suporte online, ou seja, se lerem esse post e começarem a fazer isso aí ferrou a funcionalidade do proxy kkkkkkkkkkkkkkkkkkkkkk

Grato pela ajuda de todos.

wesllay
(usa CentOS)

Enviado em 28/01/2014 - 10:59h

Também estou tendo problemas com usuário navegando na Deep Web.
Olho no relatório SARG do usuário e aparece somente
127.0.0.1:60000 navegando de 5 a 6Gb diariamente. O usuário passa
pelo autentica no proxy, já observei que o mesmo está sempre
tentando burlar o proxy. Alguém pode me ajudar a bloquear o acesso a Deep WEb?
Obrigado desde já.