- Este tópico contém 6 respostas, 6 vozes e foi atualizado pela última vez 11 anos, 8 meses atrás por fernandocaruzo.
-
AutorPosts
-
agosto 27, 2012 às 8:20 am #47408fernandocaruzoParticipante
Pessoal, boa tarde, gostaria de saber o seguinte, na rede onde eu administro eu consegui bloquear alguns sites para o pessoal não acessar (redes social, videos de sexos, etc) porém se eles colocarem https ao inves de http eles acessam normalmente, tem como eu bloquear o protocolo https no cisco router ? abraços
agosto 27, 2012 às 9:07 am #101882Cledir JustoParticipanteSim, bloqueie a porta 443, porém você vai ter problemas em outros sites. Roteadores não são ideais para fazer esse tipo de trabalho.
agosto 27, 2012 às 9:19 am #101883Plinio MonteiroParticipanteUma outra forma é bloquer a porta 443 apenas para os ranges de IPs do Facebook. Esses endereços podem mudar, mas já resolveria o seu problema de imediato.
http://bgp.he.net/search?search%5Bsearch%5D=facebook&commit=Search
agosto 27, 2012 às 10:00 am #101884victorhdssParticipante@fernandocaruzo, é isso mesmo o que pessoal comentou, você pode optar por bloquear a porta 443 porém o problema vai ser maior que a solução. Qualquer site de webmail, bankline, e-commerce, enfim a grande maioria de sites que o usuário precisa de autenticar vai usar SSL (https) para o fazer. Aproveitando a sugestão do @Plinio, você pode bloquear todo o acesso ao range de IPs independente da porta, mas continua com o problema que ele já citou, caso os IPs mudem ou algum outro seja adicionado fura o seu bloqueio. Fazer esse tipo de controle através de ACL em routers vai ser complicado, usuário é criativo (principalmente quando quer aprontar ….rsrs). O ideal seria uma aplicação/apliance de filtro de conteúdo.
agosto 27, 2012 às 1:16 pm #101885zekkerjParticipantePior do que os IPs mudarem, são os softwares tipo UltraSurf, que oferecem proxy pro usuário encapsulando o tráfego em uma conexão HTTPS. E não adianta bloquear um destino, eles têm centenas, e mudam regularmente. Contra ele, a melhor solução é bloquear todos os acessos de saída, e ir liberando aos poucos conforme os usuários vão reclamando.
A alternativa é um webfilter que se coloque como proxy, pq nesse caso ele é que fecha a conexão HTTPS, assim ele tem acesso ao URL de destino e ao conteúdo da conexão pra análise.
-----------------------------------------------------------------------------
Receba Johrei e purifique seu Espírito.
http://www.messianica.org.br/o-johrei.jspagosto 27, 2012 às 2:35 pm #101886Fernando AvelinoMembropoe um proxy ai que é melhor do que tentar bloquear essas coisas em nível de rede, é dificil de manter e vai onerar seu device, eu tenho que pra mim Router de borda de Internet deve ser usado apenas para sua função primária (encaminhar pacotes entre redes), nem pra fazer Nat é indicado, um DDoS pode matar seu router por causa de NAT (que é feito em control plane) por exemplo, quanto mais ficar colocando um monte de NBAR ai….
Se vc não quer ng enchendo seu saco não faça gambiarra, poe um websense ou msm um squid ai e não tenha futuras dores de cabeça inventando hehehe
agosto 31, 2012 às 11:48 am #101887fernandocaruzoParticipanteEntendi pessoal. vou subir um proxy mesmo, é o mais indicado por todos, mas muito obrigado pelas dicas, vlw pessoal
-
AutorPosts
- Você deve fazer login para responder a este tópico.