Bloqueio de Sites + Sites SSL = Desespero dos ADMIN :-)

Olá pessoal, desculpe pela demora de um post em PTBR estava bem enrolado com os projetos, mas, vamos em frente.

Em um dos meus primeiros post, mostrei como realizar o bloqueio apenas do Chat do Facebook sem bloquear o site inteiro, de lá para cá o Facebook forçou o uso de  HTTPS/SSL não apenas para o login e sim para todo o site. Isso faz com que muitas ferramentas de bloqueio de Web Filter, não consigam visualizar o conteúdo dos pacotes HTTP que passam dentro do túnel SSL fechado entre o browser e o Servidor Web solicitado.

O Próprio Fortigate neste caso se não for configurado de forma correta permite o acesso desses pacotes sem a devida inspeção, vamos a pratica.

Configurando um fortigate de forma normal sem habilitar o Deep Scan e vamos ver o comportamento, estou usando V5 patch 4 neste ambiente.

A primeira coisa que vamos testar é se possível acessar o Facebook via HTTPS dando um bybass no Web Filter do Fortigate.

 

Vamos criar o web filter em Security Profiles >  Web Filter > Profiles

 

Agora vamos adicionar a regra de acesso a Internet.

Neste caso estou usando um Fortigate em VM para o teste e a minha regra é da LAN para Internet.

Policy > Policy > Create New

Da minha lan para Internet

 

 

Em Security Profiles habilitamos o Web Filter.

Agora vamos testar o Acesso a internet.

 

Notem que o site foi bloqueado, mas, acessamos via HTTP agora vamos testar com HTTPS, 🙂

facebook_allow

 

Pronto William, agora que você mostrou como faz estou F*&^*& vai ter um monte de gente acabando com meu link passando o dia inteiro no Facebook, :).

Calma pessoal! Vamos configurar o DEEP SCAN que realiza um MAN-IN-THE-MIDDLE na conexão SSL.

O processo ocorre da seguinte forma.

Usuário solicita acesso a um site HTTPS > O Fortigate intercepta essa solicitação e encaminha um certificado Interno do Fortigate para o usuário > O Fortigate conecta com o site remoto e recebe o certificado correto e estabelece a conexão com o site remoto, desta forma o que passa por dentro do FortiOS fica em texto claro podendo assim ser analisado e aplicada as políticas necessárias.

Chega de teoria e vamos brincar.

Em  Policy > SSL/SSH Inspection  temos o DEEP Inspection Options  com as seguintes opções:

SSLINSPECTION

Onde podemos escolher o certificado ( que pode ser um valido emitido por uma certificadora conhecida ou podemos utilizar a certificadora do Windows Server onde as maquinas no domínio já confiam nesta, mas, isso é assunto para um outro post 🙂 ) .

Agora voltamos a regra de acesso a Internet e vamos habilitar o SSL/SSH Inspection

 

security_profile_ssl

 

E agora vamos novamente acessar o Site do facebook em https.

 

Quando tentamos realizar o acesso recebemos um erro, este erro é do certificado utilizado como falamos anteriormente.

 

erro_certificado

Clicamos em continuar (podemos também instalar esse certificado no browser de forma manual ou via GPO para automatizar em um grande ambiente ).

block_facebook

E acabamos com a felicidade alheia.

Poxa William legal mas não quero bloquear o facebook inteiro e sim apenas os aplicativos ou o chat e ai ?

 

Sem problema basta configurar o Web filter para permitir o acesso ao facebool e configurar normalmente o seu APP Control para os bloqueios necessarios.

Para isso vamos criar um profile de App control em  Security Profiles > Application Sensor > Application Sensor > Create New, conforme abaixo.

appcontrol_chat_facebook

Agora vamos adicionar a regra de acesso a Internet.

security_profile_appcontrol

 

 

Vamos testar o bloqueio do chat.

 

 

chat_facebook_error

Eu consegui acesso ao Facebook porém não consigo comunicação vi CHAT

chat_facebook_error2

Espero que tenham gostado, fico por aqui galera.

 

abraços.

www.trtec.com.br

 

40 respostas para “Bloqueio de Sites + Sites SSL = Desespero dos ADMIN :-)”

    1. Fabricio, existem muitos motivos para isso, sem ver a conf, eu chutaria que é alguma regra adicionada antes da regra de autenticação. teria como postar o Conf dele em algum local ? Obs: Não esqueça de ofuscar dados como IPs externos e VIPs.
      Veja também por qual regra estão saindo os seus usuarios, aonde vê isso depende da sua versão.

      1. Olá William,

        Eu possuo um 200D, ativei o bloqueio e esta funcionando bem porem quando o colaborador abre o navegador e inves de se autenticar direto , ele digita o Google consegue fazer a pesquisa normal como por exemplo o Facebook , clicando pela pesquisa ele acessa sem nenhum tipo de restrição o site sem a necessidade de se autenticar no FW o mesmo acontece com o youtube, sabe o que pode ser? e como faço exigir autenticação no FW ate mesmo para pagina de pesquisa do Google?

  1. Ola, William blz?

    Esta configuração bloqueia qual quer acesso a sites HTTPS?
    Ou eu consigo bloquear sites específicos,por exemplo: youtube, facebook atraves do HTTPS.

  2. Olá William,

    Estou com um problema relacionado a um site interno de um cliente, quando tento acessa-lo me retorna um erro de acesso negado, pois a requisição foi negada pela restrição da política de firewall, criei uma exceção no perfil de UTM na parte de filtro web, permitindo o acesso a este endereço, mas não funcionou, pode me ajudar?

    1. Leonardo, não compreendi o problema, o site está hospedado dentro da rede interna ? você acessa ele da rede interna ? chamando ele pelo IP externo (VIP)?
      Se sim você tem que criar a regra da Interna com Destino ao VIP se não o fortigate bloqueia por não ter regra ou você pode chamar o site pelo IP interno fazendo um DNS split.

          1. Olá William,
            Sim, o cliente usa proxy explicito.
            Criei uma regra aceitando as sessões para o endereço do site usando a interface de web-proxy, aí funcionou certinho.
            Obrigado

  3. Willian,

    Eu fiz o bloqueio normalmente do facebook HTTPS mas bloqueou todo o acesso HTTPS não tem como criar uma ecessão ou fazer de outra forma?

      1. Olá Leonardo, estou com esse mesmo problema, gostaria de bloquear apenas o https do facebook e não de todos os sites pois bloqueia também o google por exemplo. Teria como criar uma regra específica que faça esse tipo de bloqueio?

  4. Ola, uso fortigate 200D, estou realizando filtros de web e tambem aplicação, porem, quando libero acesso FULL ao youtube em “Rating Overrides” os usuários acessam a pagina do youtube, mas quando vão assistir os videos fica tudo “chuviscado” na janela do video com a seguinte mensagem “Ocorreu um erro. Tente novamente mais tarde”. Ja tentei liberar tambem em Application Control todos os plugins do youtube, mas sem sucesso!!!

    Poderiam me ajudar!

    Obrigado.

  5. Bom dia vinicius temos aqui um 300C e quando habilitei o ssl inspection o processador topou e todo acesso https ficou bastante lento. temos aqui algo em torno de 1000 usuários esta caixa suporta esta ferramenta?

    obs: num primeiro momento estava habilitado o deep mas desativamos o o acesso a sites da google e a navagação ficaram comprometidos.

  6. Fiz o bloqueio porem alguns sites estao dando a mensagem “a conexão foi interrompida durante o carregamento da página”. apenas no firefox demais navegadores funcionam normalmente.

  7. Estou com o FortiGate 200D, todas as politicas estão configuradas e os grupos do dc nosso estão devidamente configurados para “conversar” com o fortigate.

    O serviço estava funcionando perfeitamente , por exemplo o filtro internet_bloqueada estava bloqueando facebook,youtube e etc…

    mas por algum motivo , agora todos os usuarios estão com acesso liberado,

    o que pode ter causado esse problema?

    1. Rodrigo, sem conhecer os detalhes da configuração só posso especular.
      Neste caso imagino que a dificuldade seja devido a uma regra criada antes da regra de autenticação que está permitindo o acesso, pegue um dos ips que acessão livre a internet e procure em session qual é a política que está permitindo esse acesso.

  8. Olá William,

    Eu possuo um 200D, ativei o bloqueio e esta funcionando bem porem quando o colaborador abre o navegador e inves de se autenticar direto , ele digita o Google consegue fazer a pesquisa normal como por exemplo o Facebook , clicando pela pesquisa ele acessa sem nenhum tipo de restrição o site sem a necessidade de se autenticar no FW o mesmo acontece com o youtube, sabe o que pode ser? e como faço exigir autenticação no FW ate mesmo para pagina de pesquisa do Google?

    1. Ola William,

      Continuei debugando o problema e reparei que antes de autenticar no browser qualquer site HTTPS fica liberando, apos autenticação que os bloqueios começam a valer tanto para site HTTP quanto HTTPS, estou esquecendo alguma regra para exigir autenticação em sites HTTPS?

      1. Isso é estranho, pois em authentication > settings lá tem a opção de selecionar a porta https para autenticação, mas isso já vem definido por default, você está usando o deep scan full ou certification ?

    1. Oi Marcos o SSL inspecton está disponível para o 40C na versão 5.2 apenas via cli com o comando set ssl-ssh-profile deep-inspectionntion (ou o nome do profile criado).
      Para ter acesso aos profiles você pode user os comandos “config firewall ssl-ssh-profile” seguido pelo comando “show”

  9. Cara, tenho um duvida, o bloqueio de pagina assim funciona perfeitamente para acesso ao Browser e apontamento no corpo da pagina, mas por exemplo: Fiz o bloqueio da categoria de site Adultos, mas se um individuo abrir o google e pesquisar palavras que remete ao site Xvideos e xnxx, a imagem abre normalmente (nas pesquisa do google).

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *