El 15 de agosto de 2013 17:38, Luis Lopez <luis.lo...@ubuntu.com> escribió:
> Aprovechando la discusion, expongo el siguiente caso para ver como podría > ser manejado: > El usuario accede una pagina web por dirección IP usando https y en la url > no hay ningún tipo de indicio de que se trate de material restringido. Cual > es el mejor enfoque para filtrar este tipo de acceso? > Primero lo primero: No hay bloqueo perfecto. Nunca. Lo mejor que se puede hacer es un bloqueo *adecuado*. Segundo, precisamente por eso es que es necesario usar listas de bloqueo mantenidas por terceros que se dedican a eso, explícitamente incluyen IPs a bloquear por este mismo caso. > > Ojo: En este caso, el bloqueo por DNS no funciona. Ademas bloquear todo > trafico dirigido a IP (y no nombre de host) no funciona ya que bloquea > otras aplicaciones validas (las aplicaciones mobiles hacen mucho esto) y > finalmente, la idea es evitar tener a alguien revisando los logs de acceso > en un servidor proxy para agregar la ip a las listas de bloque. Que es por lo que las suscripciones son invaluables para esto. > Me inclino por hacer MITM para analizar el trafico https pero quisiera oír > sus opiniones al respecto… > NUNCA hagan MITM. NUNCA. Revientan permanentemente la seguridad de todo el tráfico SSL de su organización, dejándola vulnerable ante amenazas (Ejemplo: el usuario ya sabe que la advertencia de SSL del browser se ignora y ya, y un día abre una URL de Phishing a Bancolombia. Boom). La mejor alternativa es un proxy mandatorio para todo tráfico, incluyendo SSL. Según recuerdo Squid puede con tráfico SSL si se usa como proxy no transparente. > > Saludos, > > Luis -- Al escribir recuerde observar la etiqueta (normas) de esta lista: http://goo.gl/Pu0ke Para cambiar su inscripción, vaya a "Cambio de opciones" en http://goo.gl/Nevnx