WhatsApp + Squid Transparente - Bloqueio

[lucascatani]

Boa noite.

Preciso bloquear o whatsapp em uma rede wifi da minha empresa, essa rede é sem segurança por senha e todos os visitantes tem acesso. O problema é que o tráfego dos anexos do whatsapp durante o período da noite está deixando a internet muito lenta. A banda é baixa, são 13Mbs para 250 conexões simultâneas entre notebooks e dispositivos móveis.

Alguém já conseguiu bloquear o tráfego de anexos, ou em último caso o WhatsApp?

Se conseguiram, preciso de uma dica, pode ser a nível de firewall mesmo.

Abraço a todos.

[zekkerj]

Você já conseguiu identificar esse tráfego nos seus logs?

[lucascatani]

Você já conseguiu identificar esse tráfego nos seus logs?

Está trafegando na 443, por isso não consigo maiores detalhes. Nem consigo saber so ips do whatsapp.

Se tivesse uma maneira de descobrir os ips, poderia fazer um script e colocar no cron para pegar os ips novos todo o dia e adicionar a um arquivo de texto, e depois bloquear via firewall.

[zekkerj]

Mas rola como, no log? Se passa pelo Squid, tem que aparecer no mínimo um "CONNECT www.whatsapp.qq.coisa.net/caminho". Se não aparecer nada disso no squid, é pq vc está fazendo proxy transparente, que não pega HTTPS, e nesse caso, não é no squid que vc precisa mexer...

[lucascatani]

Mas rola como, no log? Se passa pelo Squid, tem que aparecer no mínimo um "CONNECT www.whatsapp.qq.coisa.net/caminho". Se não aparecer nada disso no squid, é pq vc está fazendo proxy transparente, que não pega HTTPS, e nesse caso, não é no squid que vc precisa mexer...

Exatamente, eu expliquei isso na primeira postagem. Não passa pelo squid, tem que ser a nível de firewall.

[zekkerj]

O Firewall trabalha nas camadas 3 e 4.
Você quer interferir num processo que trabalha na camada 7. Não rola.

Minha sugestão: mude para squid autenticado com WPAD, bloqueie o acesso direto à internet. Assim vc pode tratar os acessos HTTPS dentro do squid.

Outra sugestão... vi recentemente que as versões mais novas do squid têm um esquema que substitui os certificados originais do HTTPS por outro, local, o que permite que o squid transparente possa cachear HTTPS. Vale uma olhada.

[lucascatani]

O Firewall trabalha nas camadas 3 e 4.
Você quer interferir num processo que trabalha na camada 7. Não rola.

Minha sugestão: mude para squid autenticado com WPAD, bloqueie o acesso direto à internet. Assim vc pode tratar os acessos HTTPS dentro do squid.

Outra sugestão... vi recentemente que as versões mais novas do squid têm um esquema que substitui os certificados originais do HTTPS por outro, local, o que permite que o squid transparente possa cachear HTTPS. Vale uma olhada.

Pois é, firewall de pacotes é um pouco limitado, estou pensando em trocar.

Squid autenticado não rola, pois meus usuários são desconhecidos.

WPAD não funciona nesse caso. Já usei e não é legal. Se o cara não tiver marcado "detectar automaticamente as configurações de rede" não vai funcionar, e meus usuários são desconhecidos e aleatórios. Fica inviável.


Fazer um man in the middle com o Squid, vai ficar dando erro de certificado.

Achei que o firewall de pacotes poderia bloquear a cadeia de ips do whatsapp, que ficaria mais fácil.

Mesmo assim, obrigado.

[zekkerj]

Se o cara não tiver marcado "detectar automaticamente as configurações de rede" não vai funcionar, e meus usuários são desconhecidos e aleatórios. Fica inviável.

Concorda que é muito mais fácil dizer pros seus usuários "ative a opção detectar automaticamente" do que criar uma parafernália hiperbólica recalcitrante?

Fazer um man in the middle com o Squid, vai ficar dando erro de certificado.

Pois é, eu também achava que não havia jeito... mas parece que encontrou-se um. Dá uma olhada nas últimas versões do Squid. Aliás, acho que tem um tópico recente aqui na sala falando justamente sobre isso. Se não foi aqui, foi na sala Internet/Segurança.