Habilitar ou não a interface do CSF para usuários bloqueados

[eulergui]

Pessoal, o CSF tem uma interface personalizada para usuários que estão bloqueados no servidor. Funciona mais ou menos assim... o cara é bloqueado por algum motivo e, ao acessar o site dele ou qualquer outro site no mesmo servidor, ao invés de dar o famoso erro de conexão, ele é direcionado pra uma interface onde diz que ele tá bloqueado.

 

A minha dúvida é... é vantajoso habilitar essa interface? Isso vai trazer algum risco de segurança?

 

Respondendo a minha própria pergunta... eu acho vantajoso porque o usuário não fica com aquela sensação de que o site dele está fora do ar e tem pelo menos uma informação ali de que basta ele abrir um ticket de suporte, mandar e-mail, whatsapp, telefonar ou qualquer coisa do tipo para que o acesso dele seja normalizado...

 

Como nunca habilitei essa função, queria saber dos demais as experiências que já tiveram e os prós e contras de cada um :)

 

Obrigado.

[Jaime Silva]

Risco certamente é! Falha de segurança de alto nível.

Mais fácil é usar um addon do WHMCS que libera IPs apenas de clientes e somente em servidores em que este cliente possui algum serviço ativo.

[eulergui]

Olá @Jaime, não encontrei nenhuma referência sobre os riscos de segurança de habilitar o messenger service do CSF, poderia falar um pouco sobre os riscos de segurança que tal serviço trás? Fiquei realmente curioso pra saber mais sobre esses perigos... vejo vários hosts utilizando ele e se realmente representa um risco de segurança de alto nível, prefiro que o cliente me ligue dizendo que tá tudo fora do ar :D

[BruunO]

Olá amigo, recomendo utilizar esse addon para WHMCS. A liberação é feita diretamente no CSF, basta informar apenas o endereço de ip bloqueado.

 

http://www.whmcs.com/appstore/598/UnBlockIP.html

 

Atenciosamente,

Bruno de Sá

[eulergui]

@BrunnO o meu problema não é com liberar o acesso do cliente... o problema é ele SABER que está bloqueado pois quando ele mesmo erra o login várias vezes no cPanel ou algum funcionário erra o login do webmail dentro da rede, o chefe me liga puto perguntando porque que o site dele está fora do ar... com o serviço de messenger do CSF pelo menos o cliente já vai me mandar uma mensagem com o IP e o nome do servidor que está bloqueado e eu faço o desbloqueio da criatura aqui :)

 

Acredite... se eu instalar esse Addon sem habilitar o serviço de messenger, vai dar na mesma pro cliente que vai continuar me ligando perguntando o motivo de o site dele estar fora do ar... e cliente sempre perde MILHÕES com 10 minutos de downtime (mesmo que seja um downtime só pra ele).

[chuvadenovembro]

Acho que o Guilherme fala sobre o redirecionamento para uma pagina personalizada que editada informa que o cliente está bloqueado pelo firewall do servidor e bla bla bla

 

Quando o cliente é bloqueado pelo CSF, em vez de receber pagina 404, ele é redirecionado para uma porta especifica do servidor que exibe essa pagina informando o bloqueio.

 

No passado habilitei isso, mas notei que nem sempre o cliente era redirecionado para a pagina e devido a falta de informação acabava solicitando suporte dizendo que o site dele tava fora do ar...etc

 

Atualmente não perco mais o meu tempo habilitando esse recurso não heheheh

 

Mas não sei como está hoje, derrepente melhorou.

[eulergui]

Então @chuvadenovembro, hoje em dia esse serviço do CSF funciona muito bem... pra quem usa o Addon do WHMCS, inclusive, dá até pra colocar um link direto pra área de cliente pro cara já clicar e desabilitar o bloqueio no firewall.

 

O meu probema hoje é que quando o cliente é bloqueado ele não recebe nem uma página de Erro 404 nem erro nenhum... ele é simplesmente limado do servidor pelo CSF. Aí o cara tenta acessar o site/emails/webmail e dá como se realmente estivesse tudo fora do ar e aí é a hora que o cara liga me esculhambando, dizendo que tá tudo fora do ar. Se o cara VER a página dizendo que ele e somente ele está bloqueado, ele já me liga mais calmo.

 

Eu só não entendi a questão de segurança que o @Jaime citou... se realmente trás brecha de segurança de alto nível, melhor ser esculhambado do que arriscar o servidor :D

[chuvadenovembro]

Eu acho que o Jaime achou que era aquela função do csf que libera uma interface para a revenda poder bloquear e desbloquear ip's, se for pensar bem isso realmente tem um risco alto...mas nesse redirecionamento eu acredito que não exista risco, pois o cliente apenas é redirecionado para uma pagina simples em html com uma porta especifica.

[eulergui]

Humm... pode ser que ele tenha confundido mesmo :D Realmente, liberar aquela interface para usuários é um risco altíssimo de segurança... colocar IP em Whitelist e tudo mais :D

 

Vou liberar a bagaça do redirecionamento aqui e seja o que Oxalá quiser! :D

[Visitante]

Eu acho que o Jaime achou que era aquela função do csf que libera uma interface para a revenda poder bloquear e desbloquear ip's, se for pensar bem isso realmente tem um risco alto...mas nesse redirecionamento eu acredito que não exista risco, pois o cliente apenas é redirecionado para uma pagina simples em html com uma porta especifica.

 

 

Humm... pode ser que ele tenha confundido mesmo :D Realmente, liberar aquela interface para usuários é um risco altíssimo de segurança... colocar IP em Whitelist e tudo mais :D

 

Vou liberar a bagaça do redirecionamento aqui e seja o que Oxalá quiser! :D

 

Só fazendo um off-topic:

 

É possível setar bem certinho quais as opções o usuário (revenda) vai ter acesso:

 

Aqui eu uso assim:

 

usuario:0:USE,GREP,UNBLOCK

 

USE: pode acessar o app (obrigatório)

GREP: pode ver se o ip tá bloqueado ou não

UNBLOCK: pode desbloquear o IP

 

Assim, a segurança do servidor não é afetada se for utilizado por um usuário de má-fé. Se ele tentar fazer brute-force, vai ter que ficar desbloqueando o IP dele centenas de vezes antes de conseguir qualquer coisa, e até lá já vamos ter visto (pois o sistema envia o email quando o IP é desbloqueado).