Este site não é negado pelo Proxy
-
Olá pessoal, só para registrar.
As vezes as coisas não acontecem por acaso. Eu abri este post na intenção de matar uma curiosidade num único problema que apareceu. Depois das explicações dos nossos colegas de forum, percebi a gravidade do problema de usar proxy transparente, super útil porém, perigoso por não barrar o https. Pois bem, passados alguns dias, me deparei com uma ameaça real. Os usuários aqui da empresa onde trabalho usam o hotmail e MSN pessoal, e já tem uns dois dias que ando recbendo uns e-mails na conta da empresa. Acontece que os usuários estão recebendo e-mails dos seus próprios contatos que estão infectados, no corpo do e-mail consta geralmente um link para um endereço HTTPS, e é aí que mora o perigo, o bendito HTTPS está liberado geral.
Vou fazer o teste aqui como citei, usando a GPO pelo Windows server 2008, e retirando do PFSense o proxy transparente, e retorno logo depois.
Abraços,
Ricardo
-
ricardo.mota,
Obrigado pelo feedback de uma situação real.
Vivendo a situação, o admin passa a entender a importância de ter um firewall fechado.
att,
Marcello Coutinho -
Bom dia Pessoal,
Fiz aqui a alteração que comentei, coloquei via AD as configurações de Proxy no IE. E desativei no Proxy Server a opção Transparent proxy. Bom, de certa forma funcionou, na hora que o usuário acessa por exemplo https://pagseguro.uol.com.br ele avisa que o site não é seguro e aparece o link para continuar, e ao invés de abrir o site, como estava antes de desativar o proxy transparente, aparece a mensagem do OpenDNS dizendo que não foi possível localizar o site. Daí eu fiz o bloqueio do site OpenDNS (URL: http://guide.a.id.opendns.com/?url=pagseguro.uol.com.br). De certa forma já é alguma coisa. Porém acredito que eu não precisava fazer este malabarismo, rsrsrs. Outra situação incomoda é que alguns usuários de MSN não estão conseguindo logar, uns 80% deles. Mas passado algum tempo eles voltam a logar normalmente.
Alguém tem alguma idéia do que seja?
Abçs
Ricardo Mota
-
Você marcou a opção usar o mesmo servidor proxy para todos os protocolos?
Dá uma olhada no log do squid para ver se as requisições https estão chegando nele
-
Sim, está marcado para utilizar todos os protocolos, inclusive o https.
Agora, será que estou vendo certo o Log do squid? Onde fica? em Proxy filter SquidGuard: Log page > Filter Log ???
Ricardo
-
Vamos tomar a pílula vermelha e ver os logs onde eles estão de fato. ;)
abra a console do pfsense(ou habilite o ssh)
escolha a opção 8 e em seguinda
tail -f /var/squid/logs/access.log
Desta forma você consegue ver os logs em tempo real.
att,
Marcello Coutinho -
access.log não existe nesta pasta, alias, nada existe nesta pasta. :o
Ricardo
-
Vai no pacote do squid,
Marca a opção Enabled logging e confere a pasta no campo logo abaixo.
-
Desculpa amigão, nem percebi, está em /log e não em /logs, já estou visualizando, obg.
Ricardo Mota
-
Ricardo o problema que você está enfrentando é o mesmo que estou tendo aqui na empresa… porém no meu caso eu bloquiei o protocolo 443 e liberei uma lista de sites (ip/cidr) sendo que dá muito trabalho ter que cadastrar cada site que tenha autenticação via https.
Como estou planejando fazer essas mudanças visando um "padrão" e uma organização a modo empresarial essa foi a melhor medida.
http://forum.pfsense.org/index.php/topic,45551.0/topicseen.html
Pretendo mudar muita coisa :)
-
Vamos tomar a pílula vermelha e ver os logs onde eles estão de fato. ;)
abra a console do pfsense(ou habilite o ssh)
escolha a opção 8 e em seguinda
tail -f /var/squid/logs/access.log
Desta forma você consegue ver os logs em tempo real.
att,
Marcello CoutinhoObrigado Marcello, Esta dica foi sensacional… estou vendo cada coisa!!! Obrigado!!!!
-
Você deve ter a porta 1863 (padrão do msn) bloqueada,sendo que a mesma a cada conexão tenta se conectar por meio de outra porta.Após umas 3 tentativas o messenger entra :)
-
Não tenho nenhuma porta bloqueada aqui. Ontem mesmo aconteceu com o meu MSN, ele não entrou, verifiquei no proxy report e vi este endereço: evsecure-crl.verisign.com, inclui na Target categories, e na primeira tentativa o MSN entrou. Há diversos endereços que o MSN usa para fornecer o serviço de Instant Messenger. Minha lista só aumenta.
t+
Ricardo Mota
-
Não tenho nenhuma porta bloqueada aqui. Ontem mesmo aconteceu com o meu MSN, ele não entrou, verifiquei no proxy report e vi este endereço: evsecure-crl.verisign.com, inclui na Target categories, e na primeira tentativa o MSN entrou. Há diversos endereços que o MSN usa para fornecer o serviço de Instant Messenger. Minha lista só aumenta.
t+
Ricardo Mota
Se tiver mais alguma inconveniência com o Windows Live Messenger, da uma olha nesta tabela da Microsoft sempre ajuda http://support.microsoft.com/kb/2027572
-
Valeu Felipe, muito importante!!!
obrigado,
Ricardo
