Filtro ssl, uma realidade no pfsense!
-
hummm. acho que o filtro de ssl(https transparente) está beeeeeem proximo…
58052 -Intercepting HTTPS connection 58052 -Getting ssl certificate for client connection Generating serial no for ssl.gstatic.com Serial no is C333F8DAFC080266B345002A8A5A5FB5 Searching for certificate for ssl.gstatic.com Certificate not found. Creating one Generating serial no for ssl.gstatic.com Serial no is C333F8DAFC080266B345002A8A5A5FB5 58052 -Going SSL on the peer connection BaseSocket::checkForInput: starting for sck:4 read into buffer; bufflen: 39 data already in buffer; bufflen: 39 buffstart: 37 CheckHeader flags before normalisation: AP=0 PPC=0 1.1=0 connectionclose=1 CL=0 CheckHeader flags after normalisation: AP=0 WP=0 CheckHeader: Adding our own Proxy-Connection: Close 58053 -persistPeer: 0 58053 -CONNECT: user is authed/auth not required - attempting pre-emptive ban -
Isso! Esse é o cara: Marcelloc +³!
-
Bá Marcelo, se vc conseguir vai facilitar pra muita gente…Vlw, abraço e sucesso
-
Olá Marcelloc,
Parabéns pelo esforço.
Acompanhei alguns topicos a respeito disso no forum internacional e sempre haviam questões levantadas sobre a questão de segurança envolvida nisso, tanto pelo acesso aos dados tanto pelos efeitos coleterais com uma possivel fragmentação dos dados.
Você conseguiu superar essas questões?
-
Acompanhei alguns topicos a respeito disso no forum internacional e sempre haviam questões levantadas sobre a questão de segurança envolvida nisso, tanto pelo acesso aos dados tanto pelos efeitos coleterais com uma possivel fragmentação dos dados.
Você conseguiu superar essas questões?
Pelo menos no dansguardian, o politica é a seguinte:
sites na whitelist não são interceptados e liberados
sites na blacklist não são interceptados e recebem o erro de conexão recusada pelo proxy no lugar de uma tela bonita com mais informações.
fora destas listas o acesso é interceptado e tratado.Ainda não está estável, mas vou continuar testando e tentando melhorar o código apesar de não ser um profundo conhecedor de c++.
Como é algo que muitas pessoas gostariam de ver funcionando, seria interessante como forma de retribuição, algum tipo de apoio financeiro em nome do software livre (ou da pesquisa científica).
-
Consegui fazer funcionar ;D, ainda acontecem alguns bugs para determinados sites.
-
Tem como fazer um tutorial?
-
Como é algo que muitas pessoas gostariam de ver funcionando, gostaria de algum tipo de apoio financeiro em nome do software livre (ou da pesquisa científica).
Grande Marcelo,
Parabens.. Vai ser da mesma forma que foi com dansguardian.., vou fazer a minha parte, inclusive como faço no projeto FreeBSD.
-
Olá
Marcelloc só pra eu entender, essa filtragem está sendo "programada" no Squid ou no Dansguardian?
Se for no Squid, a lógica é que também funcione no SquidGuard, certo?
-
Olá
Marcelloc só pra eu entender, essa filtragem está sendo "programada" no Squid ou no Dansguardian?
Se for no Squid, a lógica é que também funcione no SquidGuard, certo?
Por enquanto no dansguardian.
Não sei dizer se o squid consegue passar para o squidguard os testes. Mas como o squidguard só verifica url, talvez funcione.
-
Olha, contribuição financeira estou meio desabilitado nesse momento… mas posso ajudar na questão, pois também é do meu interesse.
Tenho um ambiente de testes virtualizado aqui, uma rede toda simulada, fiz isso pois testo todos os pacotes antes de colocar em produção, inclusive de outros projetos de software livre que usamos. Se quiser faço os testes com o SquidGuard, entendo moderadamente de C e C++, se puder ajudar estou a disposição. ;D
-
No squid eu consegui. ;D
acesso sem a interceptação de ssl
1359780382.176 0 172.16.3.65 NONE/000 0 CONNECT ssl.gstatic.com:443 - HIER_NONE/- - 1359780382.474 0 172.16.3.65 NONE/000 0 CONNECT www.gstatic.com:443 - HIER_NONE/- -com a interceptação é possível ver a url dentro da pesquisa no google
1359779615.201 19 172.16.3.65 TCP_MISS/304 316 GET https://www.google.com.br/images/nav_logo117.png - HIER_DIRECT/74.125.234.191 - 1359779615.263 71 172.16.3.65 TCP_MISS/304 224 GET https://www.google.com.br/xjs/_/js/s/c,sb,cr,cdos,vm,tbui,mb,wobnm,klc,kat,esp,bihu,kp,lu,m,amcl,erh,hv,lc,ob,rsn,sf,sfa,shb,tbpr,hsm,j,p,pcc,csi/rt=j/ver=rXkZsHYxGmc.en_US./am=BA/d=1/sv=1/rs=AItRSTPxL_E1JO7l3HoY7bnG_Sb4_ggcyw - HIER_DIRECT/74.125.234.191 - 1359779615.434 0 172.16.3.65 NONE/000 0 CONNECT www.google.com.br:443 - HIER_NONE/- - 1359779615.511 0 172.16.3.65 NONE/000 0 CONNECT www.gstatic.com:443 - HIER_NONE/- - 1359779615.523 17 172.16.3.65 TCP_MISS/304 224 GET https://www.google.com.br/xjs/_/js/s/sy8,gf,tng,sy43,sy56,sy44,sy59,sy37,sy45,sy94,sy6,sy36,sy38,sy64,sy82,sy93,sy106,sy107,sy119,sy7,sy13,mbtt,wta/rt=j/ver=rXkZsHYxGmc.en_US./am=BA/d=0/sv=1/rs=AItRSTPxL_E1JO7l3HoY7bnG_Sb4_ggcyw - HIER_DIRECT/74.125.234.191 - 1359779615.557 0 172.16.3.65 NONE/000 0 CONNECT www.google.com.br:443 - HIER_NONE/- - 1359779615.713 154 172.16.3.65 TCP_MISS/204 303 GET https://www.google.com.br/csi? - HIER_DIRECT/74.125.234.191 image/gif -
Funcionou no squid 3.1 também ;D :o
Já tenho uma versão do pacote funcional com interceptação de ssl para os sites fora da whitelist do squid.
-
bom dia.
Parabéns Marcelloc pelo seu trabalho.
Excelente noticia.
