Squid - SSL-Bump ile Mitm yaparak https URL engelleme
-
Selamlar,
Pfsense 2.0.2 üzerinde squid kullanarak https siteleri man in the middle yaparak engelleyebilirmiyiz?
Bu konuda yayınlanmış düzgün bir makale maalesef bulamadım. PfSense üzerinde bu işlemi yapabilmek için yardımlarınızı bekliyorum,
Konu ile ilgili bulduğum makaleler;
www.squid-cache.org/Doc/config/ssl_bump/
wiki.squid-cache.org/Features/SslBump
blog.davidvassallo.me/2011/03/22/squid-transparent-ssl-interception/
http://blog.bga.com.tr/2011/04/transparent-proxy-ile-ssl-trafigini.htmlTeşekkürler.
-
squid3 ile https desteği de geliyor fakat henüz bir döküman paylaşılmadı, bu konu da biraz araştırmak yapmak lazım
-
there is a bonty to include it on pfsense, maybe you want to help…
http://forum.pfsense.org/index.php/topic,58368.0.html
-
sadece ssl ile https i engellemekle kalmıyor ayrıca ultrasurf, your-freedom ve hotspotshield e karşı acil önlemler alınmalı bu tür programları domain active directory olmadan yasaklayabilmeliyiz.
-
Ultrasurf vs. programları engelleyebilmek için ssl trafiğinide mitm ile incelemek gerekiyor. Dolayısıyla bu yapı ile ultrasurf gibi programlarda engellenebilir.
-
maddi durumum olsa donate yapardım şahsen….
-
Selamlar,
SSL Bump şu an için dinamik sertifika üretemediği için tam istenen şeyi yapamıyor. Araya girip https sayfaların SquidGuard veya Dansguardian ile engellenmesini sağlayabiliyor ancak çok ciddi şekilde sertifika sorunu yaşanıyor. Bu nedenle özellikle bankacılık siteleri olmak üzere izin vemeniz gereken https siteler düzgün çalışmıyor…
Ben bu konu ile epeyce uğraştım. Sıkıntılı bir konu. Ulaştığım son noktayı şuradan görebilirsiniz...
Saygılarımla…
-
Dinamik sertifika ile tam olarak neyi kastettiniz? ssl-bump kendü üzerindeki bir sertifikayı kullanarak bunu yapıyor. Gerçi mitm'in de amacı bu değilmi?
bankacılık sitelerine girerken problemler çıkıyor derken tam olarak problem nedir? bankacılık sitelerine girişlerde mitm exception rule'de tanımlanamamasımı?
-
Selamlar,
@drj:
Dinamik sertifika ile tam olarak neyi kastettiniz? ssl-bump kendü üzerindeki bir sertifikayı kullanarak bunu yapıyor. Gerçi mitm'in de amacı bu değilmi?
bankacılık sitelerine girerken problemler çıkıyor derken tam olarak problem nedir? bankacılık sitelerine girişlerde mitm exception rule'de tanımlanamamasımı?
SSL Sertifikaları her domain/domain grubu için oluşturulur. Web browser serfikanın ziyaret edilen alan adı ile uyumlu olup olmadıkların kontrol ederler. Uyumsuzluk varsa sertifika hatası alırsınız.
SSL Bump transparan modda ziyaret edilmek istenen sitenin ne olduğunu bulup o alan adına göre sertifika üretmeyi beceremiyor ve kendisine verilen sabit bir sertifikayı kullanıyor..
Bu nedenle https site erişimlerinde sertifika hataları alırsınız…SSLBump yöntemi ile benim kullandığım bankaların https web sayfalar açılmıyor malesef...
Diğer bir nokta ise SSL sertifikalarını imzalayan CA sertifikasının geçerli olup olmadığıdır. Kendi oluşturduğunuz CA sertifikanız ve bu sertifikanızla oluşturacağınız site sertifikaları browserlar tarafından güvenilmez kabul edildiklerinden sertifika hataları alırsınız... Kendi CA sertifikanızı istemcilere yüklemek bu sorunu çözer ancak yinede dinamik sertifika üretmeniz gerektiği için browserlar tat vermeyecektir...
Saygılarımla...
