BLOQUEO DE HTTPS CON MAN IN THE MIDDLE

fabshdz · Sep 27, 2016, 9:09 PM

Hola buenas tardes,

He estado intentando hacer este filtro de https con el proxy de squid, he seguido el siguiente manual y videotutorial

https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense
Youtube Video

Pero me quedo atorado en la parte de instalar el certificado en unas de las computadoras de la red, me sale el error que no es confiable y que el certificado solamente es valido para http.

Codigo de error SEC_ERROR_UNKNOWN_ISSUER

alguien le a pasado esto ??

Saludos

bellera · Sep 27, 2016, 9:27 PM

En los clientes debes instalar tu certificado de autoridad,

https://forum.pfsense.org/index.php?topic=73007.msg402538#msg402538

Google SEC_ERROR_UNKNOWN_ISSUER

fabshdz · Sep 27, 2016, 10:54 PM

Hola gracias por contestar…

Ya he emitido mi Certificado Interno y también lo he descargado, lo instale en la PC que va a salir por el proxy pero aún así sigue marcando ese error...

Que puedo estar haciendo mal??

Utilizo la version 2.3.2, alguna pantalla en especifico que pueda poner aquí para proveer más información '?

fabshdz · Sep 28, 2016, 3:55 AM

Según me comentaron por otro lado, que Man in the Middle a partir de este año ya no funcionaba con CA creados por uno mismo, qué hay de cierto en eso ??

De verdad tengo que comprar un CA para mi LAN ??

fabshdz · Sep 28, 2016, 5:09 PM

Ok… ya funciona

pero el detalle es que tuve que desactivar el SquidGuard...

Intentaré seguir nuevamente el manual para integrarlo

en teoría no debe causar problema si uso el Blacklist directamente en el Squid y también las listas del SquidGuard o si?

fabshdz · Sep 28, 2016, 5:52 PM

Si definitivamente, el problema del Error del certificado en los clientes (Pcs), es causado por el SquidGuard..

Alguien que pueda revisar esta configuración…

fabshdz · Sep 29, 2016, 5:12 PM

OK, me rindo… utilizaré Proxy NO TRANSPARENTE, y crearé una política de la escuela, que esté incluida en el reglamento.

Aleximper · Oct 3, 2016, 6:11 PM

Buen día

Pienso en mi experiencia que el proxy transparente con SSL no es muy elegante y supone riesgos, además es complejo de tratar por todos los inconvenientes con los certificados, mi sugerencia es que lo trabajes explicito, además tienes 2 opciones para automatizar el proceso: la primera es a través de GPO de AD, y la segunda que es la más recomendable por si no hay dominio es WPAD

fabshdz · Oct 3, 2016, 9:55 PM

donde puedo ver mas información sobre eso de WPAD, ya que no existe un dominio, y la verdad estoy por empezar con las secciones de las VLAN a gran escala, serán muchos usuarios los que tendría que configurar el proxy

ptt · Oct 3, 2016, 10:09 PM

https://forum.pfsense.org/index.php?topic=23409.0 (Encontrar el proxy externo, WPAD (Web Proxy Autodiscovery Protocol))

https://forum.pfsense.org/index.php?topic=112715

fabshdz · Oct 5, 2016, 9:35 PM

Excelente gracias ppt !