Interceptação ssl
-
Ola amigos,
Ja vi muitos tópicos sobre esse mesmo assunto mas ainda nao consegui uma solução me ajudem por favor.
Estou utilizando o squid e o squidgard quando utilizo o proxy não-transparente o squid faz a interceptação SSL perfeitamente gera a tela de bloqueio e não da erro de segurança do certificado HTTPs.
Mas quando habilito o proxy transparente ele começa a apresentar o erro do certificado HTTPS e para de fazer o bloqueio.
Não posso utilizar o proxy não-transparente porque muitos funcionários utilizam notebooks em outras redes.
Alguém tem alguma ideia do que eu possa fazer?
Feliz ano novo a Todos :)
Post suas configurações do squid e squidguard.
A importação do certificado aos usuários, como está sendo feita? Via AD? E qual navegador você está utilizando? -
Ola amigos,
Ja vi muitos tópicos sobre esse mesmo assunto mas ainda nao consegui uma solução me ajudem por favor.
Estou utilizando o squid e o squidgard quando utilizo o proxy não-transparente o squid faz a interceptação SSL perfeitamente gera a tela de bloqueio e não da erro de segurança do certificado HTTPs.
Mas quando habilito o proxy transparente ele começa a apresentar o erro do certificado HTTPS e para de fazer o bloqueio.
Não posso utilizar o proxy não-transparente porque muitos funcionários utilizam notebooks em outras redes.
Alguém tem alguma ideia do que eu possa fazer?
Feliz ano novo a Todos :)
Post suas configurações do squid e squidguard.
A importação do certificado aos usuários, como está sendo feita? Via AD? E qual navegador você está utilizando?As configurações utilizadas são bem padrao. Em anexo tem imagens com as telas General do squid e squidguard… Não tem nenhuma configuração diferentes da padrão... Criei o certificado instalei ele via AD nas maquinas.
Essas sao imagens do meu servidor de teste. Esse servido foi montado a partir de um backup do original.
 -
No seu squid: Desmarque a opção: Do not verify remote certificate
-
No seu squid: Desmarque a opção: Do not verify remote certificate
Amigo muito obrigado começou a interceptar não imaginei que seria uma coisa tao simples. Desculpe pela falta de atenção com essa opção. Uma ultima coisa agora ele não esta apresentando a tela de bloqueio do Squid esta apenas com essa mensagem. Quando faz o bloqueio do dominio.
400 Bad Request
The plain HTTP request was sent to HTTPS port
nginx -
No seu squid: Desmarque a opção: Do not verify remote certificate
Amigo muito obrigado começou a interceptar não imaginei que seria uma coisa tao simples. Desculpe pela falta de atenção com essa opção. Uma ultima coisa agora ele não esta apresentando a tela de bloqueio do Squid esta apenas com essa mensagem. Quando faz o bloqueio do dominio.
400 Bad Request
The plain HTTP request was sent to HTTPS port
nginxTU tem regra de porta na tua rede?
-
Sim. Pelo fireall/ Rules >
Libera apenas saida das 53/80/443/3129/3128 e algumas para serviços internos.
Bloqueio total - como regra final.
-
Sim. Pelo fireall/ Rules >
Libera apenas saida das 53/80/443/3129/3128 e algumas para serviços internos.
Bloqueio total - como regra final.
Se você já tem um squid e squidguard para fazer os bloqueios de serviços, esse erro é extremamente normal por virtude de ter block duplicados, tanto de porta quanto de aplicação no seu squid e squiguard. Tente liberar todas as portas e deixa que o seu proxy faça os bloqueios.
-
Sim. Pelo fireall/ Rules >
Libera apenas saida das 53/80/443/3129/3128 e algumas para serviços internos.
Bloqueio total - como regra final.
Se você já tem um squid e squidguard para fazer os bloqueios de serviços, esse erro é extremamente normal por virtude de ter block duplicados, tanto de porta quanto de aplicação no seu squid e squiguard. Tente liberar todas as portas e deixa que o seu proxy faça os bloqueios.
Recriei a regra padrão do pfsese de liberar tudo para IPV4 e IPV6 mas o erro continua… Como se trata no momento de um ambiente de teste reiniciei o pfsense para reler todas as regras mas não deu certo.
-
Sim. Pelo fireall/ Rules >
Libera apenas saida das 53/80/443/3129/3128 e algumas para serviços internos.
Bloqueio total - como regra final.
Se você já tem um squid e squidguard para fazer os bloqueios de serviços, esse erro é extremamente normal por virtude de ter block duplicados, tanto de porta quanto de aplicação no seu squid e squiguard. Tente liberar todas as portas e deixa que o seu proxy faça os bloqueios.
Você utiliza protocolo IPv6? Tira print de suas rules.
Recriei a regra padrão do pfsese de liberar tudo para IPV4 e IPV6 mas o erro continua… Como se trata no momento de um ambiente de teste reiniciei o pfsense para reler todas as regras mas não deu certo.
-
Esta tudo liberado o IPV6 só foi por ir eu utilizo ipv4.
-
bom tem pacote passando pelo o trafego. Tire print do ACL do squid e do seu squidguard.
-
bom tem pacote passando pelo o trafego. Tire print do ACL do squid e do seu squidguard.
A tela ACL do squid esta vazia nenhuma configuração. No squid gard esta assim
!blk_BL_chat
!blk_BL_porn
!blk_BL_sex_education
!blk_BL_sex_lingerie
!blk_BL_socialnet
!blk_BL_spyware
!blk_BL_weapons
!blk_BL_webradioDefaut access [all] Allow
e qaundo estiver tudo funcionando vou criar uma Target Categories com sites mais expecificos para bloquear como o youtube e spotfy
-
O social net já faz esse bloqueio. Agora sobre bloqueia o spotify ele vem bloqueado nas opções: music e podcast. Agora se tu quiser bloqueia o programa da potify tem um o tutorial no fórum já.
-
Amigo agradeço muito sua ajuda esta tudo funcionando, Agora vou replicar tudo no pfsense verdadeiro e que tudo de certo… Vamos nessa.
:) :) :)
-
Fico feliz por ter ajudado. Agradece no tópico que te ajudou, isso ajuda na pesquisa aqui no fórum.
-
Bom Dia Amigos,
Foi fazer a implantação do serviço em meu firewall ativo mas tive um problema.
Ativei a interceptação ssl em 50% das maquinas funcionaram. O pior de tudo as maquinas que não funcionaram são Windows 7 Ultimate o que era para ter a maior compatibilidade. No win 10 rodou que é uma beleza.
Uma coisa que eu reparei é que quando eu vou ver o certificado dentro do navegar ele aparece conforme a imagem.
Ele não reconhece o site só http…. Alguém ja viu isso.
 -
Seus certificados eles estão sendo gerado por onde?Manual ou via AD?
Refaça. Tire print de toda sua configuração do squid, não esquece de mandar a do cache também. -
Seus certificados eles estão sendo gerado por onde?Manual ou via AD?
Refaça. Tire print de toda sua configuração do squid, não esquece de mandar a do cache também.Estou instalando ela manualmente. As configuração confirme você me ajudou ontem via skype, ja passo as configurações.
O certificado acabei de testar esta sendo aceito em alguns win 7 são maquinas mais especificas que não estão rodando.
Vou rodar uma atualização do windows que esta parada nessas maquinas para ver acho que deve ser isso…
Sabe me dizer se o modelo do certificado sha256 é incompatível com alguma versão do windows o Technet não especifica
-
não. A certificação funciona para qualquer tipo de sistema operacional. Tenta fazer essa atualização ou então faz um teste fazendo uma outra instalação.
