Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Falha de Segurança - SquidAnalyzer

    Scheduled Pinned Locked Moved Portuguese
    23 Posts 6 Posters 3.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      brunok
      last edited by

      Esse PKG não é homologado por eles. Será que vão dar atenção?  :-\

      1 Reply Last reply Reply Quote 0
      • H
        hunterjn
        last edited by

        Agora que o pfSense é da Netgate acho que sim, pois mesmo não sendo homologado, ainda sim é considerada uma falha de segurança, indicando que existe uma forma de burlar o acesso sem credenciais, sem importar se isso é por um bug de pacote.

        É o que eu penso pelo menos né…

        Juan Damo - Network Administrator

        Principal área: TCP/IP (Modo escovar bits)

        Também posso te ajudar com Cisco Systems, Windows Server e Zabbix.

        https://www.facebook.com/hunterjn

        https://juandhelper.wordpress.com/

        1 Reply Last reply Reply Quote 0
        • B
          brunok
          last edited by

          Relatado problema:

          https://redmine.pfsense.org/issues/6995

          1 Reply Last reply Reply Quote 0
          • H
            hunterjn
            last edited by

            Show de bola.. é uma grande ajuda para a comunidade pfSense essa descoberta.
            Parabéns pela iniciativa de informar os colegas..

            Juan Damo - Network Administrator

            Principal área: TCP/IP (Modo escovar bits)

            Também posso te ajudar com Cisco Systems, Windows Server e Zabbix.

            https://www.facebook.com/hunterjn

            https://juandhelper.wordpress.com/

            1 Reply Last reply Reply Quote 0
            • B
              brunok
              last edited by

              Recusaram o chamado, devido o pacote não ser homologado.  :(

              Quem tem webConfigurator liberado para acesso externo e utiliza o SquidAnalyzer, repensem esta situação.

              É possível ver os registros de navegação, de qualquer lugar.

              1 Reply Last reply Reply Quote 0
              • H
                hunterjn
                last edited by

                Putz, sacanagem..

                Juan Damo - Network Administrator

                Principal área: TCP/IP (Modo escovar bits)

                Também posso te ajudar com Cisco Systems, Windows Server e Zabbix.

                https://www.facebook.com/hunterjn

                https://juandhelper.wordpress.com/

                1 Reply Last reply Reply Quote 0
                • T
                  tomaswaldow
                  last edited by

                  O pacote mantido por eles é o Lightsquid, então não é falha de segurança do pfSense.
                  Se voce usa um pacote de "terceiros" não ha como eles garantirem segurança, e inclusive até pouco tempo o Lightsquid não tinha autenticação.

                  A questão aí é que "não" pode deixar a interface de configuração "aberta" para internet, pra mim isso sim é falha de segurança.

                  Faça uma VPN, e sobre o squidanalyzer creio que seja possível fazer autenticação, ajustando o servidor web.

                  Tomas @ 2W Consultoria

                  1 Reply Last reply Reply Quote 0
                  • B
                    brunok
                    last edited by

                    Eu consegui fazer um contorno, para o SquidAnalyzer ficar disponível somente na rede interna.

                    Precisamos de uma 2º instância do NGINX rodando e mais algumas pequenas alterações.

                    Contando que o IP lan do seu PF seja 192.168.1.1 (altere se necessário).

                    Para o NGINX, podemos fazer o mesmo procedimento descrito aqui https://forum.pfsense.org/index.php?topic=118346.0 (até a parte do nginx apenas).

                    Depois de validar, vamos mover a pasta do squidanalyzer

                    mv /usr/local/www/squidanalyzer /usr/local/www/nginx-dist/
                    

                    Desta forma, ja pode testar o acesso:  http://ip_lan_pf/squidreport

                    Legal, mas vamos melhorar…

                    Vamos editar através do SHELL os arquivos squidanalyzer.inc e squidanalyzer.xml.

                    .INC

                    sed -ri "" s/\\\/usr\\\/local\\\/www\\\/squidreport/\\\/usr\\\/local\\\/www\\\/nginx-dist\\\/squidreport/g /usr/local/pkg/squidanalyzer.inc
                    

                    Altera todas as linhas que contenham o path web atual, para o novo destino nginx-dist (ouvindo pela 2ª instância do NGINX).

                    .XML

                    sed -ri "" s/"\/squidreport"/"http:\/\/192.168.1.1\/squidreport"/g /usr/local/pkg/squidanalyzer.xml
                    
                    

                    Altera a URL que aparece no menu Services > SquidAnalyzer > SquidAnalyzer Report, apontando para sua rede interna.

                    1 Reply Last reply Reply Quote 0
                    • B
                      brunok
                      last edited by

                      Eu consegui botar a autenticação do LightSquid para o SquidAnalyzer…  :P

                      Testes, testes e testes... :'(

                      Meu SquidAnalyzer está solicitando a mesma autenticação utilizada no LightSquid, inclusive está na mesma porta (7445).

                      Ainda em TESTES!  8)

                      sq1.png
                      sq1.png_thumb
                      sq2.png
                      sq2.png_thumb

                      1 Reply Last reply Reply Quote 0
                      • B
                        brunok
                        last edited by

                        As alterações em memória funcionaram.

                        Agora estou validando alterações nos .INC, porém, não tenho conhecimento em PHP.

                        Fiz alteração no lightsquid.inc, mas ao rebootar, apareceu mensagem de crash report:

                        PHP Parse error:  syntax error, unexpected '"', expecting identifier (T_STRING) or variable (T_VARIABLE) or number (T_NUM_STRING) in /usr/local/pkg/lightsquid.inc on line 271

                        Nesta linha, fiz a inclusão disto:

                        $HTTP["url"] =~ "^/lightsquid|^/squidreport" {
                        

                        Qual seria o "problema" ?

                        Código completo da instrução:

                        $HTTP["url"] =~ "^/lightsquid|^/squidreport" {
                        auth.require = ( "" =>
                                (
                                "method" => "basic",
                                "realm" => "Password Required",
                                "require" => "valid-user"
                                )
                        )
                        }
                        

                        Obs.: Alterando o CONF manualmente, exatamente como está ali, funciona! É algo de sitanxe do PHP, mas não consegui identificar ainda.

                        1 Reply Last reply Reply Quote 0
                        • B
                          brunok
                          last edited by

                          Finalmente um protótipo funcional!  8)

                          Depois de correr atrás e quebrar a cabeça, consegui fazer os ajustes nos arquivos INC e XML.

                          Após modificações e testes, pude rebootar o pfsense sem perder as configs.

                          Esclarecendo, o SquidAnalyzer vai rodar na mesma instância do LightSquid e utilizará a mesma forma de autenticação (credenciais definidas na página de configuração do LightSquid).  ;)

                          pt1.png
                          pt1.png_thumb
                          pt2.png
                          pt2.png_thumb
                          pt3.png
                          pt3.png_thumb
                          pt6.png
                          pt6.png_thumb
                          pt5.png
                          pt5.png_thumb
                          pt7.png
                          pt7.png_thumb
                          pt4.png
                          pt4.png_thumb

                          1 Reply Last reply Reply Quote 0
                          • B
                            brunok
                            last edited by

                            Aceito colaborações (tanto em conhecimento como em $  :P) para validar e liberar um script que aplica segurança no SquidAnalyzer, através de credenciais para acesso.

                            Estou implementando e testando ainda… Mas já está funcional, faltando alguns pequenos ajustes e avisos.

                            secure.png
                            secure.png_thumb
                            secure2.png
                            secure2.png_thumb
                            secure3.png
                            secure3.png_thumb
                            secure4.png
                            secure4.png_thumb

                            1 Reply Last reply Reply Quote 0
                            • W
                              wtech.online
                              last edited by

                              @brunok:

                              Aceito colaborações (tanto em conhecimento como em $  :P) para validar e liberar um script que aplica segurança no SquidAnalyzer, através de credenciais para acesso.

                              Estou implementando e testando ainda… Mas já está funcional, faltando alguns pequenos ajustes e avisos.

                              Amigo tem como disponibilizar o escript? estou batendo cabeça aqui para inserir uma autenticação para o squidanalyzer.

                              1 Reply Last reply Reply Quote 0
                              • W
                                wtech.online
                                last edited by

                                @brunok:

                                Finalmente um protótipo funcional!  8)

                                Depois de correr atrás e quebrar a cabeça, consegui fazer os ajustes nos arquivos INC e XML.

                                Após modificações e testes, pude rebootar o pfsense sem perder as configs.

                                Esclarecendo, o SquidAnalyzer vai rodar na mesma instância do LightSquid e utilizará a mesma forma de autenticação (credenciais definidas na página de configuração do LightSquid).  ;)

                                Amigo vc pode me auxiliar nas configurações do Lightsquid .inc e .xml para integrar a autenticação no squidreport?

                                1 Reply Last reply Reply Quote 0
                                • marcellocM
                                  marcelloc
                                  last edited by

                                  O pacote que disponibilizei via repositório já tem isso corrigido a muito tempo. Uso a mesma técnica que implementei no pacote sarg para visualizar o relatório via arquivo php no lugar de chamadas diretas aos htmls gerados.

                                  Pacote não oficial SquidAnalyzer para pfSense software

                                  Treinamentos de Elite: http://sys-squad.com

                                  Help a community developer! ;D

                                  1 Reply Last reply Reply Quote 0
                                  • W
                                    wtech.online
                                    last edited by

                                    @marcelloc:

                                    O pacote que disponibilizei via repositório já tem isso corrigido a muito tempo. Uso a mesma técnica que implementei no pacote sarg para visualizar o relatório via arquivo php no lugar de chamadas diretas aos htmls gerados.

                                    Pacote não oficial SquidAnalyzer para pfSense software

                                    Não sei se me expressei bem!!!

                                    Preciso colocar a pagina de login, para poder autenticar o usuário admin antes de visualizar os relatórios, através dos posts vi que vc acertou em usar a autenticação do lightsquid, poderia me ajudar a integrar isso ao squidanalyzer?

                                    1 Reply Last reply Reply Quote 0
                                    • marcellocM
                                      marcelloc
                                      last edited by

                                      @wtech.online:

                                      Preciso colocar a pagina de login, para poder autenticar o usuário admin antes de visualizar os relatórios

                                      É exatamente isso que eu implementei no pacote.

                                      Treinamentos de Elite: http://sys-squad.com

                                      Help a community developer! ;D

                                      1 Reply Last reply Reply Quote 0
                                      • W
                                        wtech.online
                                        last edited by

                                        @marcelloc:

                                        @wtech.online:

                                        Preciso colocar a pagina de login, para poder autenticar o usuário admin antes de visualizar os relatórios

                                        É exatamente isso que eu implementei no pacote.

                                        Se entendi bem!!!

                                        Package / Squid log analyzer / General Settings  –-> Pagina de configuração ok

                                        depois de fazer as configurações e o update dos log, eu clico na aba  squidanalyzer report-->link do squidreport e ele cai direto na tela do relatório sem nenhuma autenticação!

                                        Está certo?

                                        Se eu colocar direto no navegador .....

                                        meu dns: porta/squidreport ele vcai direto sem autenticação.

                                        Mesma coisa rede interna.

                                        Esta certo, onde estou errando pois não consigo essa autenticação (login) de acesso ao squidreport.

                                        Me da um help ai por favor!

                                        :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

                                        Entendi porque não consigo o login!!!!

                                        Estou usando a versão 0.1!!

                                        Como usar a versão 0.2 no pfsense 2.4?

                                        1 Reply Last reply Reply Quote 0
                                        • marcellocM
                                          marcelloc
                                          last edited by

                                          @wtech.online:

                                          Como usar a versão 0.2 no pfsense 2.4?

                                          Subi a 0.2 agora para a 2.4

                                          squidanalyser.PNG
                                          squidanalyser.PNG_thumb

                                          Treinamentos de Elite: http://sys-squad.com

                                          Help a community developer! ;D

                                          1 Reply Last reply Reply Quote 0
                                          • W
                                            wtech.online
                                            last edited by

                                            @marcelloc:

                                            @wtech.online:

                                            Como usar a versão 0.2 no pfsense 2.4?

                                            Subi a 0.2 agora para a 2.4

                                            Legal eu atualizei a VER-0.1 manualmente com seus arquivos, agora estou testando aqui!

                                            Show….Obrigado!!!

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.