Problemas com SSL Man In the Middle Filtering - Erro de certificado

Bits

@marcelloc Estou utilizando o Splice All, que não obriga a instalação do certificado nas estações. Mas mesmo em micros com o certificado instalado , quando congifuro como Splice/Bump o erro permanece.
Segue abaixo as configurações do SquidGuard :

0_1527594436934_f5090271-250b-4ee5-bf59-f661c93550be-image.png

0_1527594465001_cee93bcb-3f98-4941-83f6-0d767b0b4012-image.png

0_1527594498691_b604caaf-57c1-4f89-bf93-5694c57394e8-image.png

0_1527594515800_4a3700ce-4f3e-4352-9d95-2041f5589285-image.png

danilosv.03

Desmarca: Enable log rotation
NO Blacklist coloca o proxy o IP do seu FW
E em Diversos deixa ele desabilitado também.

Bits

Ainda na mesma. Ao desabilitar o filtro tudo volta ao normal. Habilito o filtro e varios sites https param de funcionar.

danilosv.03

Tira um print de suas ACL's ai.

Bits

@danilosv-03
0_1527603314378_99554e9b-4a25-45e8-81b4-8fc045c9efff-image.png
0_1527603342933_d8097c7e-a1e3-49e8-afc7-e03fcfcf4fbd-image.png
0_1527603360620_1bb5b4ce-df0a-4fd4-9fb6-7351b1e35805-image.png

marcelloc

@bits said in Problemas com SSL Man In the Middle Filtering - Erro de certificado:

Ainda na mesma. Ao desabilitar o filtro tudo volta ao normal. Habilito o filtro e varios sites https param de funcionar.

Se não for erro de configuração nas acls, pode ser o problema de interceptação de ssl que o squid tem. O certificado gerado pelo squid não está em compliance com as exigências dos navegadores.

danilosv.03

Remove essa rede do Subnets, Undrestricted
Remove tudo da blacklist também ,já que você está usando o guard. E posta as ACL do Guad também

Bits

@marcelloc Quando leio os erros que aparecem nos navegadores a impressão é que o certificado do squid não atende as requisições dos navegadores com relação a segurança. Mas aí me arrebenta, pq não consigo filtrar nada com https.

marcelloc

@bits said in Problemas com SSL Man In the Middle Filtering - Erro de certificado:

@marcelloc Quando leio os erros que aparecem nos navegadores a impressão é que o certificado do squid não atende as requisições dos navegadores com relação a segurança. Mas aí me arrebenta, pq não consigo filtrar nada com https.

Exatamente. O e2guardian gera o certificado com tudo o que os navegadores pedem. Faz um lab com ele, os erros de certificado do squid foi um dos motivadores para eu começar a portar o e2guardian para o pfSense.

Bits

@marcelloc
Até instalei o pacote aqui, entretanto não funcionou no meu ambiente de testes, então não confiei muito nessa solução.
Por que digo que não funcionou :
Continuei tendo os erros de SSL e os bloqueios não funcionavam , além dele não fazer o acompanhamento dos sites.
Minha motivação inicial era realmente de efetuar a migração para o E2Guardian.
Me tira uma duvida, no E2Guardian eu preciso deixar meu squid ativo ? Ou ele funciona independente ?

danilosv.03

Ele funciona independente do squid. Até recomendo você não usar ele com o squid.

Bits

@danilosv-03
Tentei instalar aqui novamente o E2Guardian e agora aparece essa mensagem de erro toda vez que atualizo a dashboard :

Crash report begins. Anonymous machine information:

i386
10.3-RELEASE-p19
FreeBSD 10.3-RELEASE-p19 #0 bbfdb9a1d(RELENG_2_3_4): Wed May 3 16:17:37 CDT 2017 root@ce23-i386-builder:/builder/pfsense-234/tmp/obj/builder/pfsense-234/tmp/FreeBSD-src/sys/pfSense

Crash report details:

PHP Errors:
[29-May-2018 14:53:28 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:53:33 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:54:00 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:54:30 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:54:35 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:55:00 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:56:00 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:56:48 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0

No FreeBSD crash data found.

Como resolvo ?

marcelloc

Consegue ir para a 2.4? Acho que esse erro está relacionado a comilação do e2guardian. As libs de criptografia que ele usa, só tem disponível a partir do freebsd 10.4 e o pfSense 2.3 usa o freebsd 10.3

Bits

@marcelloc a partir do 2.4 já funciona de boas ?

marcelloc

@bits said in Problemas com SSL Man In the Middle Filtering - Erro de certificado:

@marcelloc a partir do 2.4 já funciona de boas ?

Sim. É a versão que eu uso.

Bits

@marcelloc meu problema permanece.
O site do UOL por exemplo não entre, fica dando erro de certificado.
Usei os procedimentos em : https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/
E ainda estou tendo problemas com esse bendito filtro SSL.
Alguma dica ?

marcelloc

Configura de acordo com esse video

https://youtu.be/tao1tiXFefk