Aplicativo Itaú com proxy (solução impossivel)

michael.lopes

Boa noite pessoal,

Desde que instalei o squid no meu pfsense, o aplicativo do banco itaú virou meu maior pesadelo.
Já inseri dezenas e dezenas de url's e ip's que consegui identificar em um alias e coloquey no bypass, inseri os mesmos na whitelist também e nada funciona.
o aplicativo não abre de jeito nenhum.
O único paliativo que consegui, foi colocar as maquinas que utilizam o bendito aplicativo em bypass pra passarem direto sem o proxy, porém são muitas máquinas e não é o ideal.

Alguém ja passou por isso ?

DaddyGo

@michael-lopes said in Aplicativo Itaú com proxy (solução impossivel):

banco itaú

Bom dia,

Os sites bancários são muito difíceis de usar com proxy, isso é completamente compreensível por causa das certificações

de qualquer forma, queres dizer esta página:

michael.lopes

Utilizando através do navegador funciona sim.

o problema é o aplicativo.

DaddyGo

@michael-lopes

eu pensei (web ok)

Não quero incomodá-lo, mas isso é a coisa mais difícil
este é o ponto que precisa ser muito protegido
especialmente se pensa em MITM

os bancos protegem o funcionamento dos aplicativos (através do site) da melhor maneira, visto que nesse momento os dados podem ser roubados do sistema

Eu não acho que pode encontrar uma boa solução para fazer o aplicativo funcionar através de um proxy

o banco certamente não ajudará, pois não informará como a segurança do aplicativo funciona

mcury

Quando o assunto é instituição financeira, eu faço bypass, sempre.

michael.lopes

@DaddyGo

agradeço as informações,
mas não estou querendo fazer o banco funcionar com o proxy.
quero fazer bypass pra ele passar direto, mas é justamente aí que está o problema, ja coloquei dezenas de sites relacionados ao itau no bypass, e mesmo assim não funciona, tem algum outro bloqueio que não consigo achar

OBS: se desativar o squid, funciona normalmente.

michael.lopes

Todos os Hosts que inseri no bypass, e mesmo assim não funciona

DaddyGo

@michael-lopes

isto é a essência dessa coisa... + proxying + Squid + Squid Guard
como posso ajudar(?) o @mcury tem algumas boas idéias

+++++Acho que sites de bancos são acessíveis (via proxy OK), mas ... + as formações de pagamento bancário via proxy, são casos muito difíceis

mcury

Passa mais detalhes pra gente te ajudar, teu proxy é explícito ou transparente?
Se for explícito é apenas o browser que está com o proxy configurado ou o sistema inteiro?

Tem algum log que você observa no squid ou no squidguard durante a tentativa de acesso?

mcury

É importante haver uma boa política de GPO em conjunto para que funcione bem, ok?
Isso não é regra, o que eu vou dizer pode não funcionar em todos cenários, e pode ser que amanhã alguém venha e te diga para fazer outra coisa, que sim pode ser melhor.

Resumo da ópera:
A ideia abaixo é apenas para que você tenha proxy nos navegadores, bloqueando as páginas. O Windows e demais aplicações instaladas, que não sejam o Chrome e Firefox, nem vão saber da existência do proxy.

Sugestões especificamente para máquinas Windows:

• Proxy explícito (não habilite proxy transparente).
• Não utilize WPAD pois isso irá fazer o sistema inteiro utilizar o proxy, e isso pode te dar problemas com atualizações de Windows, aplicações e etc.
• Bloqueie o IE.exe, pois ele estará sem proxy já que o mesmo utiliza o proxy do sistema, que nesse caso, estará sem proxy, ou seja, se o cliente abrir o IE, ele abrirá qualquer site.
• Através da GPO, instale o Chrome e Firefox com o endereço do arquivo PAC.

Nessa mesma política de GPO, habilite duas coisas:
1- Na política de GPO,impedir que o cliente remova o arquivo PAC do Chrome e do Firefox (isso impede que ele saia pelo Chrome ou Firefox sem proxy para a Internet, portanto sendo filtrado).
2- Na política de GPO, impedir que o Chrome e Firefox não façam cache do arquivo PAC.
Essa política de cache do arquivo PAC é útil para não precisar fazer gpupdate /force sempre que você alterar o PAC, pode simplesmente fechar e reabir o browser do cliente para pegar o arquivo mais atual com a lista de bypass.

Vale ressaltar aqui, que caso você queira bloquear o teamviwer por exemplo, você precisará impedir o cliente de instala-lo em primeiro lugar, através de GPO, ou caso contrário, ele sairá direto para a Internet.

Edit: Reli o post e notei que não levei em consideração autenticação..

Caso queira usar a autenticação Kerberos encontrada nesse link aqui: https://journeyofthegeek.com/2017/12/30/pfsense-squid-kerberos/ o sistema vai precisar conhecer o proxy para gerar o ticket corretamente, mas ajustes finos precisarão ser feitos no PAC para bypass das aplicações, atualizações do Windows e etc..

michael.lopes

Muito Obrigado pelas dicas "mcury"

Utilizo o proxy transparente, para a rede toda. Rede toda Windows.
Mas sinceramente pela dor de cabeça que dá, acho que vou mudar pra autenticado.

Além dos hosts, já coloquei uns 50 ip's que consegui identificar, mas pelo que consegui ver, cada vez que acessamos o aplicativo itau, ele utiliza um IP completamente diferente, provavelmente por questão de segurança né.

Aí dessa forma fica impossível fazer bypass, já que toda vez ele pega uma rede diferente pra funcionar

mcury

@michael-lopes De nada Michael, pode contar conosco aqui da comunidade.
Qualquer problema que tiver posta aqui que o pessoal eventualmente te ajuda, ou até mesmo se eu estiver online.

Importante sempre antes de qualquer projeto, é observar atentamente as necessidades do cliente, aplicações que ele usa, se ele tem AD ou não, e esses tipos de detalhes para já planejar bem desde o início.
Eu já passei por isso também, é normal =) abraços