Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Aplicativo Itaú com proxy (solução impossivel)

    Scheduled Pinned Locked Moved Portuguese
    12 Posts 3 Posters 2.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      michael.lopes
      last edited by

      Utilizando através do navegador funciona sim.

      o problema é o aplicativo.
      itau.jpg

      DaddyGoD 1 Reply Last reply Reply Quote 0
      • DaddyGoD
        DaddyGo @michael.lopes
        last edited by

        @michael-lopes

        eu pensei (web ok)

        Não quero incomodá-lo, mas isso é a coisa mais difícil
        este é o ponto que precisa ser muito protegido
        especialmente se pensa em MITM

        os bancos protegem o funcionamento dos aplicativos (através do site) da melhor maneira, visto que nesse momento os dados podem ser roubados do sistema

        Eu não acho que pode encontrar uma boa solução para fazer o aplicativo funcionar através de um proxy

        o banco certamente não ajudará, pois não informará como a segurança do aplicativo funciona

        Cats bury it so they can't see it!
        (You know what I mean if you have a cat)

        M 1 Reply Last reply Reply Quote 0
        • M
          mcury Rebel Alliance
          last edited by

          Quando o assunto é instituição financeira, eu faço bypass, sempre.

          dead on arrival, nowhere to be found.

          1 Reply Last reply Reply Quote 0
          • M
            michael.lopes @DaddyGo
            last edited by

            @DaddyGo

            agradeço as informações,
            mas não estou querendo fazer o banco funcionar com o proxy.
            quero fazer bypass pra ele passar direto, mas é justamente aí que está o problema, ja coloquei dezenas de sites relacionados ao itau no bypass, e mesmo assim não funciona, tem algum outro bloqueio que não consigo achar

            OBS: se desativar o squid, funciona normalmente.

            DaddyGoD 1 Reply Last reply Reply Quote 0
            • M
              michael.lopes
              last edited by

              Todos os Hosts que inseri no bypass, e mesmo assim não funciona

              A.PNG
              B.PNG

              1 Reply Last reply Reply Quote 0
              • DaddyGoD
                DaddyGo @michael.lopes
                last edited by DaddyGo

                @michael-lopes

                isto é a essência dessa coisa... + proxying + Squid + Squid Guard
                como posso ajudar(?) o @mcury tem algumas boas idéias

                +++++Acho que sites de bancos são acessíveis (via proxy OK), mas ... + as formações de pagamento bancário via proxy, são casos muito difíceis

                Cats bury it so they can't see it!
                (You know what I mean if you have a cat)

                1 Reply Last reply Reply Quote 0
                • M
                  mcury Rebel Alliance
                  last edited by

                  Passa mais detalhes pra gente te ajudar, teu proxy é explícito ou transparente?
                  Se for explícito é apenas o browser que está com o proxy configurado ou o sistema inteiro?

                  Tem algum log que você observa no squid ou no squidguard durante a tentativa de acesso?

                  dead on arrival, nowhere to be found.

                  1 Reply Last reply Reply Quote 0
                  • M
                    mcury Rebel Alliance
                    last edited by mcury

                    É importante haver uma boa política de GPO em conjunto para que funcione bem, ok?
                    Isso não é regra, o que eu vou dizer pode não funcionar em todos cenários, e pode ser que amanhã alguém venha e te diga para fazer outra coisa, que sim pode ser melhor.

                    Resumo da ópera:
                    A ideia abaixo é apenas para que você tenha proxy nos navegadores, bloqueando as páginas. O Windows e demais aplicações instaladas, que não sejam o Chrome e Firefox, nem vão saber da existência do proxy.

                    Sugestões especificamente para máquinas Windows:

                    • Proxy explícito (não habilite proxy transparente).
                    • Não utilize WPAD pois isso irá fazer o sistema inteiro utilizar o proxy, e isso pode te dar problemas com atualizações de Windows, aplicações e etc.
                    • Bloqueie o IE.exe, pois ele estará sem proxy já que o mesmo utiliza o proxy do sistema, que nesse caso, estará sem proxy, ou seja, se o cliente abrir o IE, ele abrirá qualquer site.
                    • Através da GPO, instale o Chrome e Firefox com o endereço do arquivo PAC.

                    Nessa mesma política de GPO, habilite duas coisas:
                    1- Na política de GPO,impedir que o cliente remova o arquivo PAC do Chrome e do Firefox (isso impede que ele saia pelo Chrome ou Firefox sem proxy para a Internet, portanto sendo filtrado).
                    2- Na política de GPO, impedir que o Chrome e Firefox não façam cache do arquivo PAC.
                    Essa política de cache do arquivo PAC é útil para não precisar fazer gpupdate /force sempre que você alterar o PAC, pode simplesmente fechar e reabir o browser do cliente para pegar o arquivo mais atual com a lista de bypass.

                    Vale ressaltar aqui, que caso você queira bloquear o teamviwer por exemplo, você precisará impedir o cliente de instala-lo em primeiro lugar, através de GPO, ou caso contrário, ele sairá direto para a Internet.

                    Edit: Reli o post e notei que não levei em consideração autenticação..

                    Caso queira usar a autenticação Kerberos encontrada nesse link aqui: https://journeyofthegeek.com/2017/12/30/pfsense-squid-kerberos/ o sistema vai precisar conhecer o proxy para gerar o ticket corretamente, mas ajustes finos precisarão ser feitos no PAC para bypass das aplicações, atualizações do Windows e etc..

                    dead on arrival, nowhere to be found.

                    1 Reply Last reply Reply Quote 1
                    • M
                      michael.lopes
                      last edited by

                      Muito Obrigado pelas dicas "mcury"

                      Utilizo o proxy transparente, para a rede toda. Rede toda Windows.
                      Mas sinceramente pela dor de cabeça que dá, acho que vou mudar pra autenticado.

                      Além dos hosts, já coloquei uns 50 ip's que consegui identificar, mas pelo que consegui ver, cada vez que acessamos o aplicativo itau, ele utiliza um IP completamente diferente, provavelmente por questão de segurança né.

                      Aí dessa forma fica impossível fazer bypass, já que toda vez ele pega uma rede diferente pra funcionar

                      M 1 Reply Last reply Reply Quote 0
                      • M
                        mcury Rebel Alliance @michael.lopes
                        last edited by

                        @michael-lopes De nada Michael, pode contar conosco aqui da comunidade.
                        Qualquer problema que tiver posta aqui que o pessoal eventualmente te ajuda, ou até mesmo se eu estiver online.

                        Importante sempre antes de qualquer projeto, é observar atentamente as necessidades do cliente, aplicações que ele usa, se ele tem AD ou não, e esses tipos de detalhes para já planejar bem desde o início.
                        Eu já passei por isso também, é normal =) abraços

                        dead on arrival, nowhere to be found.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.