Filtro SSL - PfSense 2.3.1 + Squid + SquidGuard



  • Bom dia pessoal.

    Estou com o PfSense 2.3.1 + Squid + SquidGuard autenticando no AD. Tudo funcionando. Agora estou querendo filtrar os acessos via SSL. Tentei fazer habilitando o "SSL Man In the Middle Filtering" seguindo os tutorias disponíveis porém não funcionou. Vi que funciona no proxy transparente.

    Não tem como funcionar no proxy autenticado?

    Grato desde já.



  • Bom dia campeão.

    Tem sim, lá em Proxy Server você pode habilitar a interceptação SSL…Porém dois detalhes, o primeiro deles é que você vai precisar ter um CA criado e o segundo é que você vai precisar instalar o certificado digital nas estações de trabalho para que a interceptação funcione.

    Um abraço.



  • Boa tarde !

    Estou com o mesmo problema.

    Ativo o "SSL Man in Teh Midle Filtering" e faço o bloqueio de paginas HTTPS e bloqueia normal. Porém se bloqueio sites HTTPS pelo SquidGuard não funciona.

    Vou ter então que manter duas listas de sites bloqueados. HTTP pelo squidguard e HTTPS pelo squid?



  • André.

    O CA está instalado estação de trabalho? Se não estiver realmente não vai funcionar… Outra coisa qual está sendo a checagem que está sendo feita em "Remote Cert Checks" e Certificate Adapt?



  • Bom dia pessoal.

    Então…no meu caso eu fiz tudo conforme descrito nos procedimentos existentes no forum.

    Criei a CA;
    Instalei o certificado na máquina;
    Habilitei SSL;

    Não está funcionando corretamente.

    Obrigado.



  • Bom dia !

    CA criada e instalada nas estações. Se eu colocar os sites que quero bloquear nas balcklists do próprio squid tudo funciona só não funciona quando faço o bloqueio pelo squidguard.

    Remote Cert Checks =  Accept remote server ceritficate with errors

    Certificate Adapt = Sets the "Not After"

    Grato



  • Bom dia.

    Uma outra sugestão seria você desabilitar a interceptação SSL e desabilitar o proxy transparente. Ele vai bloquear… só não vai mostrar a mensagem de erro para sites HTTPS, daí você não terá inclusive a necessidade de instalar o certificado nas estações de trabalho ou até mesmo de criar.



  • Bom dia, sandrosls!!

    vc poderia manda as configuração do seu squid+squidguard via print?

    Abs

    @sandrosls:

    Bom dia pessoal.

    Estou com o PfSense 2.3.1 + Squid + SquidGuard autenticando no AD. Tudo funcionando. Agora estou querendo filtrar os acessos via SSL. Tentei fazer habilitando o "SSL Man In the Middle Filtering" seguindo os tutorias disponíveis porém não funcionou. Vi que funciona no proxy transparente.

    Não tem como funcionar no proxy autenticado?

    Grato desde já.



  • Boa tarde !

    Milton,

    Dessa forma estou trabalhando agora. Só queria colocar o HTTPS pra funcionar junto com o squidguard.

    Att,



  • Boa tarde!

    Meu proxy não é transparente e também está bloqueando https, porém não mostra a tela de bloqueio.

    Quando eu faço as configurações necessárias para o filtro SSL, ele bloqueia mas não mostra a tela também.

    Gostaria de ter o filtro SSL funcionando, para além de exibir a tela de bloqueio, eu poder analisar o pacote, pois futuramente pretendo pensar em alguma solução para conseguir liberar canais  específicos do youtube.

    Seguem prints.

    Obrigado.






  • @sandrosls:

    Boa tarde!

    Meu proxy não é transparente e também está bloqueando https, porém não mostra a tela de bloqueio.

    Quando eu faço as configurações necessárias para o filtro SSL, ele bloqueia mas não mostra a tela também.

    Gostaria de ter o filtro SSL funcionando, para além de exibir a tela de bloqueio, eu poder analisar o pacote, pois futuramente pretendo pensar em alguma solução para conseguir liberar canais  específicos do youtube.

    Seguem prints.

    Obrigado.

    Estou com o um PfSense em homologação que também está dando esse mesmo erro.
    Já fiz muitas tentativas e parece que é bug e não má configuração.

    Se você for olhar nos detalhes do certificado vai ver que o certificar que está sendo emitido para o endereço "http" e somente "http" não tem um domínio completo ou uma URL completa.
    O Squid está com o horário em UTC 0 e o resto do sistemas estão em UTC -3 o squid não está aplicando o fuso horário.
    Acho que o horário não é o problema acho que o squid está com bug e está gerando certificados com endereços errados.





Log in to reply