PfSense CONTROL DE TRÁFICO HTTPS



  • Saludos, por favor alguien me puede decir cómo el controlo la navegación del tráfico HTTPS con pfSense, necesito el seguimiento de este tráfico. Por favor, una ayúda.



  • Saludos amigo te recomiendo seguir este tutorial, a mi me fue de mucha ayuda con este logre filtrar el trafico HTTPS

    https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense

    Saludos,



  • Gracias amigo, pero como mi fw esta en producción y quisiera que me digas si a ti te funciona al 100% y si no tienes problemas, quedo a la espera de tu respuesta y muchas gracias por tu colaboración.



  • Buen día

    Pruebalo en un ambiente de pruebas, sigue la documentación del foro

    https://forum.pfsense.org/index.php?topic=23409.0



  • @klausneil:

    Gracias amigo, pero como mi fw esta en producción y quisiera que me digas si a ti te funciona al 100% y si no tienes problemas, quedo a la espera de tu respuesta y muchas gracias por tu colaboración.

    Efectivamente lo tengo funcionando en producción desde hace 3 meses y sin problemas, de hecho tengo la distribución del certificado Man in the Middle  por GPO para los usuarios windows de mi RED, si tienes usuarios con Firefox debes agregar el certificado de forma manual.

    El unico problema que he tenido es con el Whatsapp, no se pueden recibir/enviar archivos images o audios para los usuarios que nesecitan usarlo cree una regla para excluirlos del proxy; de momento es el unico issue que he tenido.

    Saludos ,



  • Gracias solerjon por responder, tu resuesta me sirve de mucho, siendo así lo voy a hacer ahora mismo, me comentaste que usaste el MITM con el porxy pero por siacaso también con proxy transparente y tambien dime si lo usas con el "Diladele Web Safety", porque hay varios tutoriales que lo usan, tu lo manejas con el squidguard? y si así te bloquea el whatsup voy a hacerlo porque mis usuarios solo lo usan para ocio, ejjeej avísame si lo manejas con el squidguard, desde ya gracias.



  • Gracias amigo, pero como mi fw esta en producción y quisiera que me digas si a ti te funciona al 100% y si no tienes problemas, quedo a la espera de tu respuesta y muchas gracias por tu colaboración.

    Efectivamente lo tengo funcionando en producción desde hace 3 meses y sin problemas, de hecho tengo la distribución del certificado Man in the Middle  por GPO para los usuarios windows de mi RED, si tienes usuarios con Firefox debes agregar el certificado de forma manual.

    El unico problema que he tenido es con el Whatsapp, no se pueden recibir/enviar archivos images o audios para los usuarios que nesecitan usarlo cree una regla para excluirlos del proxy; de momento es el unico issue que he tenido.

    Saludos ,

    Para el firefox hay plantillas gpo la cual te permite instalar los certificados

    mira esto http://www.websense.com/content/support/library/web/hosted/getting_started/apply_policy.aspx

    http://blog.techygeekshome.info/download/firefox-adm-group-policy-templates/

    Para el Whatapp, configura en    PackageProxy Server: General SettingsGeneral : Bypass Proxy for These Destination IPs

    *dyn.web.whatsapp.com

    a mi me funciona

    Saludos



  • klausneil en realidad yo no uso el "Diladele Web Safety" solo seguí las instrucciones del tuto que comenté me pareció mas fácil, lo probé y funcionó al 100, de hecho estaba en tu misma situación con el Diladele, pero si no me equivoco eso se usaba porque habia una limitante en el pfsense, pero con las nuevas versiones se corrigió.

    Tengo el servicio squidguard, pero no he terminado de aplicar las reglas para ponerlo en producción, en la misma pagina del tutorial hay un how to para el squidguard y con filtrado https, me cuentas como te va con la implementación suerte!!

    Saludos



  • Saludos

    si quieres controlar el trafico https, prueba con esta implementación https://forum.pfsense.org/index.php?topic=113441.0 ya lo realice y funciona perfecto.



  • Saludos solerjon, segui todo al pie de la letra, pero cuando accedo a las paginas https me bloquea no me permite acceder



  • klausneil, creaste el cetificado y lo instalaste en los equipos ? si no haces eso ningun usuario va a poder navegar, el browser saltará un mensaje que la pagina no es segura.

    La clave está en los certificados, si creaste los certificados y los instalaste en los clientes, tu problema puede andar por otro lado.



  • Estimados. del apartado documentatión una guia para filtrar contenido http y https en pfsense 2.3 https://forum.pfsense.org/index.php?topic=112335.0



  • Saludos, el día de hoy volví a activar todo para enviar capturas de pantalla y resulta que ya esta funcionando con mi proxy transparente y filtra las reglas que establecí, pero en mi caso al ser un proxy transparente como podría aplicar el certificado de una manera automática sin ir sitio por sitio, pues no tengo directorio activo.



  • La verdad no se como distribuir el certificado sin AD, habría que googlear un poco para buscar una forma práctica sin tener que ir equipo por equipo, cuantos usuarios tienes ?

    Saludos,



  • Yo he intentado diferentes maneras de habilitar el filtro https mediante squid y la que mejor resultado me dio fue instalar otra instancia de pfsense solamente con squid + squidguard (no transparente) y forzar el proxy de los usuarios mediante GPO a esta nueva instalación. De esta manera mantengo mi firewall limpio y manejo el proxy en una instalación completamente independiente.



  • Por le momento estoy intentando crear un servidor web en el cual alojar el certificado y crear un script que descargue dicho certificado en la ruta donde se almacenan los certificados, aunque solo es una idea voy a ver como me va pero si alguien tiene alguna mejor se lo agradeceria mucho.