Error en navegación con proxy transparente http y https



  • Buenas a todos, tengo un asunto que no se por donde resolver, tengo montado PFsense 2.2.6 en modo transparente y funciona bien, tengo filtrado de paquetes usando las categorías.

    El asunto esta en que las paginas HTTPS ingresan de forma directa pero siempre queda la advertencia de HTTPS  no seguro y esto hace referencia la certificado que cree desde PFsense para el modo Man in the middle.

    Adjunto imágenes del tema

    Como todo funciona yo no tengo asunto alguno con esto, pero los usuarios… los usuarios ven este https con esa marca de no seguro y indican que podría ser peligroso para los temas que tienen con bancos y demás

    Una prueba que realice fue incrementar la seguridad del certificado local pero el resultado fue el mismo

    Agradezco cualquier aporte que me de una luz de como solucionar este tema

    De ante mano gracias   





  • Buen día

    Te sugiero dejar de usar proxy transparente y usar proxy explicito con wpad para no configurar navegadores o GPO de windows si tienes un dominio

    https://www.javcasta.com/pfsense-2-3-wpad-con-ngnix-sin-revertir-gui-a-http/ este funciona bien



  • Mil gracias por la respuesta (Aleximper), es verdad lo que afirmas usar proxy explicito con wpad es la mejor opción lo conocí recién y lo implemente en otro lugar y funciona bien salvo por un asunto ajeno a PFsense y es un tema de configuración del servicio DNS con windows y el explorador Mozilla Firefox.

    Pero referente al asunto que cuestiono hay algo que se pueda hacer ?



  • Buen día

    Pues con mozilla firefox, wpad no falla tampoco, ya que se crean 3 archivos 1 para IE, otro para chrome y otro para mozilla, y con GPO también se puede configurar mozilla, no se cual sea el tema al que te refieres.



  • El tema es fácil de resolver. Le comento como yo lo hice

    1. Genere un nuevo certificado (ingrese a system > cert. manager). Da clic en el '+' y agrega uno nuevo "Create an internal certificate authority". Allí debe completar ciertos datos de su compañia para que se vea bonito el certificado.

    2. En services > squid proxy server debe habilitar el check box de la opción Enable SSL Filtering (SSL man in the middle filtering). Si mira más abajo está la opción de CA y allí relaciona en la lista desplegable el certificado que creo en la página anterior. Le sugiero que en "remote cert check" estén selecionadas ambas opciones.

    3. Al conectarse a las páginas verá que sigue colocandose en rojo la conexión segura. Esto es normal porque el proxy está parado en el medio de la conexión cuando ha de suponerse que el https va encriptado entre origen (diagamos un portal bancario) y destino (pc del usuario).

    4. Descargue el certificado e instalelo en cada computador (Yo se.. es cansón pero es la única forma cuando es proxy transparente)… Asegurarse que el certificado quede instalado en las entidades raiz de confianza.




  • Buen día jhonecl

    No has entendido lo que quizo preguntar, ya tiene funcionando la configuración, lo que quiere decir que ya hizo lo que le indicas en tu mensaje, el detalle es que no quiere que en la barra de navegación se vea el icono https tachado diagonalmente en rojo, sino que sea vea verde como si no hubiese proxy.



  • Disculpa por no haber leido bien..

    Instalar el certificado en cada PC, es la única forma. Si tiene active-directory distribuirlo, si no instalarlo manualmente en cada equipo.

    En firefox se debe instalar a mano en el apartado de certificados… Para chrome, internet explorer y edge funciona sin necesidad de hacer nada extra.

    Saludos.



  • Hola

    Tengo implementado en modo transparente y cada certificado funcionando adecuadamente por LAN. Ahora si la conexion a Pfsense es por wireless ( placa red modo access point en servidor pfsense), obtengo errores del tipo mencionado al comienzo de este tópico.
    Tengo activado para LAN y WIFI en opción Man in the middle de SquidGuard.

    ¿Alguna idea por donde encontrar solución?



  • Gracias por los aporte, Aleximper el asunto al que me refiero con mozilla es que el funciona al resolver por DNS y mi DNS para esa implementación es un windows server y no lo he logrado configurar de modo que me funcione, por tu comentario revisare el tema utilizando una GPO, por otra parte como bien a notas el asunto del tachado de HTTPs de forma diagonal es lo que me ocupa en este post

    Chicago_cs  ami el asunto me funciona y las paginas permiten ver el contenido en su totalidad y tengo accesos similares a los que menciona

    El asunto del https tachado es una advertencia de seguridad relacionada con https://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

    Lo que no se es como evitar este mensaje sin dejar de usar el modo transparente



  • Hola

    Que versión de squid tienes? Puedes colocar el pantallazo de la configuración del squid en la parte de filtrado https?



  • Buen día

    La única solución viable es que compres un certificado (y su ca root )  que sea reconocido por todos los navegadores, y creería que no tienes que instalar dicha en los navegadores.



  • @Aleximper:

    Buen día

    La única solución viable es que compres un certificado (y su ca root )  que sea reconocido por todos los navegadores, y creería que no tienes que instalar dicha en los navegadores.

    • 1


  • Offline 😄😄😄, incluyo la configuración solicitada

    Aleximper, validare el asunto del costo del certificado, y  si lo aprueban lo coloco y les cuento si esa es la solución

    Cual me recomiendan ?
    y si entiendo bien al colocar este certificado comprado es posible que no sea necesario instalarlo en cada Equipo?

    Mil gracias




  • Buen día

    Pues la verdad yo no invertiría en un certificado solo para ese propósito en el mercado están los de comodo, verisign,  prefiero mejor dejarlo así e informar a los usuarios que no se alarmen, eso sí, las páginas de los bancos las pongo en las que no deben ser filtradas por el proxy,  al igual que gmail. Pero como te dije la mejor solución es proxy explicito con wpad o GPO.

    Saludos



  • En hostinger compre uno y no son costosos.. Es fue para el portal https de mi empresa. Tocaría que validara..



  • @win_bar:

    Offline 😄😄😄, incluyo la configuración solicitada

    Aleximper, validare el asunto del costo del certificado, y  si lo aprueban lo coloco y les cuento si esa es la solución

    Cual me recomiendan ?
    y si entiendo bien al colocar este certificado comprado es posible que no sea necesario instalarlo en cada Equipo?

    Mil gracias

    Hola Intenda dejandolo asi

    deja el puerto que tienes configurado,y ten presente el campo "SSL Certificate Deamon Children , Remote Cert Checks , Certificate Adapt "



Log in to reply