Error en navegación con proxy transparente http y https

win_bar · Aug 17, 2016, 5:14 AM

Buenas a todos, tengo un asunto que no se por donde resolver, tengo montado PFsense 2.2.6 en modo transparente y funciona bien, tengo filtrado de paquetes usando las categorías.

El asunto esta en que las paginas HTTPS ingresan de forma directa pero siempre queda la advertencia de HTTPS no seguro y esto hace referencia la certificado que cree desde PFsense para el modo Man in the middle.

Adjunto imágenes del tema

Como todo funciona yo no tengo asunto alguno con esto, pero los usuarios… los usuarios ven este https con esa marca de no seguro y indican que podría ser peligroso para los temas que tienen con bancos y demás

Una prueba que realice fue incrementar la seguridad del certificado local pero el resultado fue el mismo

Agradezco cualquier aporte que me de una luz de como solucionar este tema

De ante mano gracias

Aleximper · Aug 17, 2016, 1:29 PM

Buen día

Te sugiero dejar de usar proxy transparente y usar proxy explicito con wpad para no configurar navegadores o GPO de windows si tienes un dominio

https://www.javcasta.com/pfsense-2-3-wpad-con-ngnix-sin-revertir-gui-a-http/ este funciona bien

win_bar · Aug 17, 2016, 3:39 PM

Mil gracias por la respuesta (Aleximper), es verdad lo que afirmas usar proxy explicito con wpad es la mejor opción lo conocí recién y lo implemente en otro lugar y funciona bien salvo por un asunto ajeno a PFsense y es un tema de configuración del servicio DNS con windows y el explorador Mozilla Firefox.

Pero referente al asunto que cuestiono hay algo que se pueda hacer ?

Aleximper · Aug 17, 2016, 3:46 PM

Buen día

Pues con mozilla firefox, wpad no falla tampoco, ya que se crean 3 archivos 1 para IE, otro para chrome y otro para mozilla, y con GPO también se puede configurar mozilla, no se cual sea el tema al que te refieres.

jhonecl · Aug 17, 2016, 4:25 PM

El tema es fácil de resolver. Le comento como yo lo hice

1. Genere un nuevo certificado (ingrese a system > cert. manager). Da clic en el '+' y agrega uno nuevo "Create an internal certificate authority". Allí debe completar ciertos datos de su compañia para que se vea bonito el certificado.

2. En services > squid proxy server debe habilitar el check box de la opción Enable SSL Filtering (SSL man in the middle filtering). Si mira más abajo está la opción de CA y allí relaciona en la lista desplegable el certificado que creo en la página anterior. Le sugiero que en "remote cert check" estén selecionadas ambas opciones.

3. Al conectarse a las páginas verá que sigue colocandose en rojo la conexión segura. Esto es normal porque el proxy está parado en el medio de la conexión cuando ha de suponerse que el https va encriptado entre origen (diagamos un portal bancario) y destino (pc del usuario).

4. Descargue el certificado e instalelo en cada computador (Yo se.. es cansón pero es la única forma cuando es proxy transparente)… Asegurarse que el certificado quede instalado en las entidades raiz de confianza.

Aleximper · Aug 17, 2016, 4:31 PM

Buen día jhonecl

No has entendido lo que quizo preguntar, ya tiene funcionando la configuración, lo que quiere decir que ya hizo lo que le indicas en tu mensaje, el detalle es que no quiere que en la barra de navegación se vea el icono https tachado diagonalmente en rojo, sino que sea vea verde como si no hubiese proxy.

jhonecl · Aug 17, 2016, 4:44 PM

Disculpa por no haber leido bien..

Instalar el certificado en cada PC, es la única forma. Si tiene active-directory distribuirlo, si no instalarlo manualmente en cada equipo.

En firefox se debe instalar a mano en el apartado de certificados… Para chrome, internet explorer y edge funciona sin necesidad de hacer nada extra.

Saludos.

chicago_cs · Aug 17, 2016, 4:56 PM

Hola

Tengo implementado en modo transparente y cada certificado funcionando adecuadamente por LAN. Ahora si la conexion a Pfsense es por wireless ( placa red modo access point en servidor pfsense), obtengo errores del tipo mencionado al comienzo de este tópico.
Tengo activado para LAN y WIFI en opción Man in the middle de SquidGuard.

¿Alguna idea por donde encontrar solución?

win_bar · Aug 18, 2016, 3:47 AM

Gracias por los aporte, Aleximper el asunto al que me refiero con mozilla es que el funciona al resolver por DNS y mi DNS para esa implementación es un windows server y no lo he logrado configurar de modo que me funcione, por tu comentario revisare el tema utilizando una GPO, por otra parte como bien a notas el asunto del tachado de HTTPs de forma diagonal es lo que me ocupa en este post

Chicago_cs ami el asunto me funciona y las paginas permiten ver el contenido en su totalidad y tengo accesos similares a los que menciona

El asunto del https tachado es una advertencia de seguridad relacionada con https://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

Lo que no se es como evitar este mensaje sin dejar de usar el modo transparente

gersonofstone · Aug 18, 2016, 11:56 AM

Hola

Que versión de squid tienes? Puedes colocar el pantallazo de la configuración del squid en la parte de filtrado https?

Aleximper · Aug 18, 2016, 1:17 PM

Buen día

La única solución viable es que compres un certificado (y su ca root ) que sea reconocido por todos los navegadores, y creería que no tienes que instalar dicha en los navegadores.

jhonecl · Aug 18, 2016, 2:59 PM

@Aleximper:

Buen día

La única solución viable es que compres un certificado (y su ca root ) que sea reconocido por todos los navegadores, y creería que no tienes que instalar dicha en los navegadores.

1

win_bar · Aug 18, 2016, 3:45 PM

Offline , incluyo la configuración solicitada

Aleximper, validare el asunto del costo del certificado, y si lo aprueban lo coloco y les cuento si esa es la solución

Cual me recomiendan ?
y si entiendo bien al colocar este certificado comprado es posible que no sea necesario instalarlo en cada Equipo?

Mil gracias

Aleximper · Aug 18, 2016, 3:54 PM

Buen día

Pues la verdad yo no invertiría en un certificado solo para ese propósito en el mercado están los de comodo, verisign, prefiero mejor dejarlo así e informar a los usuarios que no se alarmen, eso sí, las páginas de los bancos las pongo en las que no deben ser filtradas por el proxy, al igual que gmail. Pero como te dije la mejor solución es proxy explicito con wpad o GPO.

Saludos

jhonecl · Aug 18, 2016, 3:57 PM

En hostinger compre uno y no son costosos.. Es fue para el portal https de mi empresa. Tocaría que validara..

gersonofstone · Aug 18, 2016, 4:39 PM

@win_bar:

Offline , incluyo la configuración solicitada

Aleximper, validare el asunto del costo del certificado, y si lo aprueban lo coloco y les cuento si esa es la solución

Cual me recomiendan ?
y si entiendo bien al colocar este certificado comprado es posible que no sea necesario instalarlo en cada Equipo?

Mil gracias

Hola Intenda dejandolo asi

deja el puerto que tienes configurado,y ten presente el campo "SSL Certificate Deamon Children , Remote Cert Checks , Certificate Adapt "