Proxy ativo + interceptação SSL



  • Prezados!!

    é possivel usar esta configuração? acho que está faltando alguma coisa para mim, quando habilito ssl filtering , percebo que o log se comporta diferente, aparece bem mais registros, porém ainda criptografados, nao consigo saber o que o usuario pesquisou no google ou o que ele anda assistindo no youtube. Ja crie a CA e instalei nas maquinas conforme varios posts e tutoriais, tentei até como proxy transparente e o resultado é o mesmo. desculpem a minha ignorancia, mas acho que eu estou usando a solução errada para o meu objetivo.

    Desde Ja agradeço!

    Valeu



  • Gilberto, boa tarde.

    o FILTRO de SSL é para ser usado com o proxy transparente de preferencia, ja que o mesmo é feito para bloqueio de conteudo HTTPS para redes que nao é possivel usar proxy ativo.

    o certificado voce importou na RAIZ de "TRUSTED ROOT CERTIFICATION AUTHORITIES" ? Deu a mensagem do 3 print abaixo?

    abraços,

    Renan

    ![2016-11-08 15_23_54-pffwcometa.cometa.local - Proxy server_ General settings.png](/public/imported_attachments/1/2016-11-08 15_23_54-pffwcometa.cometa.local - Proxy server_ General settings.png)
    ![2016-11-08 15_23_54-pffwcometa.cometa.local - Proxy server_ General settings.png_thumb](/public/imported_attachments/1/2016-11-08 15_23_54-pffwcometa.cometa.local - Proxy server_ General settings.png_thumb)
    ![2016-11-08 15_26_17-Post reply.png](/public/imported_attachments/1/2016-11-08 15_26_17-Post reply.png)
    ![2016-11-08 15_26_17-Post reply.png_thumb](/public/imported_attachments/1/2016-11-08 15_26_17-Post reply.png_thumb)
    ![2016-11-08 15_27_52-.png](/public/imported_attachments/1/2016-11-08 15_27_52-.png)
    ![2016-11-08 15_27_52-.png_thumb](/public/imported_attachments/1/2016-11-08 15_27_52-.png_thumb)



  • Você no caso está querendo um relatório das páginas que os usuários estão tentando/acessando, tu pode instalar o pacote lightsquid e fazer esse controle.



  • Obrigado pelo retorno Renan e Danilo

    Sim Renan, a config no squid está ok e os outros prints tbm.

    Então Danilo.. sim eu preciso de um relaorio, o problema é que no log aparecem urls que eu acredito estarem criptografadas… o exemplo mais comum sao os videos do youtube que aparecem <codigo aleatorio="">.googlevideo.com, eu pensei que a inspeção SSL do squid servia para descriptografar estas urls e gravar no log. aqui na empresa algumas pessoas tem acesso ao youtube, porem eu preciso monitora-las e passar para o superior caso haja abuso</codigo>



  • A melhor coisa que você pode fazer é utilizar o ntopng também como gerador de relatórios.

    ![Sem título.jpg](/public/imported_attachments/1/Sem título.jpg)
    ![Sem título.jpg_thumb](/public/imported_attachments/1/Sem título.jpg_thumb)



  • Gilberto, qual ferramenta voce esta usando para relatorios? no meu sarg vem normal os links e possui interceptacao de SSL.

    ![2016-11-10 09_15_15-pffwcometa.cometa.local - Status_ Sarg Reports.png](/public/imported_attachments/1/2016-11-10 09_15_15-pffwcometa.cometa.local - Status_ Sarg Reports.png)
    ![2016-11-10 09_15_15-pffwcometa.cometa.local - Status_ Sarg Reports.png_thumb](/public/imported_attachments/1/2016-11-10 09_15_15-pffwcometa.cometa.local - Status_ Sarg Reports.png_thumb)



  • @rvl:

    Gilberto, qual ferramenta voce esta usando para relatorios? no meu sarg vem normal os links e possui interceptacao de SSL.

    Meu querido, para a versão do pfsense 2.3.2 existe o pacote sarg?



  • @danilosv.03:

    @rvl:

    Gilberto, qual ferramenta voce esta usando para relatorios? no meu sarg vem normal os links e possui interceptacao de SSL.

    Meu querido, para a versão do pfsense 2.3.2 existe o pacote sarg?

    ]

    Nao existe nao, retiraram neh  :-, mas como ele nao especificou a versao por isso enviei o print do cliente que tem o mesmo ambiente com versao mais antiga que a 2.3.2.



  • @rvl:

    @danilosv.03:

    @rvl:

    Gilberto, qual ferramenta voce esta usando para relatorios? no meu sarg vem normal os links e possui interceptacao de SSL.

    Meu querido, para a versão do pfsense 2.3.2 existe o pacote sarg?

    ]

    Nao existe nao, retiraram neh  :-, mas como ele nao especificou a versao por isso enviei o print do cliente que tem o mesmo ambiente com versao mais antiga que a 2.3.2.

    Antigamente eu conseguia ver um relatório de quem tentava acessar minha rede, tipo invasor etc. Tu sabe onde eu possa ver esse relatório? Eu tirava se eu não me engano isso no squid.



  • @danilosv.03:

    @rvl:

    @danilosv.03:

    @rvl:

    Gilberto, qual ferramenta voce esta usando para relatorios? no meu sarg vem normal os links e possui interceptacao de SSL.

    Meu querido, para a versão do pfsense 2.3.2 existe o pacote sarg?

    ]

    Nao existe nao, retiraram neh  :-, mas como ele nao especificou a versao por isso enviei o print do cliente que tem o mesmo ambiente com versao mais antiga que a 2.3.2.

    Antigamente eu conseguia ver um relatório de quem tentava acessar minha rede, tipo invasor etc. Tu sabe onde eu possa ver esse relatório? Eu tirava se eu não me engano isso no squid.

    Cara no proprio logs do firewall mostra as conexoes negadas para sua rede, mas uma ferramenta que mostra exatamente inclusive as porta que estao sendo scaneadas eh o SNORT, o log do squid so faz o filtro de URL mesmo de acesso concedido e negado caso tenha filtro de conteudo para negacao mas isso de LAN para WAN e nao o inverso.

    Eu uso o PFBLOCKER que tambem faz essa funcao e tem monitoramento de enderecos que estao tentando te invadir de alguma forma. Creio que o PFBLOCKER seria o mais indicado para este monitoramento, pois ele eh bem simples e funcional.

    ![2016-11-14 12_05_48-fwadv.advanced.local - pfBlockerNG_ Alerts.png](/public/imported_attachments/1/2016-11-14 12_05_48-fwadv.advanced.local - pfBlockerNG_ Alerts.png)
    ![2016-11-14 12_05_48-fwadv.advanced.local - pfBlockerNG_ Alerts.png_thumb](/public/imported_attachments/1/2016-11-14 12_05_48-fwadv.advanced.local - pfBlockerNG_ Alerts.png_thumb)



  • Essa pacote tem pra versão 2.3.2¹?



  • @danilosv.03:

    Essa pacote tem pra versão 2.3.2¹?

    sim tem sim, "PFBLOCKER NG" tem ate esse link abaixo que o Jack ensina a configurar no pfsense 2.3.2

    https://malwarepatrol.net/howto_pfBlockerNG.shtml

    ![2016-11-14 14_41_42-FWLOMBARD.lombard.local - System_ Package Manager_ Available Packages.png](/public/imported_attachments/1/2016-11-14 14_41_42-FWLOMBARD.lombard.local - System_ Package Manager_ Available Packages.png)
    ![2016-11-14 14_41_42-FWLOMBARD.lombard.local - System_ Package Manager_ Available Packages.png_thumb](/public/imported_attachments/1/2016-11-14 14_41_42-FWLOMBARD.lombard.local - System_ Package Manager_ Available Packages.png_thumb)



  • desculpem a demora!..

    eu estou usando o squidAnalizer, mas ja passei pelo lightsquid tbm. vou tentar instalar o sarg, antes do pfsense eu tinha um debian com o sarg instalado, e funcionava bem.

    um log com interceptação ssl  da pesquisa do google, em negrito o que foi pesquisado:

    192.168.1.12 TCP_MISS/200 880 GET https://www.google.com.br/complete/search?client=chrome-omni&gs_ri=chrome-ext-ansg&xssi=t&q=pfsense+ssl&oit=4&cp=11&pgcl=9&gs_rn=42&psi=HH8MTzCiuHAu2k9z&sugkey=AIzaSyBOti4mM-6x9WDnZIjIeyEU21OpBXqWBgw - HIER_DIRECT/172.217.18.67 text/javascript

    log do youtube:

    https://s.youtube.com/api/stats/qoe?event=streamingstats&fmt=244&afmt=251&cpn=h4RNnNc_q1z5GoCZ&ei=zeQtWP2-HNOvwQTHxrrwBw&el=detailpage&docid=5J2Tiae77AM&ns=yt&fexp=3300017%2C3300111%2C3300133%2C3300161%2C3311881%2C3312727%2C3313321%2C9407610%2C9419451%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9434046%2C9434289%2C9439211%2C9439580%2C9439882%2C9439971%2C9441650%2C9441920%2C9446054%2C9446364%2C9446395%2C9447881%2C9448393%2C9448914%2C9449034%2C9449243%2C9449531%2C9449547%2C9451286%2C9452224%2C9452379%2C9452644%2C9454215%2C9454217%2C9454231%2C9454623&cl=139301642&html5=1&c=WEB&cver=1.20161116&cplayer=UNIPLAYER&cbr=Chrome&cbrver=54.0.2840.99&cos=Windows&cosver=6.1&cmt=0.194:0.000,0.434:0.019,10.000:9.575&vps=0.194:B,0.434:PL&aft=1102&bwm=10.000:4052575:0.976&bwe=10.000:3358324&bh=10.000:60.564&bat=10.000:1:1 - HIER_DIRECT/64.233.186.113 text/html



  • @gilberto.lps:

    desculpem a demora!..

    eu estou usando o squidAnalizer, mas ja passei pelo lightsquid tbm. vou tentar instalar o sarg, antes do pfsense eu tinha um debian com o sarg instalado, e funcionava bem.

    um log com interceptação ssl  da pesquisa do google, em negrito o que foi pesquisado:

    192.168.1.12 TCP_MISS/200 880 GET https://www.google.com.br/complete/search?client=chrome-omni&gs_ri=chrome-ext-ansg&xssi=t&q=pfsense+ssl&oit=4&cp=11&pgcl=9&gs_rn=42&psi=HH8MTzCiuHAu2k9z&sugkey=AIzaSyBOti4mM-6x9WDnZIjIeyEU21OpBXqWBgw - HIER_DIRECT/172.217.18.67 text/javascript

    log do youtube:

    https://s.youtube.com/api/stats/qoe?event=streamingstats&fmt=244&afmt=251&cpn=h4RNnNc_q1z5GoCZ&ei=zeQtWP2-HNOvwQTHxrrwBw&el=detailpage&docid=5J2Tiae77AM&ns=yt&fexp=3300017%2C3300111%2C3300133%2C3300161%2C3311881%2C3312727%2C3313321%2C9407610%2C9419451%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9434046%2C9434289%2C9439211%2C9439580%2C9439882%2C9439971%2C9441650%2C9441920%2C9446054%2C9446364%2C9446395%2C9447881%2C9448393%2C9448914%2C9449034%2C9449243%2C9449531%2C9449547%2C9451286%2C9452224%2C9452379%2C9452644%2C9454215%2C9454217%2C9454231%2C9454623&cl=139301642&html5=1&c=WEB&cver=1.20161116&cplayer=UNIPLAYER&cbr=Chrome&cbrver=54.0.2840.99&cos=Windows&cosver=6.1&cmt=0.194:0.000,0.434:0.019,10.000:9.575&vps=0.194:B,0.434:PL&aft=1102&bwm=10.000:4052575:0.976&bwe=10.000:3358324&bh=10.000:60.564&bat=10.000:1:1 - HIER_DIRECT/64.233.186.113 text/html

    Não entendi a intenção do seu comentário.