Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Proxy ativo + interceptação SSL

    Scheduled Pinned Locked Moved Portuguese
    14 Posts 3 Posters 1.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gilberto.lps
      last edited by

      Prezados!!

      é possivel usar esta configuração? acho que está faltando alguma coisa para mim, quando habilito ssl filtering , percebo que o log se comporta diferente, aparece bem mais registros, porém ainda criptografados, nao consigo saber o que o usuario pesquisou no google ou o que ele anda assistindo no youtube. Ja crie a CA e instalei nas maquinas conforme varios posts e tutoriais, tentei até como proxy transparente e o resultado é o mesmo. desculpem a minha ignorancia, mas acho que eu estou usando a solução errada para o meu objetivo.

      Desde Ja agradeço!

      Valeu

      1 Reply Last reply Reply Quote 0
      • R
        rvl
        last edited by

        Gilberto, boa tarde.

        o FILTRO de SSL é para ser usado com o proxy transparente de preferencia, ja que o mesmo é feito para bloqueio de conteudo HTTPS para redes que nao é possivel usar proxy ativo.

        o certificado voce importou na RAIZ de "TRUSTED ROOT CERTIFICATION AUTHORITIES" ? Deu a mensagem do 3 print abaixo?

        abraços,

        Renan

        ![2016-11-08 15_23_54-pffwcometa.cometa.local - Proxy server_ General settings.png](/public/imported_attachments/1/2016-11-08 15_23_54-pffwcometa.cometa.local - Proxy server_ General settings.png)
        ![2016-11-08 15_23_54-pffwcometa.cometa.local - Proxy server_ General settings.png_thumb](/public/imported_attachments/1/2016-11-08 15_23_54-pffwcometa.cometa.local - Proxy server_ General settings.png_thumb)
        ![2016-11-08 15_26_17-Post reply.png](/public/imported_attachments/1/2016-11-08 15_26_17-Post reply.png)
        ![2016-11-08 15_26_17-Post reply.png_thumb](/public/imported_attachments/1/2016-11-08 15_26_17-Post reply.png_thumb)
        ![2016-11-08 15_27_52-.png](/public/imported_attachments/1/2016-11-08 15_27_52-.png)
        ![2016-11-08 15_27_52-.png_thumb](/public/imported_attachments/1/2016-11-08 15_27_52-.png_thumb)

        1 Reply Last reply Reply Quote 0
        • danilosv.03D
          danilosv.03
          last edited by

          Você no caso está querendo um relatório das páginas que os usuários estão tentando/acessando, tu pode instalar o pacote lightsquid e fazer esse controle.


          :)
          |E-mail: danilosv.03@gmail.com
          |Skype: danilosv.03


          1 Reply Last reply Reply Quote 0
          • G
            gilberto.lps
            last edited by

            Obrigado pelo retorno Renan e Danilo

            Sim Renan, a config no squid está ok e os outros prints tbm.

            Então Danilo.. sim eu preciso de um relaorio, o problema é que no log aparecem urls que eu acredito estarem criptografadas… o exemplo mais comum sao os videos do youtube que aparecem <codigo aleatorio="">.googlevideo.com, eu pensei que a inspeção SSL do squid servia para descriptografar estas urls e gravar no log. aqui na empresa algumas pessoas tem acesso ao youtube, porem eu preciso monitora-las e passar para o superior caso haja abuso</codigo>

            1 Reply Last reply Reply Quote 0
            • danilosv.03D
              danilosv.03
              last edited by

              A melhor coisa que você pode fazer é utilizar o ntopng também como gerador de relatórios.

              ![Sem título.jpg](/public/imported_attachments/1/Sem título.jpg)
              ![Sem título.jpg_thumb](/public/imported_attachments/1/Sem título.jpg_thumb)


              :)
              |E-mail: danilosv.03@gmail.com
              |Skype: danilosv.03


              1 Reply Last reply Reply Quote 0
              • R
                rvl
                last edited by

                Gilberto, qual ferramenta voce esta usando para relatorios? no meu sarg vem normal os links e possui interceptacao de SSL.

                ![2016-11-10 09_15_15-pffwcometa.cometa.local - Status_ Sarg Reports.png](/public/imported_attachments/1/2016-11-10 09_15_15-pffwcometa.cometa.local - Status_ Sarg Reports.png)
                ![2016-11-10 09_15_15-pffwcometa.cometa.local - Status_ Sarg Reports.png_thumb](/public/imported_attachments/1/2016-11-10 09_15_15-pffwcometa.cometa.local - Status_ Sarg Reports.png_thumb)

                1 Reply Last reply Reply Quote 0
                • danilosv.03D
                  danilosv.03
                  last edited by

                  @rvl:

                  Gilberto, qual ferramenta voce esta usando para relatorios? no meu sarg vem normal os links e possui interceptacao de SSL.

                  Meu querido, para a versão do pfsense 2.3.2 existe o pacote sarg?


                  :)
                  |E-mail: danilosv.03@gmail.com
                  |Skype: danilosv.03


                  1 Reply Last reply Reply Quote 0
                  • R
                    rvl
                    last edited by

                    @danilosv.03:

                    @rvl:

                    Gilberto, qual ferramenta voce esta usando para relatorios? no meu sarg vem normal os links e possui interceptacao de SSL.

                    Meu querido, para a versão do pfsense 2.3.2 existe o pacote sarg?

                    ]

                    Nao existe nao, retiraram neh  :-, mas como ele nao especificou a versao por isso enviei o print do cliente que tem o mesmo ambiente com versao mais antiga que a 2.3.2.

                    1 Reply Last reply Reply Quote 0
                    • danilosv.03D
                      danilosv.03
                      last edited by

                      @rvl:

                      @danilosv.03:

                      @rvl:

                      Gilberto, qual ferramenta voce esta usando para relatorios? no meu sarg vem normal os links e possui interceptacao de SSL.

                      Meu querido, para a versão do pfsense 2.3.2 existe o pacote sarg?

                      ]

                      Nao existe nao, retiraram neh  :-, mas como ele nao especificou a versao por isso enviei o print do cliente que tem o mesmo ambiente com versao mais antiga que a 2.3.2.

                      Antigamente eu conseguia ver um relatório de quem tentava acessar minha rede, tipo invasor etc. Tu sabe onde eu possa ver esse relatório? Eu tirava se eu não me engano isso no squid.


                      :)
                      |E-mail: danilosv.03@gmail.com
                      |Skype: danilosv.03


                      1 Reply Last reply Reply Quote 0
                      • R
                        rvl
                        last edited by

                        @danilosv.03:

                        @rvl:

                        @danilosv.03:

                        @rvl:

                        Gilberto, qual ferramenta voce esta usando para relatorios? no meu sarg vem normal os links e possui interceptacao de SSL.

                        Meu querido, para a versão do pfsense 2.3.2 existe o pacote sarg?

                        ]

                        Nao existe nao, retiraram neh  :-, mas como ele nao especificou a versao por isso enviei o print do cliente que tem o mesmo ambiente com versao mais antiga que a 2.3.2.

                        Antigamente eu conseguia ver um relatório de quem tentava acessar minha rede, tipo invasor etc. Tu sabe onde eu possa ver esse relatório? Eu tirava se eu não me engano isso no squid.

                        Cara no proprio logs do firewall mostra as conexoes negadas para sua rede, mas uma ferramenta que mostra exatamente inclusive as porta que estao sendo scaneadas eh o SNORT, o log do squid so faz o filtro de URL mesmo de acesso concedido e negado caso tenha filtro de conteudo para negacao mas isso de LAN para WAN e nao o inverso.

                        Eu uso o PFBLOCKER que tambem faz essa funcao e tem monitoramento de enderecos que estao tentando te invadir de alguma forma. Creio que o PFBLOCKER seria o mais indicado para este monitoramento, pois ele eh bem simples e funcional.

                        ![2016-11-14 12_05_48-fwadv.advanced.local - pfBlockerNG_ Alerts.png](/public/imported_attachments/1/2016-11-14 12_05_48-fwadv.advanced.local - pfBlockerNG_ Alerts.png)
                        ![2016-11-14 12_05_48-fwadv.advanced.local - pfBlockerNG_ Alerts.png_thumb](/public/imported_attachments/1/2016-11-14 12_05_48-fwadv.advanced.local - pfBlockerNG_ Alerts.png_thumb)

                        1 Reply Last reply Reply Quote 0
                        • danilosv.03D
                          danilosv.03
                          last edited by

                          Essa pacote tem pra versão 2.3.2¹?


                          :)
                          |E-mail: danilosv.03@gmail.com
                          |Skype: danilosv.03


                          1 Reply Last reply Reply Quote 0
                          • R
                            rvl
                            last edited by

                            @danilosv.03:

                            Essa pacote tem pra versão 2.3.2¹?

                            sim tem sim, "PFBLOCKER NG" tem ate esse link abaixo que o Jack ensina a configurar no pfsense 2.3.2

                            https://malwarepatrol.net/howto_pfBlockerNG.shtml

                            ![2016-11-14 14_41_42-FWLOMBARD.lombard.local - System_ Package Manager_ Available Packages.png](/public/imported_attachments/1/2016-11-14 14_41_42-FWLOMBARD.lombard.local - System_ Package Manager_ Available Packages.png)
                            ![2016-11-14 14_41_42-FWLOMBARD.lombard.local - System_ Package Manager_ Available Packages.png_thumb](/public/imported_attachments/1/2016-11-14 14_41_42-FWLOMBARD.lombard.local - System_ Package Manager_ Available Packages.png_thumb)

                            1 Reply Last reply Reply Quote 0
                            • G
                              gilberto.lps
                              last edited by

                              desculpem a demora!..

                              eu estou usando o squidAnalizer, mas ja passei pelo lightsquid tbm. vou tentar instalar o sarg, antes do pfsense eu tinha um debian com o sarg instalado, e funcionava bem.

                              um log com interceptação ssl  da pesquisa do google, em negrito o que foi pesquisado:

                              192.168.1.12 TCP_MISS/200 880 GET https://www.google.com.br/complete/search?client=chrome-omni&gs_ri=chrome-ext-ansg&xssi=t&q=pfsense+ssl&oit=4&cp=11&pgcl=9&gs_rn=42&psi=HH8MTzCiuHAu2k9z&sugkey=AIzaSyBOti4mM-6x9WDnZIjIeyEU21OpBXqWBgw - HIER_DIRECT/172.217.18.67 text/javascript

                              log do youtube:

                              https://s.youtube.com/api/stats/qoe?event=streamingstats&fmt=244&afmt=251&cpn=h4RNnNc_q1z5GoCZ&ei=zeQtWP2-HNOvwQTHxrrwBw&el=detailpage&docid=5J2Tiae77AM&ns=yt&fexp=3300017%2C3300111%2C3300133%2C3300161%2C3311881%2C3312727%2C3313321%2C9407610%2C9419451%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9434046%2C9434289%2C9439211%2C9439580%2C9439882%2C9439971%2C9441650%2C9441920%2C9446054%2C9446364%2C9446395%2C9447881%2C9448393%2C9448914%2C9449034%2C9449243%2C9449531%2C9449547%2C9451286%2C9452224%2C9452379%2C9452644%2C9454215%2C9454217%2C9454231%2C9454623&cl=139301642&html5=1&c=WEB&cver=1.20161116&cplayer=UNIPLAYER&cbr=Chrome&cbrver=54.0.2840.99&cos=Windows&cosver=6.1&cmt=0.194:0.000,0.434:0.019,10.000:9.575&vps=0.194:B,0.434:PL&aft=1102&bwm=10.000:4052575:0.976&bwe=10.000:3358324&bh=10.000:60.564&bat=10.000:1:1 - HIER_DIRECT/64.233.186.113 text/html

                              1 Reply Last reply Reply Quote 0
                              • danilosv.03D
                                danilosv.03
                                last edited by

                                @gilberto.lps:

                                desculpem a demora!..

                                eu estou usando o squidAnalizer, mas ja passei pelo lightsquid tbm. vou tentar instalar o sarg, antes do pfsense eu tinha um debian com o sarg instalado, e funcionava bem.

                                um log com interceptação ssl  da pesquisa do google, em negrito o que foi pesquisado:

                                192.168.1.12 TCP_MISS/200 880 GET https://www.google.com.br/complete/search?client=chrome-omni&gs_ri=chrome-ext-ansg&xssi=t&q=pfsense+ssl&oit=4&cp=11&pgcl=9&gs_rn=42&psi=HH8MTzCiuHAu2k9z&sugkey=AIzaSyBOti4mM-6x9WDnZIjIeyEU21OpBXqWBgw - HIER_DIRECT/172.217.18.67 text/javascript

                                log do youtube:

                                https://s.youtube.com/api/stats/qoe?event=streamingstats&fmt=244&afmt=251&cpn=h4RNnNc_q1z5GoCZ&ei=zeQtWP2-HNOvwQTHxrrwBw&el=detailpage&docid=5J2Tiae77AM&ns=yt&fexp=3300017%2C3300111%2C3300133%2C3300161%2C3311881%2C3312727%2C3313321%2C9407610%2C9419451%2C9422596%2C9428398%2C9431012%2C9433096%2C9433221%2C9433946%2C9434046%2C9434289%2C9439211%2C9439580%2C9439882%2C9439971%2C9441650%2C9441920%2C9446054%2C9446364%2C9446395%2C9447881%2C9448393%2C9448914%2C9449034%2C9449243%2C9449531%2C9449547%2C9451286%2C9452224%2C9452379%2C9452644%2C9454215%2C9454217%2C9454231%2C9454623&cl=139301642&html5=1&c=WEB&cver=1.20161116&cplayer=UNIPLAYER&cbr=Chrome&cbrver=54.0.2840.99&cos=Windows&cosver=6.1&cmt=0.194:0.000,0.434:0.019,10.000:9.575&vps=0.194:B,0.434:PL&aft=1102&bwm=10.000:4052575:0.976&bwe=10.000:3358324&bh=10.000:60.564&bat=10.000:1:1 - HIER_DIRECT/64.233.186.113 text/html

                                Não entendi a intenção do seu comentário.


                                :)
                                |E-mail: danilosv.03@gmail.com
                                |Skype: danilosv.03


                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.