Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Interceptação ssl

    Portuguese
    2
    20
    1825
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      guilhermepaixao95 last edited by

      Ola amigos,

      Ja vi muitos tópicos sobre esse mesmo assunto mas ainda nao consegui uma solução me ajudem por favor.

      Estou utilizando o squid e o squidgard quando utilizo o proxy não-transparente o squid faz a interceptação SSL perfeitamente gera a tela de bloqueio e não da erro de segurança do certificado HTTPs.

      Mas quando habilito o proxy transparente ele começa a apresentar o erro do certificado HTTPS e para de fazer o bloqueio.

      Não posso utilizar o proxy não-transparente porque muitos funcionários utilizam notebooks em outras redes.

      Alguém tem alguma ideia do que eu possa fazer?

      Feliz ano novo a Todos  :)

      1 Reply Last reply Reply Quote 0
      • danilosv.03
        danilosv.03 last edited by

        @guilhermepaixao95:

        Ola amigos,

        Ja vi muitos tópicos sobre esse mesmo assunto mas ainda nao consegui uma solução me ajudem por favor.

        Estou utilizando o squid e o squidgard quando utilizo o proxy não-transparente o squid faz a interceptação SSL perfeitamente gera a tela de bloqueio e não da erro de segurança do certificado HTTPs.

        Mas quando habilito o proxy transparente ele começa a apresentar o erro do certificado HTTPS e para de fazer o bloqueio.

        Não posso utilizar o proxy não-transparente porque muitos funcionários utilizam notebooks em outras redes.

        Alguém tem alguma ideia do que eu possa fazer?

        Feliz ano novo a Todos  :)

        Post suas configurações do squid e squidguard.
        A importação do certificado aos usuários, como está sendo feita? Via AD? E qual navegador você está utilizando?

        1 Reply Last reply Reply Quote 0
        • G
          guilhermepaixao95 last edited by

          @danilosv.03:

          @guilhermepaixao95:

          Ola amigos,

          Ja vi muitos tópicos sobre esse mesmo assunto mas ainda nao consegui uma solução me ajudem por favor.

          Estou utilizando o squid e o squidgard quando utilizo o proxy não-transparente o squid faz a interceptação SSL perfeitamente gera a tela de bloqueio e não da erro de segurança do certificado HTTPs.

          Mas quando habilito o proxy transparente ele começa a apresentar o erro do certificado HTTPS e para de fazer o bloqueio.

          Não posso utilizar o proxy não-transparente porque muitos funcionários utilizam notebooks em outras redes.

          Alguém tem alguma ideia do que eu possa fazer?

          Feliz ano novo a Todos  :)

          Post suas configurações do squid e squidguard.
          A importação do certificado aos usuários, como está sendo feita? Via AD? E qual navegador você está utilizando?

          As configurações utilizadas são bem padrao. Em anexo tem imagens com as telas General do squid e squidguard… Não tem nenhuma configuração diferentes da padrão... Criei o certificado instalei ele via AD nas maquinas.

          Essas sao imagens do meu servidor de teste. Esse servido foi montado a partir de um backup do original.

          ![squid 1.PNG](/public/imported_attachments/1/squid 1.PNG)
          ![squid 1.PNG_thumb](/public/imported_attachments/1/squid 1.PNG_thumb)
          ![squid 2.PNG](/public/imported_attachments/1/squid 2.PNG)
          ![squid 2.PNG_thumb](/public/imported_attachments/1/squid 2.PNG_thumb)
          ![squid 3.PNG](/public/imported_attachments/1/squid 3.PNG)
          ![squid 3.PNG_thumb](/public/imported_attachments/1/squid 3.PNG_thumb)
          ![squid 4.PNG](/public/imported_attachments/1/squid 4.PNG)
          ![squid 4.PNG_thumb](/public/imported_attachments/1/squid 4.PNG_thumb)
          ![squid 5.PNG](/public/imported_attachments/1/squid 5.PNG)
          ![squid 5.PNG_thumb](/public/imported_attachments/1/squid 5.PNG_thumb)
          ![Squidgard 1.PNG](/public/imported_attachments/1/Squidgard 1.PNG)
          ![Squidgard 1.PNG_thumb](/public/imported_attachments/1/Squidgard 1.PNG_thumb)
          ![Squidgard 2.PNG](/public/imported_attachments/1/Squidgard 2.PNG)
          ![Squidgard 2.PNG_thumb](/public/imported_attachments/1/Squidgard 2.PNG_thumb)

          1 Reply Last reply Reply Quote 0
          • danilosv.03
            danilosv.03 last edited by

            No seu squid: Desmarque a opção: Do not verify remote certificate

            1 Reply Last reply Reply Quote 0
            • G
              guilhermepaixao95 last edited by

              @danilosv.03:

              No seu squid: Desmarque a opção: Do not verify remote certificate

              Amigo muito obrigado começou a interceptar não imaginei que seria uma coisa tao simples. Desculpe pela falta de atenção com essa opção. Uma ultima coisa agora ele não esta apresentando a tela de bloqueio do Squid esta apenas com essa mensagem. Quando faz o bloqueio do dominio.

              400 Bad Request

              The plain HTTP request was sent to HTTPS port
              nginx

              1 Reply Last reply Reply Quote 0
              • danilosv.03
                danilosv.03 last edited by

                @guilhermepaixao95:

                @danilosv.03:

                No seu squid: Desmarque a opção: Do not verify remote certificate

                Amigo muito obrigado começou a interceptar não imaginei que seria uma coisa tao simples. Desculpe pela falta de atenção com essa opção. Uma ultima coisa agora ele não esta apresentando a tela de bloqueio do Squid esta apenas com essa mensagem. Quando faz o bloqueio do dominio.

                400 Bad Request

                The plain HTTP request was sent to HTTPS port
                nginx

                TU tem regra de porta na tua rede?

                1 Reply Last reply Reply Quote 0
                • G
                  guilhermepaixao95 last edited by

                  Sim. Pelo fireall/ Rules >

                  Libera apenas saida das  53/80/443/3129/3128 e algumas para serviços internos.

                  Bloqueio total - como regra final.

                  1 Reply Last reply Reply Quote 0
                  • danilosv.03
                    danilosv.03 last edited by

                    @guilhermepaixao95:

                    Sim. Pelo fireall/ Rules >

                    Libera apenas saida das  53/80/443/3129/3128 e algumas para serviços internos.

                    Bloqueio total - como regra final.

                    Se você já tem um squid e squidguard para fazer os bloqueios de serviços, esse erro é extremamente normal por virtude de ter block duplicados, tanto de porta quanto de aplicação no seu squid e squiguard. Tente liberar todas as portas e deixa que o seu proxy faça os bloqueios.

                    1 Reply Last reply Reply Quote 0
                    • G
                      guilhermepaixao95 last edited by

                      @danilosv.03:

                      @guilhermepaixao95:

                      Sim. Pelo fireall/ Rules >

                      Libera apenas saida das  53/80/443/3129/3128 e algumas para serviços internos.

                      Bloqueio total - como regra final.

                      Se você já tem um squid e squidguard para fazer os bloqueios de serviços, esse erro é extremamente normal por virtude de ter block duplicados, tanto de porta quanto de aplicação no seu squid e squiguard. Tente liberar todas as portas e deixa que o seu proxy faça os bloqueios.

                      Recriei a regra padrão do pfsese de liberar tudo para IPV4 e IPV6 mas o erro continua… Como se trata no momento de um ambiente de teste reiniciei o pfsense para reler todas as regras mas não deu certo.

                      1 Reply Last reply Reply Quote 0
                      • danilosv.03
                        danilosv.03 last edited by

                        @guilhermepaixao95:

                        @danilosv.03:

                        @guilhermepaixao95:

                        Sim. Pelo fireall/ Rules >

                        Libera apenas saida das  53/80/443/3129/3128 e algumas para serviços internos.

                        Bloqueio total - como regra final.

                        Se você já tem um squid e squidguard para fazer os bloqueios de serviços, esse erro é extremamente normal por virtude de ter block duplicados, tanto de porta quanto de aplicação no seu squid e squiguard. Tente liberar todas as portas e deixa que o seu proxy faça os bloqueios.

                        Você utiliza protocolo IPv6? Tira print de suas rules.

                        Recriei a regra padrão do pfsese de liberar tudo para IPV4 e IPV6 mas o erro continua… Como se trata no momento de um ambiente de teste reiniciei o pfsense para reler todas as regras mas não deu certo.

                        1 Reply Last reply Reply Quote 0
                        • G
                          guilhermepaixao95 last edited by

                          Esta tudo liberado o IPV6 só foi por ir eu utilizo ipv4.


                          1 Reply Last reply Reply Quote 0
                          • danilosv.03
                            danilosv.03 last edited by

                            bom tem pacote passando pelo o trafego. Tire print do ACL do squid e do seu squidguard.

                            1 Reply Last reply Reply Quote 0
                            • G
                              guilhermepaixao95 last edited by

                              @danilosv.03:

                              bom tem pacote passando pelo o trafego. Tire print do ACL do squid e do seu squidguard.

                              A tela ACL do squid esta vazia nenhuma configuração. No squid gard esta assim

                              !blk_BL_chat
                              !blk_BL_porn
                              !blk_BL_sex_education
                              !blk_BL_sex_lingerie
                              !blk_BL_socialnet
                              !blk_BL_spyware
                              !blk_BL_weapons
                              !blk_BL_webradio

                              Defaut access [all]  Allow
                              e qaundo estiver tudo funcionando vou criar uma Target Categories  com sites mais expecificos para bloquear como o youtube e spotfy


                              1 Reply Last reply Reply Quote 0
                              • danilosv.03
                                danilosv.03 last edited by

                                O social net já faz esse bloqueio. Agora sobre bloqueia o spotify ele vem bloqueado nas opções: music e podcast. Agora se tu quiser  bloqueia o programa da potify tem um o tutorial no fórum já.

                                1 Reply Last reply Reply Quote 0
                                • G
                                  guilhermepaixao95 last edited by

                                  Amigo agradeço muito sua ajuda esta tudo funcionando, Agora vou replicar tudo no pfsense verdadeiro e que tudo de certo… Vamos nessa.

                                  :) :) :)

                                  1 Reply Last reply Reply Quote 0
                                  • danilosv.03
                                    danilosv.03 last edited by

                                    Fico feliz por ter ajudado. Agradece no tópico que te ajudou, isso ajuda na pesquisa aqui no fórum.

                                    1 Reply Last reply Reply Quote 0
                                    • G
                                      guilhermepaixao95 last edited by

                                      Bom Dia Amigos,

                                      Foi fazer a implantação do serviço em meu firewall ativo mas tive um problema.

                                      Ativei a interceptação ssl em 50% das maquinas funcionaram. O pior de tudo as maquinas que não funcionaram são Windows 7 Ultimate o que era para ter a maior compatibilidade. No win 10 rodou que é uma beleza.

                                      Uma coisa que eu reparei é que quando eu vou ver o certificado dentro do navegar ele aparece conforme a imagem.

                                      Ele não reconhece o site só http…. Alguém ja viu isso.

                                      ![Sem título.png](/public/imported_attachments/1/Sem título.png)
                                      ![Sem título.png_thumb](/public/imported_attachments/1/Sem título.png_thumb)

                                      1 Reply Last reply Reply Quote 0
                                      • danilosv.03
                                        danilosv.03 last edited by

                                        Seus certificados eles estão sendo gerado por onde?Manual ou via AD?
                                        Refaça. Tire print de toda sua configuração do squid, não esquece de mandar a do cache também.

                                        1 Reply Last reply Reply Quote 0
                                        • G
                                          guilhermepaixao95 last edited by

                                          @danilosv.03:

                                          Seus certificados eles estão sendo gerado por onde?Manual ou via AD?
                                          Refaça. Tire print de toda sua configuração do squid, não esquece de mandar a do cache também.

                                          Estou instalando ela manualmente. As configuração confirme você me ajudou ontem via skype, ja passo as configurações.

                                          O certificado acabei de testar esta sendo aceito em alguns win 7 são maquinas mais especificas que não estão rodando.

                                          Vou rodar uma atualização do windows que esta parada nessas maquinas para ver acho que deve ser isso…

                                          Sabe me dizer se o modelo do certificado sha256 é incompatível com alguma versão do windows o Technet não especifica

                                          1 Reply Last reply Reply Quote 0
                                          • danilosv.03
                                            danilosv.03 last edited by

                                            não. A certificação funciona para qualquer tipo de sistema operacional. Tenta fazer essa atualização ou então faz um teste fazendo uma outra instalação.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post

                                            Products

                                            • Platform Overview
                                            • TNSR
                                            • pfSense
                                            • Appliances

                                            Services

                                            • Training
                                            • Professional Services

                                            Support

                                            • Subscription Plans
                                            • Contact Support
                                            • Product Lifecycle
                                            • Documentation

                                            News

                                            • Media Coverage
                                            • Press
                                            • Events

                                            Resources

                                            • Blog
                                            • FAQ
                                            • Find a Partner
                                            • Resource Library
                                            • Security Information

                                            Company

                                            • About Us
                                            • Careers
                                            • Partners
                                            • Contact Us
                                            • Legal
                                            Our Mission

                                            We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                            Subscribe to our Newsletter

                                            Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                            © 2021 Rubicon Communications, LLC | Privacy Policy