Após implantação da Inspeção SSL os APPs de celular nao comunicam



  • Bom dia a todos;

    Tenho o PFSENSE em minha infraestrutura como gateway de uma rede wifi fisicamente separada da minha LAN, foi solicitado o bloqueio de algumas categorias assim foi feito com o squid guard, porém para um bloqueio que realmente seja efetivo faz-se necesssária a inspeção SSL e foi ai onde tive problemas para aplicações de celulares, primeiramente testei nos computadores importei o certificado como raiz certificadora confiável e tudo funciona como esperado, porém ao conectar o celular nenhum APP funciona.

    Gostaria de saber se algum de vocês já passou por isso e qual seria a possível solução.



  • @tiago_rocha:

    Bom dia a todos;

    Tenho o PFSENSE em minha infraestrutura como gateway de uma rede wifi fisicamente separada da minha LAN, foi solicitado o bloqueio de algumas categorias assim foi feito com o squid guard, porém para um bloqueio que realmente seja efetivo faz-se necesssária a inspeção SSL e foi ai onde tive problemas para aplicações de celulares, primeiramente testei nos computadores importei o certificado como raiz certificadora confiável e tudo funciona como esperado, porém ao conectar o celular nenhum APP funciona.

    Gostaria de saber se algum de vocês já passou por isso e qual seria a possível solução.

    Boa tarde, use o squid com a função "SSL/MITM Mode" em "Splice all", desta forma, não é necessário gerar um certificado.



  • Boa Tarde,

    Obrigado pela resposta…

    Eu fiz a configuração com o splice all e tive o seguinte resultado:

    1 - APPs de celular funcionando
    2 - Sites HTTP no browser sem funcionar.


    Fiz um teste aqui e tive o seguinte resultado:

    Coloquei como split all e como Mode;
    Apaguei o certificado que tinha importado na máquina

    Após essas ações:

    Voltei a acessar os sites com https
    acessei o xvideos sem o http e foi bloqueado normalmente,
    acessei o mesmo site com https e o acesso foi permitido.

    teoricamente com o split all era para bloquar o xvideos tabém com o https ou nao?



  • O que exatamente você quer liberar? Você tem uma opção no squidguard -> common ACL e marque a opção: Use SafeSearch engine, ele inibe qualquer tentativa de pesquisar sites pornográficos. Contrapartida ele não bloqueia apenas algumas imagens.



  • Boa tarde danilo,

    Eu gostaria que ele se comportasse como definido no swquid guard e com inspeção do SSL, no squid guard so tem duas categorias bloqueadas (sexo e spam), ou seja não era para bloquear nada alem disso, e ele está bloqueando os APPs.

    Quanto a criar ACL torna-se inviável é melhor não ter a inspeção e assumir o risco.

    ja pensou criar ACL com cada APP que o cidadão quiser utilizar no seu celular… essa rede não é restritiva...



  • Você já viu os log dos bloqueios? Mande os print de suas configurações ai.



  • Segue as Imagens.

    Caso precise de mais é só avisar














  • Acredito que você tenha que refazer bastante coisa nas suas configurações KKKKK
    Chega até ser meio confuso. Antes de eu tentar te ajudar, me fale um pouco sobre tua necessidade ai.



  • No squid em Local Cache clique em CLEAR DISK CACHE NOW. Após isso reinicie o serviço do squid e teste novamente.



  • Danilo,

    Eu tenho 2 redes wifi separadas por vlan, quero que ele bloquei apenas sexo e spam e sites maliciosos e quero que os apps de celular se comportem de acordo com o esse bloqueio.

    Para isso funcionar preciso de inspeção SSL…

    Mas pode explicar tudo que precisa mudar, trabalho com firewalls a 4 anos, apesar da minha primeira experiência com PFSENSE.

    Fale da forma confusa que eu acho que entendo.



  • Tem a necessidade de você marcar a opção: Do not verify remote certificate (senão, desmarque)
    Marque a opção: Sets tge "not before" Em Certificate adapt.
    Você não vai trabalhar com o proxy ativo nas rede: LAN e WIFI? As demais são quais redes? Você vai usar a interceptação apenas na VISITOR?
    Em SSLZ Man in the middle você sabe o que cada SSL faz?
    Splice Whitelist, Bump Otherwise:
    Splice All:
    Custom:
    Eu utilizo a Splice whitelist.

    No seu squidguard, você criou um grupo com toda as faixa de IP da sua rede, onde todos dessa faixa ficará livre para acessar tudo? Essa faixa faz parte da outra VLAN que você quer apenas bloqueia sites +18 etc?



  • Danilo,

    Seguem as respostas:

    Primeiramente dizer que esse cenário está ai devido a testes para que funcionasse.

    Você não vai trabalhar com o proxy ativo nas rede: LAN e WIFI? As demais são quais redes? Você vai usar a interceptação apenas na VISITOR?

    Vamos lá, essa rede é fisicamente separada da rede LAN por questões de segurança do grupo, essa rede lan está ai somente para eu administrar o firewall.
                        A rede WIFI foi o nome que dei a interface de VLAN para as redes DIR e VISITOR ela não tem IP ela existe somente para as interfaces de VLAN

    Em SSLZ Man in the middle você sabe o que cada SSL faz?
    Sei sim, como falei estava fazendo testes eu começei utilizando a splice whitelist e para desktops tudo funciona certinho tenho problemas com os APPs de celular.



  • Que tipo de APP está dando problema? Você já tentou pega os Range de IP dessas aplicações e criou uma aliases colocando elas no bypass do seu squid?para resolver esse problema?



  • Vamos la, alguns APPS eu já sabia que iriam dar problemas como banco e dropbox.

    Banco pelos problemas já conhecidos de todos, dropbox eu sabia pois tive problemas quando trabalhava com consultoria eu fui implantar um fortigate em um cliente e me bati muito ate entender que ele possui sua própia cadeia de certificados dentro do programa e não aceita outros certificados que não façam parte dessa cadeia.

    Porem tive problemas com Whats app(não baixa videos e fotos), facebook(não funciona nada), Instagram (não tive problemas), Linkedin (ão funciona nada)

    Resumindo essa wifi dir é mto sensível pois o usuário final é mto importante e eu não tenho como saber 100% dos apps que eles usam para ficar liberando range (acredito que vc me entenda nessa questao), eu já peguei os ranges do wpp e do facebook tanto dos bancos porem é inviável e vai causar impacto negativo na imagem da T.I fazer isso para N aplicativos existentes.



  • Cara isso é muito fácil de se resolver. Cria aliases liberando no seu squid: Bypass Proxy for These Destination IPs (isso para bancos etc). Outro ponto que fiz também foi no squid acl colocando da seguinte maneira: Fiz isso e todos funcionaram 100%

    .*\.bradesco
    .*\.equatorialenergia
    .*\bradesco
    .*\.arkadin
    .*\.logmein
    .*\.bancobrasil.com.br
    .*\.caixa\
    

    Faz o seguinte, me chama no skype que eu te ajudo é bem melhor.



  • Ja add la


Log in to reply