• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Bloqueio HTTPS com Certificado

Scheduled Pinned Locked Moved Portuguese
12 Posts 4 Posters 3.8k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • E
    edvansolrac
    last edited by May 30, 2017, 11:34 AM

    Bom dia pessoal,

    Comecei a usar o pfSense ontem na empresa, na verdade instalei numa VM para fazer alguns testes de bloqueios, me surgiu algumas duvidas:

    1º Pelo que andei pesquisando o bloqueios do facebook no https só se dar com o uso de certificado, tem que criar um certificado e executar o mesmo nas estações… Minha duvida é:

    Como resolver isso numa empresa com mais de 200 funcionários, tem que sair de maquina em maquina instalando o certificado?

    2º Estou usando o squid + squidGuardian, já baixei o pacote de blaklist para fazer o bloqueio por categoria, porém fiz alguns testes em sites de putaria, novamente passou os sites que usam https… Minha duvida é:

    Como contornar essa situação? visto que existe milhões de sites pornográficos no mundo, agora usando o https.

    Sou novo no pfSense, estou gostando muito da ferramenta.

    1 Reply Last reply Reply Quote 0
    • A
      andrezaomac
      last edited by May 30, 2017, 11:45 AM

      @edvansolrac:

      Bom dia pessoal,

      Comecei a usar o pfSense ontem na empresa, na verdade instalei numa VM para fazer alguns testes de bloqueios, me surgiu algumas duvidas:

      1º Pelo que andei pesquisando o bloqueios do facebook no https só se dar com o uso de certificado, tem que criar um certificado e executar o mesmo nas estações… Minha duvida é:

      Como resolver isso numa empresa com mais de 200 funcionários, tem que sair de maquina em maquina instalando o certificado?

      2º Estou usando o squid + squidGuardian, já baixei o pacote de blaklist para fazer o bloqueio por categoria, porém fiz alguns testes em sites de putaria, novamente passou os sites que usam https… Minha duvida é:

      Como contornar essa situação? visto que existe milhões de sites pornográficos no mundo, agora usando o https.

      Sou novo no pfSense, estou gostando muito da ferramenta.

      O uso de certificado é conforme o cenário.

      Vc está usando proxy autenticado??? Com o proxy autenticado não necessita de certificado (pelo menos eu nunca usei), e bloqueia qualquer coisa!!!!

      Consultoria em Servidores Linux/Windows.
      contato@andrenetwork.com.br

      Tecnólogo em Redes de Computadores.
      Bacharel em Sistemas da Informação.


      http://www.andrenetwork.com.br

      Limeira - SP

      1 Reply Last reply Reply Quote 0
      • E
        edvansolrac
        last edited by May 30, 2017, 11:55 AM

        Olá André,

        Estou usando proxy transparente!

        aqui um exemplo do uso do certificado:
        https://www.youtube.com/watch?v=neXcYtFDRLA

        OBS: Agora imagina ter que sair em 200 maquinas instalando o certificado, não tem como fazer isso em todas as maquinas de uma vez só?

        1 Reply Last reply Reply Quote 0
        • A
          andrezaomac
          last edited by May 30, 2017, 12:04 PM

          @edvansolrac:

          Olá André,

          Estou usando proxy transparente!

          aqui um exemplo do uso do certificado:
          https://www.youtube.com/watch?v=neXcYtFDRLA

          OBS: Agora imagina ter que sair em 200 maquinas instalando o certificado, não tem como fazer isso em todas as maquinas de uma vez só?

          Eu particularmente nunca usei certificado.
          Quando uso servidor com proxy transparente, em regras eu bloqueio a porta 443, depois eu crio uma Aliases liberando os sites que usam 443, EX: Bancos/ webmails… isso conforme a necessidade.

          Confesso que é um pouco chato ficar fazendo isso mas funciona! E atualmente eu uso tudo autenticado!

          Consultoria em Servidores Linux/Windows.
          contato@andrenetwork.com.br

          Tecnólogo em Redes de Computadores.
          Bacharel em Sistemas da Informação.


          http://www.andrenetwork.com.br

          Limeira - SP

          1 Reply Last reply Reply Quote 0
          • E
            edvansolrac
            last edited by May 30, 2017, 12:18 PM

            Também pensei nisso, em bloquear a porta 443, depois criar um Aliases liberando os sites que usam 443, conforme você orientou, porém achei  cansativo pq tem muitos sites https que o pessoal usa por aqui, mais se for o caso terei que fazer dessa forma mesmo.

            Sobre o uso o proxy autentificado, tentei implantar aqui, mais lidar com pessoal nao é fácil, nao querem ter que colocar usuário e senha toda vez que for navegar na rede.

            Ainda sobre o proxy autentificado, se algum usuário for lá no navegador e desmarcar o uso do proxy manual?
            tem alguma regra para forçar ele usar o proxy autenticado?

            posta o print aqui para mim.

            1 Reply Last reply Reply Quote 0
            • A
              andrezaomac
              last edited by May 30, 2017, 12:27 PM

              @edvansolrac:

              Também pensei nisso, em bloquear a porta 443, depois criar um Aliases liberando os sites que usam 443, conforme você orientou, porém achei  cansativo pq tem muitos sites https que o pessoal usa por aqui, mais se for o caso terei que fazer dessa forma mesmo.

              Sobre o uso o proxy autentificado, tentei implantar aqui, mais lidar com pessoal nao é fácil, nao querem ter que colocar usuário e senha toda vez que for navegar na rede.

              Ainda sobre o proxy autentificado, se algum usuário for lá no navegador e desmarcar o uso do proxy manual?
              tem alguma regra para forçar ele usar o proxy autenticado?

              posta o print aqui para mim.

              Sobre o usuário desmarcar o proxy do navegador, SIM!

              Vc cria uma regra bloqueando as portas 80/443, consequentemente o navegador não vai mais navegar sem autenticação!

              Você pode deixar dessa forma!
              https://app.box.com/s/u7lcjtkds2otq3vu4r9rquwtacrof3oy

              vou explicar o que eu fiz!!

              Regra BLOQUEIO FULL = Nessa Aliases eu adiciono os IPS que não é para receber nenhum tipo de trafego.
              Regra FORADOPROXY = Como o próprio nome da diz, essa regra server para os IPS que não passa para o proxy, (tem acesso FULL)
              Regra PORTAS DE NAVEGAÇÃO = Essa Aliases trata o bloqueio das portas 80/443, ou seja toda estação que não estiver com proxy ativado, ela não vai navegar!! Essa regra obriga ativar o proxy do navegador.

              Consultoria em Servidores Linux/Windows.
              contato@andrenetwork.com.br

              Tecnólogo em Redes de Computadores.
              Bacharel em Sistemas da Informação.


              http://www.andrenetwork.com.br

              Limeira - SP

              1 Reply Last reply Reply Quote 0
              • E
                edvansolrac
                last edited by May 30, 2017, 12:44 PM

                Obrigado André,

                Entendi, vou analisar e ver a melhor opção para realidade aqui da minha rede, desde já agradeço-lhe pelas dicas e esclarecimentos..

                Sobre a questão dos bloqueios https com proxy transparente sem usar certificado ainda nao sei como o fazer, porém um colega disse que tem como fazer isso via open dns.
                https://www.youtube.com/watch?v=o7o0TcfZEV0

                Uma das respostas ao vídeo dele que comentei foi essa abaixo:

                open dns bloqueia qual quer site https e com a opçao de categorias, mais pratico que ja vi nao precisa instalar certificado nas maquinas e nen criar certificado no pfsense.

                1 Reply Last reply Reply Quote 0
                • danilosv.03D
                  danilosv.03
                  last edited by May 30, 2017, 1:39 PM

                  Eu uso proxy transparente e tenho mais de 600 máquinas e nunca tive problemas com CA nas máquinas. Eu instalo as CA via Politica de grupo no AD. Instala a CA automaticamente no computador que está no meu domínio. Caso você  não queira usar as CA basta você deixa no squid a opção: Splice all, porém a segurança dos acessos ficará vulnerável.


                  :)
                  |E-mail: danilosv.03@gmail.com
                  |Skype: danilosv.03


                  1 Reply Last reply Reply Quote 0
                  • E
                    edvansolrac
                    last edited by May 30, 2017, 2:14 PM

                    Interessante a dica Danilo,

                    Tenho AD instalado aqui na empresa, no caso teria que criar uma GPO apontando a instalação do certificado CA?

                    1 Reply Last reply Reply Quote 0
                    • danilosv.03D
                      danilosv.03
                      last edited by May 30, 2017, 2:21 PM

                      Exatamente.


                      :)
                      |E-mail: danilosv.03@gmail.com
                      |Skype: danilosv.03


                      1 Reply Last reply Reply Quote 0
                      • E
                        edvansolrac
                        last edited by Jun 9, 2017, 11:58 AM Jun 9, 2017, 11:49 AM

                        Galera o seguinte:

                        Veja esse print:

                        Se eu desativar essa regra Default allow LAN to any rule, perco o acesso a outros servidores em outra sub rede que temos aqui no campus.

                        Nossa rede LAN é 10.4.65.1

                        Quero desativar o Default allow LAN to any rule, preciso fazer uma regra que possa ter acesso a alguns ips da subrede como por exemplo ao 10.3.226.72.

                        Como fica essa configuração pessoal?

                        Conforme o print eu fiz uma regra para o ip 10.3.226.71, porem nao sei se está certo.

                        Ha!! esqueci de informar que uso o Squid + Squidguardian aqui no Pfsense!

                        1 Reply Last reply Reply Quote 0
                        • M
                          marcelfreitas
                          last edited by Jun 9, 2017, 1:13 PM

                          Sobre isso, gostaria de tirar um duvida.
                          Quando tenho um cenário heterogêneo quando tenho estações clientes Linux e Windows, ambas autenticando no AD.
                          Como vou aplicar a GPO do certificado nas estações linux.

                          Estou tendo problemas em o FIREFOX e Chrome reconhecer esse certificado.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                            This community forum collects and processes your personal information.
                            consent.not_received