Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bloqueio HTTPS com Certificado

    Scheduled Pinned Locked Moved Portuguese
    12 Posts 4 Posters 3.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      edvansolrac
      last edited by

      Bom dia pessoal,

      Comecei a usar o pfSense ontem na empresa, na verdade instalei numa VM para fazer alguns testes de bloqueios, me surgiu algumas duvidas:

      1º Pelo que andei pesquisando o bloqueios do facebook no https só se dar com o uso de certificado, tem que criar um certificado e executar o mesmo nas estações… Minha duvida é:

      Como resolver isso numa empresa com mais de 200 funcionários, tem que sair de maquina em maquina instalando o certificado?

      2º Estou usando o squid + squidGuardian, já baixei o pacote de blaklist para fazer o bloqueio por categoria, porém fiz alguns testes em sites de putaria, novamente passou os sites que usam https… Minha duvida é:

      Como contornar essa situação? visto que existe milhões de sites pornográficos no mundo, agora usando o https.

      Sou novo no pfSense, estou gostando muito da ferramenta.

      1 Reply Last reply Reply Quote 0
      • andrezaomacA
        andrezaomac
        last edited by

        @edvansolrac:

        Bom dia pessoal,

        Comecei a usar o pfSense ontem na empresa, na verdade instalei numa VM para fazer alguns testes de bloqueios, me surgiu algumas duvidas:

        1º Pelo que andei pesquisando o bloqueios do facebook no https só se dar com o uso de certificado, tem que criar um certificado e executar o mesmo nas estações… Minha duvida é:

        Como resolver isso numa empresa com mais de 200 funcionários, tem que sair de maquina em maquina instalando o certificado?

        2º Estou usando o squid + squidGuardian, já baixei o pacote de blaklist para fazer o bloqueio por categoria, porém fiz alguns testes em sites de putaria, novamente passou os sites que usam https… Minha duvida é:

        Como contornar essa situação? visto que existe milhões de sites pornográficos no mundo, agora usando o https.

        Sou novo no pfSense, estou gostando muito da ferramenta.

        O uso de certificado é conforme o cenário.

        Vc está usando proxy autenticado??? Com o proxy autenticado não necessita de certificado (pelo menos eu nunca usei), e bloqueia qualquer coisa!!!!

        Consultoria em Servidores Linux/Windows.
        contato@andrenetwork.com.br

        Tecnólogo em Redes de Computadores.
        Bacharel em Sistemas da Informação.


        http://www.andrenetwork.com.br

        Limeira - SP

        1 Reply Last reply Reply Quote 0
        • E
          edvansolrac
          last edited by

          Olá André,

          Estou usando proxy transparente!

          aqui um exemplo do uso do certificado:
          https://www.youtube.com/watch?v=neXcYtFDRLA

          OBS: Agora imagina ter que sair em 200 maquinas instalando o certificado, não tem como fazer isso em todas as maquinas de uma vez só?

          1 Reply Last reply Reply Quote 0
          • andrezaomacA
            andrezaomac
            last edited by

            @edvansolrac:

            Olá André,

            Estou usando proxy transparente!

            aqui um exemplo do uso do certificado:
            https://www.youtube.com/watch?v=neXcYtFDRLA

            OBS: Agora imagina ter que sair em 200 maquinas instalando o certificado, não tem como fazer isso em todas as maquinas de uma vez só?

            Eu particularmente nunca usei certificado.
            Quando uso servidor com proxy transparente, em regras eu bloqueio a porta 443, depois eu crio uma Aliases liberando os sites que usam 443, EX: Bancos/ webmails… isso conforme a necessidade.

            Confesso que é um pouco chato ficar fazendo isso mas funciona! E atualmente eu uso tudo autenticado!

            Consultoria em Servidores Linux/Windows.
            contato@andrenetwork.com.br

            Tecnólogo em Redes de Computadores.
            Bacharel em Sistemas da Informação.


            http://www.andrenetwork.com.br

            Limeira - SP

            1 Reply Last reply Reply Quote 0
            • E
              edvansolrac
              last edited by

              Também pensei nisso, em bloquear a porta 443, depois criar um Aliases liberando os sites que usam 443, conforme você orientou, porém achei  cansativo pq tem muitos sites https que o pessoal usa por aqui, mais se for o caso terei que fazer dessa forma mesmo.

              Sobre o uso o proxy autentificado, tentei implantar aqui, mais lidar com pessoal nao é fácil, nao querem ter que colocar usuário e senha toda vez que for navegar na rede.

              Ainda sobre o proxy autentificado, se algum usuário for lá no navegador e desmarcar o uso do proxy manual?
              tem alguma regra para forçar ele usar o proxy autenticado?

              posta o print aqui para mim.

              1 Reply Last reply Reply Quote 0
              • andrezaomacA
                andrezaomac
                last edited by

                @edvansolrac:

                Também pensei nisso, em bloquear a porta 443, depois criar um Aliases liberando os sites que usam 443, conforme você orientou, porém achei  cansativo pq tem muitos sites https que o pessoal usa por aqui, mais se for o caso terei que fazer dessa forma mesmo.

                Sobre o uso o proxy autentificado, tentei implantar aqui, mais lidar com pessoal nao é fácil, nao querem ter que colocar usuário e senha toda vez que for navegar na rede.

                Ainda sobre o proxy autentificado, se algum usuário for lá no navegador e desmarcar o uso do proxy manual?
                tem alguma regra para forçar ele usar o proxy autenticado?

                posta o print aqui para mim.

                Sobre o usuário desmarcar o proxy do navegador, SIM!

                Vc cria uma regra bloqueando as portas 80/443, consequentemente o navegador não vai mais navegar sem autenticação!

                Você pode deixar dessa forma!
                https://app.box.com/s/u7lcjtkds2otq3vu4r9rquwtacrof3oy

                vou explicar o que eu fiz!!

                Regra BLOQUEIO FULL = Nessa Aliases eu adiciono os IPS que não é para receber nenhum tipo de trafego.
                Regra FORADOPROXY = Como o próprio nome da diz, essa regra server para os IPS que não passa para o proxy, (tem acesso FULL)
                Regra PORTAS DE NAVEGAÇÃO = Essa Aliases trata o bloqueio das portas 80/443, ou seja toda estação que não estiver com proxy ativado, ela não vai navegar!! Essa regra obriga ativar o proxy do navegador.

                Consultoria em Servidores Linux/Windows.
                contato@andrenetwork.com.br

                Tecnólogo em Redes de Computadores.
                Bacharel em Sistemas da Informação.


                http://www.andrenetwork.com.br

                Limeira - SP

                1 Reply Last reply Reply Quote 0
                • E
                  edvansolrac
                  last edited by

                  Obrigado André,

                  Entendi, vou analisar e ver a melhor opção para realidade aqui da minha rede, desde já agradeço-lhe pelas dicas e esclarecimentos..

                  Sobre a questão dos bloqueios https com proxy transparente sem usar certificado ainda nao sei como o fazer, porém um colega disse que tem como fazer isso via open dns.
                  https://www.youtube.com/watch?v=o7o0TcfZEV0

                  Uma das respostas ao vídeo dele que comentei foi essa abaixo:

                  open dns bloqueia qual quer site https e com a opçao de categorias, mais pratico que ja vi nao precisa instalar certificado nas maquinas e nen criar certificado no pfsense.

                  1 Reply Last reply Reply Quote 0
                  • danilosv.03D
                    danilosv.03
                    last edited by

                    Eu uso proxy transparente e tenho mais de 600 máquinas e nunca tive problemas com CA nas máquinas. Eu instalo as CA via Politica de grupo no AD. Instala a CA automaticamente no computador que está no meu domínio. Caso você  não queira usar as CA basta você deixa no squid a opção: Splice all, porém a segurança dos acessos ficará vulnerável.


                    :)
                    |E-mail: danilosv.03@gmail.com
                    |Skype: danilosv.03


                    1 Reply Last reply Reply Quote 0
                    • E
                      edvansolrac
                      last edited by

                      Interessante a dica Danilo,

                      Tenho AD instalado aqui na empresa, no caso teria que criar uma GPO apontando a instalação do certificado CA?

                      1 Reply Last reply Reply Quote 0
                      • danilosv.03D
                        danilosv.03
                        last edited by

                        Exatamente.


                        :)
                        |E-mail: danilosv.03@gmail.com
                        |Skype: danilosv.03


                        1 Reply Last reply Reply Quote 0
                        • E
                          edvansolrac
                          last edited by

                          Galera o seguinte:

                          Veja esse print:

                          Se eu desativar essa regra Default allow LAN to any rule, perco o acesso a outros servidores em outra sub rede que temos aqui no campus.

                          Nossa rede LAN é 10.4.65.1

                          Quero desativar o Default allow LAN to any rule, preciso fazer uma regra que possa ter acesso a alguns ips da subrede como por exemplo ao 10.3.226.72.

                          Como fica essa configuração pessoal?

                          Conforme o print eu fiz uma regra para o ip 10.3.226.71, porem nao sei se está certo.

                          Ha!! esqueci de informar que uso o Squid + Squidguardian aqui no Pfsense!

                          1 Reply Last reply Reply Quote 0
                          • M
                            marcelfreitas
                            last edited by

                            Sobre isso, gostaria de tirar um duvida.
                            Quando tenho um cenário heterogêneo quando tenho estações clientes Linux e Windows, ambas autenticando no AD.
                            Como vou aplicar a GPO do certificado nas estações linux.

                            Estou tendo problemas em o FIREFOX e Chrome reconhecer esse certificado.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.