Bloqueio HTTPS com Certificado
-
Bom dia pessoal,
Comecei a usar o pfSense ontem na empresa, na verdade instalei numa VM para fazer alguns testes de bloqueios, me surgiu algumas duvidas:
1º Pelo que andei pesquisando o bloqueios do facebook no https só se dar com o uso de certificado, tem que criar um certificado e executar o mesmo nas estações… Minha duvida é:
Como resolver isso numa empresa com mais de 200 funcionários, tem que sair de maquina em maquina instalando o certificado?
2º Estou usando o squid + squidGuardian, já baixei o pacote de blaklist para fazer o bloqueio por categoria, porém fiz alguns testes em sites de putaria, novamente passou os sites que usam https… Minha duvida é:
Como contornar essa situação? visto que existe milhões de sites pornográficos no mundo, agora usando o https.
Sou novo no pfSense, estou gostando muito da ferramenta.
-
Bom dia pessoal,
Comecei a usar o pfSense ontem na empresa, na verdade instalei numa VM para fazer alguns testes de bloqueios, me surgiu algumas duvidas:
1º Pelo que andei pesquisando o bloqueios do facebook no https só se dar com o uso de certificado, tem que criar um certificado e executar o mesmo nas estações… Minha duvida é:
Como resolver isso numa empresa com mais de 200 funcionários, tem que sair de maquina em maquina instalando o certificado?
2º Estou usando o squid + squidGuardian, já baixei o pacote de blaklist para fazer o bloqueio por categoria, porém fiz alguns testes em sites de putaria, novamente passou os sites que usam https… Minha duvida é:
Como contornar essa situação? visto que existe milhões de sites pornográficos no mundo, agora usando o https.
Sou novo no pfSense, estou gostando muito da ferramenta.
O uso de certificado é conforme o cenário.
Vc está usando proxy autenticado??? Com o proxy autenticado não necessita de certificado (pelo menos eu nunca usei), e bloqueia qualquer coisa!!!!
-
Olá André,
Estou usando proxy transparente!
aqui um exemplo do uso do certificado:
https://www.youtube.com/watch?v=neXcYtFDRLAOBS: Agora imagina ter que sair em 200 maquinas instalando o certificado, não tem como fazer isso em todas as maquinas de uma vez só?
-
Olá André,
Estou usando proxy transparente!
aqui um exemplo do uso do certificado:
https://www.youtube.com/watch?v=neXcYtFDRLAOBS: Agora imagina ter que sair em 200 maquinas instalando o certificado, não tem como fazer isso em todas as maquinas de uma vez só?
Eu particularmente nunca usei certificado.
Quando uso servidor com proxy transparente, em regras eu bloqueio a porta 443, depois eu crio uma Aliases liberando os sites que usam 443, EX: Bancos/ webmails… isso conforme a necessidade.Confesso que é um pouco chato ficar fazendo isso mas funciona! E atualmente eu uso tudo autenticado!
-
Também pensei nisso, em bloquear a porta 443, depois criar um Aliases liberando os sites que usam 443, conforme você orientou, porém achei cansativo pq tem muitos sites https que o pessoal usa por aqui, mais se for o caso terei que fazer dessa forma mesmo.
Sobre o uso o proxy autentificado, tentei implantar aqui, mais lidar com pessoal nao é fácil, nao querem ter que colocar usuário e senha toda vez que for navegar na rede.
Ainda sobre o proxy autentificado, se algum usuário for lá no navegador e desmarcar o uso do proxy manual?
tem alguma regra para forçar ele usar o proxy autenticado?posta o print aqui para mim.
-
Também pensei nisso, em bloquear a porta 443, depois criar um Aliases liberando os sites que usam 443, conforme você orientou, porém achei cansativo pq tem muitos sites https que o pessoal usa por aqui, mais se for o caso terei que fazer dessa forma mesmo.
Sobre o uso o proxy autentificado, tentei implantar aqui, mais lidar com pessoal nao é fácil, nao querem ter que colocar usuário e senha toda vez que for navegar na rede.
Ainda sobre o proxy autentificado, se algum usuário for lá no navegador e desmarcar o uso do proxy manual?
tem alguma regra para forçar ele usar o proxy autenticado?posta o print aqui para mim.
Sobre o usuário desmarcar o proxy do navegador, SIM!
Vc cria uma regra bloqueando as portas 80/443, consequentemente o navegador não vai mais navegar sem autenticação!
Você pode deixar dessa forma!
https://app.box.com/s/u7lcjtkds2otq3vu4r9rquwtacrof3oyvou explicar o que eu fiz!!
Regra BLOQUEIO FULL = Nessa Aliases eu adiciono os IPS que não é para receber nenhum tipo de trafego.
Regra FORADOPROXY = Como o próprio nome da diz, essa regra server para os IPS que não passa para o proxy, (tem acesso FULL)
Regra PORTAS DE NAVEGAÇÃO = Essa Aliases trata o bloqueio das portas 80/443, ou seja toda estação que não estiver com proxy ativado, ela não vai navegar!! Essa regra obriga ativar o proxy do navegador. -
Obrigado André,
Entendi, vou analisar e ver a melhor opção para realidade aqui da minha rede, desde já agradeço-lhe pelas dicas e esclarecimentos..
Sobre a questão dos bloqueios https com proxy transparente sem usar certificado ainda nao sei como o fazer, porém um colega disse que tem como fazer isso via open dns.
https://www.youtube.com/watch?v=o7o0TcfZEV0Uma das respostas ao vídeo dele que comentei foi essa abaixo:
open dns bloqueia qual quer site https e com a opçao de categorias, mais pratico que ja vi nao precisa instalar certificado nas maquinas e nen criar certificado no pfsense.
-
Eu uso proxy transparente e tenho mais de 600 máquinas e nunca tive problemas com CA nas máquinas. Eu instalo as CA via Politica de grupo no AD. Instala a CA automaticamente no computador que está no meu domínio. Caso você não queira usar as CA basta você deixa no squid a opção: Splice all, porém a segurança dos acessos ficará vulnerável.
-
Interessante a dica Danilo,
Tenho AD instalado aqui na empresa, no caso teria que criar uma GPO apontando a instalação do certificado CA?
-
Exatamente.
-
Galera o seguinte:
Veja esse print:
Se eu desativar essa regra Default allow LAN to any rule, perco o acesso a outros servidores em outra sub rede que temos aqui no campus.
Nossa rede LAN é 10.4.65.1
Quero desativar o Default allow LAN to any rule, preciso fazer uma regra que possa ter acesso a alguns ips da subrede como por exemplo ao 10.3.226.72.
Como fica essa configuração pessoal?
Conforme o print eu fiz uma regra para o ip 10.3.226.71, porem nao sei se está certo.
Ha!! esqueci de informar que uso o Squid + Squidguardian aqui no Pfsense!
-
Sobre isso, gostaria de tirar um duvida.
Quando tenho um cenário heterogêneo quando tenho estações clientes Linux e Windows, ambas autenticando no AD.
Como vou aplicar a GPO do certificado nas estações linux.Estou tendo problemas em o FIREFOX e Chrome reconhecer esse certificado.