Bloqueio HTTPS com Certificado



  • Bom dia pessoal,

    Comecei a usar o pfSense ontem na empresa, na verdade instalei numa VM para fazer alguns testes de bloqueios, me surgiu algumas duvidas:

    Pelo que andei pesquisando o bloqueios do facebook no https só se dar com o uso de certificado, tem que criar um certificado e executar o mesmo nas estações… Minha duvida é:

    Como resolver isso numa empresa com mais de 200 funcionários, tem que sair de maquina em maquina instalando o certificado?

    Estou usando o squid + squidGuardian, já baixei o pacote de blaklist para fazer o bloqueio por categoria, porém fiz alguns testes em sites de putaria, novamente passou os sites que usam https… Minha duvida é:

    Como contornar essa situação? visto que existe milhões de sites pornográficos no mundo, agora usando o https.

    Sou novo no pfSense, estou gostando muito da ferramenta.



  • @edvansolrac:

    Bom dia pessoal,

    Comecei a usar o pfSense ontem na empresa, na verdade instalei numa VM para fazer alguns testes de bloqueios, me surgiu algumas duvidas:

    Pelo que andei pesquisando o bloqueios do facebook no https só se dar com o uso de certificado, tem que criar um certificado e executar o mesmo nas estações… Minha duvida é:

    Como resolver isso numa empresa com mais de 200 funcionários, tem que sair de maquina em maquina instalando o certificado?

    Estou usando o squid + squidGuardian, já baixei o pacote de blaklist para fazer o bloqueio por categoria, porém fiz alguns testes em sites de putaria, novamente passou os sites que usam https… Minha duvida é:

    Como contornar essa situação? visto que existe milhões de sites pornográficos no mundo, agora usando o https.

    Sou novo no pfSense, estou gostando muito da ferramenta.

    O uso de certificado é conforme o cenário.

    Vc está usando proxy autenticado??? Com o proxy autenticado não necessita de certificado (pelo menos eu nunca usei), e bloqueia qualquer coisa!!!!



  • Olá André,

    Estou usando proxy transparente!

    aqui um exemplo do uso do certificado:
    Youtube Video

    OBS: Agora imagina ter que sair em 200 maquinas instalando o certificado, não tem como fazer isso em todas as maquinas de uma vez só?



  • @edvansolrac:

    Olá André,

    Estou usando proxy transparente!

    aqui um exemplo do uso do certificado:
    Youtube Video

    OBS: Agora imagina ter que sair em 200 maquinas instalando o certificado, não tem como fazer isso em todas as maquinas de uma vez só?

    Eu particularmente nunca usei certificado.
    Quando uso servidor com proxy transparente, em regras eu bloqueio a porta 443, depois eu crio uma Aliases liberando os sites que usam 443, EX: Bancos/ webmails… isso conforme a necessidade.

    Confesso que é um pouco chato ficar fazendo isso mas funciona! E atualmente eu uso tudo autenticado!



  • Também pensei nisso, em bloquear a porta 443, depois criar um Aliases liberando os sites que usam 443, conforme você orientou, porém achei  cansativo pq tem muitos sites https que o pessoal usa por aqui, mais se for o caso terei que fazer dessa forma mesmo.

    Sobre o uso o proxy autentificado, tentei implantar aqui, mais lidar com pessoal nao é fácil, nao querem ter que colocar usuário e senha toda vez que for navegar na rede.

    Ainda sobre o proxy autentificado, se algum usuário for lá no navegador e desmarcar o uso do proxy manual?
    tem alguma regra para forçar ele usar o proxy autenticado?

    posta o print aqui para mim.



  • @edvansolrac:

    Também pensei nisso, em bloquear a porta 443, depois criar um Aliases liberando os sites que usam 443, conforme você orientou, porém achei  cansativo pq tem muitos sites https que o pessoal usa por aqui, mais se for o caso terei que fazer dessa forma mesmo.

    Sobre o uso o proxy autentificado, tentei implantar aqui, mais lidar com pessoal nao é fácil, nao querem ter que colocar usuário e senha toda vez que for navegar na rede.

    Ainda sobre o proxy autentificado, se algum usuário for lá no navegador e desmarcar o uso do proxy manual?
    tem alguma regra para forçar ele usar o proxy autenticado?

    posta o print aqui para mim.

    Sobre o usuário desmarcar o proxy do navegador, SIM!

    Vc cria uma regra bloqueando as portas 80/443, consequentemente o navegador não vai mais navegar sem autenticação!

    Você pode deixar dessa forma!
    https://app.box.com/s/u7lcjtkds2otq3vu4r9rquwtacrof3oy

    vou explicar o que eu fiz!!

    Regra BLOQUEIO FULL = Nessa Aliases eu adiciono os IPS que não é para receber nenhum tipo de trafego.
    Regra FORADOPROXY = Como o próprio nome da diz, essa regra server para os IPS que não passa para o proxy, (tem acesso FULL)
    Regra PORTAS DE NAVEGAÇÃO = Essa Aliases trata o bloqueio das portas 80/443, ou seja toda estação que não estiver com proxy ativado, ela não vai navegar!! Essa regra obriga ativar o proxy do navegador.



  • Obrigado André,

    Entendi, vou analisar e ver a melhor opção para realidade aqui da minha rede, desde já agradeço-lhe pelas dicas e esclarecimentos..

    Sobre a questão dos bloqueios https com proxy transparente sem usar certificado ainda nao sei como o fazer, porém um colega disse que tem como fazer isso via open dns.
    Youtube Video

    Uma das respostas ao vídeo dele que comentei foi essa abaixo:

    open dns bloqueia qual quer site https e com a opçao de categorias, mais pratico que ja vi nao precisa instalar certificado nas maquinas e nen criar certificado no pfsense.



  • Eu uso proxy transparente e tenho mais de 600 máquinas e nunca tive problemas com CA nas máquinas. Eu instalo as CA via Politica de grupo no AD. Instala a CA automaticamente no computador que está no meu domínio. Caso você  não queira usar as CA basta você deixa no squid a opção: Splice all, porém a segurança dos acessos ficará vulnerável.



  • Interessante a dica Danilo,

    Tenho AD instalado aqui na empresa, no caso teria que criar uma GPO apontando a instalação do certificado CA?



  • Exatamente.



  • Galera o seguinte:

    Veja esse print:

    Se eu desativar essa regra Default allow LAN to any rule, perco o acesso a outros servidores em outra sub rede que temos aqui no campus.

    Nossa rede LAN é 10.4.65.1

    Quero desativar o Default allow LAN to any rule, preciso fazer uma regra que possa ter acesso a alguns ips da subrede como por exemplo ao 10.3.226.72.

    Como fica essa configuração pessoal?

    Conforme o print eu fiz uma regra para o ip 10.3.226.71, porem nao sei se está certo.

    Ha!! esqueci de informar que uso o Squid + Squidguardian aqui no Pfsense!



  • Sobre isso, gostaria de tirar um duvida.
    Quando tenho um cenário heterogêneo quando tenho estações clientes Linux e Windows, ambas autenticando no AD.
    Como vou aplicar a GPO do certificado nas estações linux.

    Estou tendo problemas em o FIREFOX e Chrome reconhecer esse certificado.


Log in to reply