Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [SOLUCIONADO] PROBLEMAS CON FILTRO WEB

    Español
    2
    6
    2.2k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • ?
      A Former User
      last edited by

      Saludos, actualmente acabo de implementar el filtrado web en https con proxy transparente, todo abda bien y respecta las reglas, el problema es que cuando accedo a cualquier pagina de una entidad bancaria me aparece este error:

      **ERROR

      The requested URL could not be retrieved

      The following error was encountered while trying to retrieve the URL: https://148.244.45.125/*

      Failed to establish a secure connection to 148.244.45.125

      The system returned:

      (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
      Handshake with SSL server failed: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

      This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.

      Your cache administrator is admin@localhost.**

      Cree una lista blanca en el Squid y nada, cree una lista de exclusion para el Squidguard pero nada, alguien podra darme una mano.

      1 Reply Last reply Reply Quote 0
      • J
        j.sejo1
        last edited by

        Al ser lista Blanca.

        Que tal si te creas un alias con esas IP por ejemplo llamada: Bancos

        Y luego la colocas en la configuración del proxy transparente en la sección:

        "Bypass Proxy for These Destination IPs"

        Y te quitas el lío de los certificados con la técnica "SSL Man In the Middle Filtering" que aveces hecha broma, sobretodo en las paginas bancarias que tienen opciones de seguridad en la mayoría de los casos avanzadas.

        Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
        Hardening Linux
        Telegram: @vtlbackupbacula
        http://www.smartitbc.com/en/contact.html

        1 Reply Last reply Reply Quote 0
        • ?
          A Former User
          last edited by

          Excelente amigo muchas gracias me sirvio, una consulta es normal que los certificados validados con icono verde sean ahora rojos? esto mejoraría o fuera mas transparente si trabajara con un active directory y el proxy de manera autenticada? y por ultimo sabes mas o menos que tipo de filtrado manejan los bancos para que ocurran estas incidencias?

          P.D= Todo trabaja ok sobre Chrome pero tengo problemas con firefox, se tiene que cargar el certificado en cada navegador?

          1 Reply Last reply Reply Quote 0
          • J
            j.sejo1
            last edited by

            1. Respecto a lo de los certificados, con iconos verdes o rojos, la advertencia que te da el navegador es que tienes un certificado por delante que no es el original del servidor destino, esto es por la técnica de "Hombre en el Medio", por eso instalar un certificado en cada navegador que te da el proxy para la cadena de confianza.

            2. Para autenticar, sea por AD u OpenLdap,  el proxy deja de ser transparente, en resumen:  Proxy Transparente= No Autentica.    Proxy NO transparente= Si autentica.

            Con el Proxy No transparente, solventas el lio del https:  si vas a bloquear loquesea.com  sea mediante http o https.  La desventaja?  El despliegue:  si son 500 usuarios son 500 maquinas que debes configurar proxy, al menos que tengas un AD y despliegues una GPO o con WPAD,  Yo en mi experiencia prefiero ir a lo lento pero seguro, y planifico un despliegue progresivo y luego cuando todos estan migrados, cierro el chorro.  Quien no navegue, es por que no tiene proxy configurado.  Tambien esto ayuda a mejorar el uso de tu enlace.

            Cuando un proxy es Transparente,  todo pasa por la Red buscando internet (windows update, antivirus, dns, skype, programas etc etc etc) Cuando cierras ese chorro, la unica salida es por el proxy.

            1. Los bancos implementan seguridad "porl o general" avanzadas en sus servidores Web con HTTPS,  eso lo hacen con Apache, IIS, Ngix, Webshpere, tomcat, jboss, etc etc etc).

            Ellos pueden colocar reglas para evitar técnicas de "hombre en el medio" a nivel de SSL.

            Tanto asi: que por ej a nivel de Apache tu puedes crear una regla: que el acceso a tu pagina Web. debe ser única y exclusivamente escribiendo la url directa en el navegador,  es decir que si la buscar por google al darle click al link, no vas a entrar (paranoia).

            Pero bueno ya son temas fuera de pfsense.

            Saludos.

            Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
            Hardening Linux
            Telegram: @vtlbackupbacula
            http://www.smartitbc.com/en/contact.html

            1 Reply Last reply Reply Quote 0
            • ?
              A Former User
              last edited by

              Listo doc muchas gracias por el aporte nos vemos suerte.

              1 Reply Last reply Reply Quote 0
              • ?
                A Former User
                last edited by

                Saludos amigo tengo habilitado el filtrado ssl en el proxy en modo transparente y todo andaba ok al terminar el despliegue me di con la sorpresa que solo 2 equipos de la red no podían acceder a google y en el log aparecía esto:

                06.10.2017 13:00:27      192.168.15.23    TCP_MEM_HIT/200    http://www.msftconnecttest.com/connecttest.txt    -    -
                06.10.2017 13:00:26    192.168.15.23    TCP_MEM_HIT/200    http://www.msftconnecttest.com/connecttest.txt    -    -
                06.10.2017 13:00:23    192.168.15.23    TAG_NONE/200    65.52.2

                y demás servicios de este les aparecía el mensaje de certificado invalido, dentro de los usuarios que navegaban con normalidad me reportaron que no podían acceder a skype y hasta el gerente general cuya ip la exclui del filtrado me mostró que tenia problemas al momento de editar un archivo en drive le cortó automáticamente la conexión y le dice que el certificado es invalido.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post