Squid Transparente + Bloqueo HTTPS/SSL Interception



  • Que tal raza pfSense, cada vez somos más  8)

    Desde las américas les consulto lo siguiente, tengo un pfSense configurado como Router/Firewall en una de mis empresas montado sobre un equipo XCY Intel Mini PC Celeron J1800 2.41GHz que adquirí por Amazon 8) el dispositivo esta super y el pfsense se mueve como la seda. El problema que tengo o mas que problema es una inquietud porque me gustan los detalles, es que lo tengo configurando con Squid+SquidGuard en modo transparente (la red consta de mas de 400 clientes) con el modo HTTPS/SSL Interception y me funciona de 10, pero, he aqui el pero, diseñe una pagina web de error con contenido informativo al cliente para cuando los sitios no permitidos se bloquen el squidGuard redirija a esa pagina, pero solo me funciona con sitios HTTP y mas no con HTTPS, porque en estos sale el famoso mensaje:

    Falló la conexión segura
    Un error ha ocurrido al conectarse a www.facebook.com. SSL ha recibido un registro que excedía la longitud máxima permitida. Código de error: SSL_ERROR_RX_RECORD_TOO_LONG

    Y justamente esto es lo que quiero cambiar, que igual me reenvie a la pagina de error cuando sean sitios HTTPS, he buscado en el universo GOOGLE pero no he podido encontrar algo que me pueda sacar esta inquietud, y como dije antes me gustan lo pequeños detalles, pues quiero que cada sitio bloqueado por squidGuard ya sea HTTP o HTTPS el cliente sea redirigido a la pagina de error personalizada con los dibujitos y todo  ;D

    Espero alguno de ustedes conozca el modo de lograrlo y me de una luz para poder alcanzar el nivel estético que quiero.

    Saludos raza pfSense, esperando respuestas quedo  ::)



  • https://wiki.squid-cache.org/Features/CustomErrors#Custom_error_pages_not_displayed_for_HTTPS

    Ya es algo del Squid, que esperemos que en futuras versiones lo incluyan o tengan la opcion de un reedirect.

    Saludos.



  • Gracias por la respuesta.

    La verdad he desitido del uso de Squid+SquidGuard debido a este detalle y he preferido utilizar una combinación de Bind9 mas NORTONDNS, que por lo menos me muestra cierta información donde le indica al cliente el porque de la razón del bloqueo. Y me esta funcioando perfectamente. Asi me evito que los clientes de la red me esten contactando solo para decirme que un sistio web no abre porque sale un error que ellos no entienden.

    Justamente eso era lo que buscaba, que al bloquear sitios HTTPS por medio de SQUID el cliente recibiera una página de error indicandole que había sido bloqueda por los filtros de la red, y como comenté antes el error poco informativo para un simple mortal no informático que quería eliminar hace que los clientes me llamen indicandome que el facebook o el instagram no se puede abrir para que revise algún problema en la red.

    En fin, espero que los desarrolladores de la mancuerna SQUID+SQUIDGUARD habiliten esta funcionalidad a futuro.

    Saludos raza, hasta otra  8)



  • Me parece que el uso de los DNS de Norton estan bien pero hasta donde he visto no ofrecen la granularidad que a veces se requieren en algunos ambientes.

    Los he usado en un par de ocasiones pero solo se puede usar alguno de los 3 perfiles definidos por el proveedor.

    Tal vez el usar alguna suite como la de sophos o alguna otra suite de seguridad comercial podria resultar un poco màs granular y sencilla de implementar.

    saludos.



  • Lo que comentas tiene sentido estimado acriollo, ya que es un servicio que bajo cuerda tienes sus condiciones, pero al final para una carga media de trabajo funciona de manera decente. Lo implementé en este escenario de manera temporal, hasta que logre en algún momento lo que en principio estoy buscando, el detalle estético en la pantalla del cliente.

    Los NortonDNS los tengo combinado con SQUID en modo NO-transparente para cachear todo el trafico web y utilizando WPAD para autoconf, y hasta ahora los resultados son positivos, sin embargo realicé algunas pruebas usando OpenDNS con una cuenta Prosumer y aquí si me falló la combinación. Al parecer OpenDNS maneja de forma diferente sus algoritmos de filtros.

    Por cierto que he estado pensando en escribir a Squid Mailing Lists comentandole este pequeño detalle, a ver si me hacen caso  8) porque soy de los creen en la filosofía que los detalles estéticos venden, y un cliente bien informado es un cliente contento.

    pSense+Squid+SquidGuard son una tremenda combinación y la utilizo en casi todos los sistemas que administro, algunos escenarios virtualizados y otros utilizando como hardware los XCY Intel Mini PC Celeron J1800 2.41GHz Fanless Mini PC With 2GB RAM And 32GB SSD, estos se consiguen por buenos precios en sitios como AliExpress, Amazon y similares.

    En fin, seguiremos buscando algún truco certero que funcione, saludos raza pfSense desde las américas.