Problemas com SSL Man In the Middle Filtering - Erro de certificado

Bits · May 28, 2018, 7:39 PM

Boa tarde amigos,
a mais de um ano utilizo o PFSense, mas agora estou tendo problemas com a o filtro SSL. Criei o certificado e ele funciona bem, entretanto quando vou utilizar o Squidguard + proxy transparente e habilito o SSL ( splice all ou splice bump ) o whatsapp web fica todo zoado e varios sites param de funcionar. E a mensagem de erro do squidguard não aparece de forma alguma quando algum site é bloqueado.
Quando tento acessar ao facebook por exemplo com o squidguard ativado com bloqueio em redes sociais o erro que ele me retorna é o de sites do hsts. Até aí tudo bem, é só efetuar o bypass e tudo certo. Mas o estranho mesmo é toda a minha internet ficar estranha ao habilitar o filtro SSL. No firewall as portas estão liberadas e ainda sim esse erro ocorre. Quando desabilito o filtro SSL a internet volta a funcionar normalmente.
Alguma dica amigos ?

PFSENSE : 2.3.4-RELEASE (i386)

danilosv.03 · May 28, 2018, 7:43 PM

Desabilita o loopback e tenta de novo.

Bits · May 28, 2018, 8:26 PM

Ainda na mesma meu amigo. A internet da rede fica completamente zoada.

marcelloc · May 28, 2018, 8:55 PM

Instalou os certificados nas estações?

danilosv.03 · May 29, 2018, 11:35 AM

Posta suas confi do squidguard. E continue deixando o loopback desativado.

Bits · May 29, 2018, 11:48 AM

@marcelloc Estou utilizando o Splice All, que não obriga a instalação do certificado nas estações. Mas mesmo em micros com o certificado instalado , quando congifuro como Splice/Bump o erro permanece.
Segue abaixo as configurações do SquidGuard :

danilosv.03 · May 29, 2018, 11:50 AM

Desmarca: Enable log rotation
NO Blacklist coloca o proxy o IP do seu FW
E em Diversos deixa ele desabilitado também.

Bits · May 29, 2018, 1:08 PM

Ainda na mesma. Ao desabilitar o filtro tudo volta ao normal. Habilito o filtro e varios sites https param de funcionar.

danilosv.03 · May 29, 2018, 1:15 PM

Tira um print de suas ACL's ai.

Bits · May 29, 2018, 2:16 PM

@danilosv-03

marcelloc · May 29, 2018, 2:17 PM

@bits said in Problemas com SSL Man In the Middle Filtering - Erro de certificado:

Ainda na mesma. Ao desabilitar o filtro tudo volta ao normal. Habilito o filtro e varios sites https param de funcionar.

Se não for erro de configuração nas acls, pode ser o problema de interceptação de ssl que o squid tem. O certificado gerado pelo squid não está em compliance com as exigências dos navegadores.

danilosv.03 · May 29, 2018, 2:18 PM

Remove essa rede do Subnets, Undrestricted
Remove tudo da blacklist também ,já que você está usando o guard. E posta as ACL do Guad também

Bits · May 29, 2018, 3:10 PM

@marcelloc Quando leio os erros que aparecem nos navegadores a impressão é que o certificado do squid não atende as requisições dos navegadores com relação a segurança. Mas aí me arrebenta, pq não consigo filtrar nada com https.

marcelloc · May 29, 2018, 3:19 PM

@bits said in Problemas com SSL Man In the Middle Filtering - Erro de certificado:

@marcelloc Quando leio os erros que aparecem nos navegadores a impressão é que o certificado do squid não atende as requisições dos navegadores com relação a segurança. Mas aí me arrebenta, pq não consigo filtrar nada com https.

Exatamente. O e2guardian gera o certificado com tudo o que os navegadores pedem. Faz um lab com ele, os erros de certificado do squid foi um dos motivadores para eu começar a portar o e2guardian para o pfSense.

Bits · May 29, 2018, 3:40 PM

@marcelloc
Até instalei o pacote aqui, entretanto não funcionou no meu ambiente de testes, então não confiei muito nessa solução.
Por que digo que não funcionou :
Continuei tendo os erros de SSL e os bloqueios não funcionavam , além dele não fazer o acompanhamento dos sites.
Minha motivação inicial era realmente de efetuar a migração para o E2Guardian.
Me tira uma duvida, no E2Guardian eu preciso deixar meu squid ativo ? Ou ele funciona independente ?

danilosv.03 · May 29, 2018, 4:59 PM

Ele funciona independente do squid. Até recomendo você não usar ele com o squid.

Bits · May 29, 2018, 5:58 PM

@danilosv-03
Tentei instalar aqui novamente o E2Guardian e agora aparece essa mensagem de erro toda vez que atualizo a dashboard :

Crash report begins. Anonymous machine information:

i386
10.3-RELEASE-p19
FreeBSD 10.3-RELEASE-p19 #0 bbfdb9a1d(RELENG_2_3_4): Wed May 3 16:17:37 CDT 2017 root@ce23-i386-builder:/builder/pfsense-234/tmp/obj/builder/pfsense-234/tmp/FreeBSD-src/sys/pfSense

Crash report details:

PHP Errors:
[29-May-2018 14:53:28 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:53:33 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:54:00 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:54:30 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:54:35 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:55:00 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:56:00 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0
[29-May-2018 14:56:48 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/local/lib/php/20131226/zmq.so' - /usr/local/lib/libsodium.so.18: Undefined symbol "explicit_bzero" in Unknown on line 0

No FreeBSD crash data found.

Como resolvo ?

marcelloc · May 29, 2018, 7:23 PM

Consegue ir para a 2.4? Acho que esse erro está relacionado a comilação do e2guardian. As libs de criptografia que ele usa, só tem disponível a partir do freebsd 10.4 e o pfSense 2.3 usa o freebsd 10.3

Bits · May 30, 2018, 1:03 PM

@marcelloc a partir do 2.4 já funciona de boas ?

marcelloc · May 30, 2018, 1:03 PM

@bits said in Problemas com SSL Man In the Middle Filtering - Erro de certificado:

@marcelloc a partir do 2.4 já funciona de boas ?

Sim. É a versão que eu uso.