Problemas com SSL Man In the Middle Filtering - Erro de certificado



  • Boa tarde amigos,
    a mais de um ano utilizo o PFSense, mas agora estou tendo problemas com a o filtro SSL. Criei o certificado e ele funciona bem, entretanto quando vou utilizar o Squidguard + proxy transparente e habilito o SSL ( splice all ou splice bump ) o whatsapp web fica todo zoado e varios sites param de funcionar. E a mensagem de erro do squidguard não aparece de forma alguma quando algum site é bloqueado.
    Quando tento acessar ao facebook por exemplo com o squidguard ativado com bloqueio em redes sociais o erro que ele me retorna é o de sites do hsts. Até aí tudo bem, é só efetuar o bypass e tudo certo. Mas o estranho mesmo é toda a minha internet ficar estranha ao habilitar o filtro SSL. No firewall as portas estão liberadas e ainda sim esse erro ocorre. Quando desabilito o filtro SSL a internet volta a funcionar normalmente.
    Alguma dica amigos ?

    PFSENSE : 2.3.4-RELEASE (i386)
    0_1527536230756_f730ffd8-96c5-482f-92ac-5d4cb5b668b0-image.png
    0_1527536258830_7c511d13-bf91-4708-9bc5-758fc935fa3d-image.png
    0_1527536305337_e581d82d-e4a2-4024-97ad-d9b14a9b0911-image.png

    0_1527536329753_dfb08ce7-3ad1-475e-a03a-5919348ca4d3-image.png



  • Desabilita o loopback e tenta de novo.



  • Ainda na mesma meu amigo. A internet da rede fica completamente zoada.



  • Instalou os certificados nas estações?



  • Posta suas confi do squidguard. E continue deixando o loopback desativado.



  • @marcelloc Estou utilizando o Splice All, que não obriga a instalação do certificado nas estações. Mas mesmo em micros com o certificado instalado , quando congifuro como Splice/Bump o erro permanece.
    Segue abaixo as configurações do SquidGuard :

    0_1527594436934_f5090271-250b-4ee5-bf59-f661c93550be-image.png

    0_1527594465001_cee93bcb-3f98-4941-83f6-0d767b0b4012-image.png

    0_1527594498691_b604caaf-57c1-4f89-bf93-5694c57394e8-image.png

    0_1527594515800_4a3700ce-4f3e-4352-9d95-2041f5589285-image.png



  • Desmarca: Enable log rotation
    NO Blacklist coloca o proxy o IP do seu FW
    E em Diversos deixa ele desabilitado também.



  • Ainda na mesma. Ao desabilitar o filtro tudo volta ao normal. Habilito o filtro e varios sites https param de funcionar.



  • Tira um print de suas ACL’s ai.





  • @bits said in Problemas com SSL Man In the Middle Filtering - Erro de certificado:

    Ainda na mesma. Ao desabilitar o filtro tudo volta ao normal. Habilito o filtro e varios sites https param de funcionar.

    Se não for erro de configuração nas acls, pode ser o problema de interceptação de ssl que o squid tem. O certificado gerado pelo squid não está em compliance com as exigências dos navegadores.



  • Remove essa rede do Subnets, Undrestricted
    Remove tudo da blacklist também ,já que você está usando o guard. E posta as ACL do Guad também



  • @marcelloc Quando leio os erros que aparecem nos navegadores a impressão é que o certificado do squid não atende as requisições dos navegadores com relação a segurança. Mas aí me arrebenta, pq não consigo filtrar nada com https.



  • @bits said in Problemas com SSL Man In the Middle Filtering - Erro de certificado:

    @marcelloc Quando leio os erros que aparecem nos navegadores a impressão é que o certificado do squid não atende as requisições dos navegadores com relação a segurança. Mas aí me arrebenta, pq não consigo filtrar nada com https.

    Exatamente. O e2guardian gera o certificado com tudo o que os navegadores pedem. Faz um lab com ele, os erros de certificado do squid foi um dos motivadores para eu começar a portar o e2guardian para o pfSense.



  • @marcelloc
    Até instalei o pacote aqui, entretanto não funcionou no meu ambiente de testes, então não confiei muito nessa solução.
    Por que digo que não funcionou :
    Continuei tendo os erros de SSL e os bloqueios não funcionavam , além dele não fazer o acompanhamento dos sites.
    Minha motivação inicial era realmente de efetuar a migração para o E2Guardian.
    Me tira uma duvida, no E2Guardian eu preciso deixar meu squid ativo ? Ou ele funciona independente ?



  • Ele funciona independente do squid. Até recomendo você não usar ele com o squid.



  • @danilosv-03
    Tentei instalar aqui novamente o E2Guardian e agora aparece essa mensagem de erro toda vez que atualizo a dashboard :

    Crash report begins. Anonymous machine information:

    i386
    10.3-RELEASE-p19
    FreeBSD 10.3-RELEASE-p19 #0 bbfdb9a1d(RELENG_2_3_4): Wed May 3 16:17:37 CDT 2017 root@ce23-i386-builder:/builder/pfsense-234/tmp/obj/builder/pfsense-234/tmp/FreeBSD-src/sys/pfSense

    Crash report details:

    PHP Errors:
    [29-May-2018 14:53:28 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library ‘/usr/local/lib/php/20131226/zmq.so’ - /usr/local/lib/libsodium.so.18: Undefined symbol “explicit_bzero” in Unknown on line 0
    [29-May-2018 14:53:33 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library ‘/usr/local/lib/php/20131226/zmq.so’ - /usr/local/lib/libsodium.so.18: Undefined symbol “explicit_bzero” in Unknown on line 0
    [29-May-2018 14:54:00 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library ‘/usr/local/lib/php/20131226/zmq.so’ - /usr/local/lib/libsodium.so.18: Undefined symbol “explicit_bzero” in Unknown on line 0
    [29-May-2018 14:54:30 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library ‘/usr/local/lib/php/20131226/zmq.so’ - /usr/local/lib/libsodium.so.18: Undefined symbol “explicit_bzero” in Unknown on line 0
    [29-May-2018 14:54:35 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library ‘/usr/local/lib/php/20131226/zmq.so’ - /usr/local/lib/libsodium.so.18: Undefined symbol “explicit_bzero” in Unknown on line 0
    [29-May-2018 14:55:00 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library ‘/usr/local/lib/php/20131226/zmq.so’ - /usr/local/lib/libsodium.so.18: Undefined symbol “explicit_bzero” in Unknown on line 0
    [29-May-2018 14:56:00 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library ‘/usr/local/lib/php/20131226/zmq.so’ - /usr/local/lib/libsodium.so.18: Undefined symbol “explicit_bzero” in Unknown on line 0
    [29-May-2018 14:56:48 America/Sao_Paulo] PHP Warning: PHP Startup: Unable to load dynamic library ‘/usr/local/lib/php/20131226/zmq.so’ - /usr/local/lib/libsodium.so.18: Undefined symbol “explicit_bzero” in Unknown on line 0

    No FreeBSD crash data found.

    Como resolvo ?



  • Consegue ir para a 2.4? Acho que esse erro está relacionado a comilação do e2guardian. As libs de criptografia que ele usa, só tem disponível a partir do freebsd 10.4 e o pfSense 2.3 usa o freebsd 10.3



  • @marcelloc a partir do 2.4 já funciona de boas ?



  • @bits said in Problemas com SSL Man In the Middle Filtering - Erro de certificado:

    @marcelloc a partir do 2.4 já funciona de boas ?

    Sim. É a versão que eu uso.



  • @marcelloc meu problema permanece.
    O site do UOL por exemplo não entre, fica dando erro de certificado.
    Usei os procedimentos em : https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/
    E ainda estou tendo problemas com esse bendito filtro SSL.
    Alguma dica ?



  • Configura de acordo com esse video

    https://youtu.be/tao1tiXFefk


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy