Squid + Squidguard: Liberar Whatsapp para grupos



  • Bom dia,

    Estou utilizando Squid + Squidguard para bloqueio de sites aqui na minha empresa, com integração ao meu AD. O problema está em liberar Whatsapp apenas para determinados grupos. O Squid está bloqueando as conexões, sendo que eu não tenho NENHUMA REGRA de blacklist no Squid, apenas no SquidGuard. A única maneira que eu achei de liberar seria colocando o endereço do whatsapp na Whitelist do Squid, porém, essa regra libera o Whatsapp para todos da rede interna. Meu proxy NÃO É transparente, é para 99% da minha rede, alguns não passam pelo proxy.

    Se alguem puder me dar uma luz, eu agradeço MUITO



  • Olá, qual erro que aparece nos logs?
    O problema ocorre na rede Wifi ou quando usa o whatsapp pelo browser ou app do windows?
    Há autenticação no proxy?
    Como é feito o apontamento pro proxy já que não é transparente? É apontamento direto ou por pac?



  • Bom dia, mcury
    Respondendo à seus questionamentos:

    1 - Os logs do squid (que na teoria não deveria barrar, já que não constam regras de bloqueio no mesmo) mostram apenas TCP_MISS/200 e TAG_NONE/200 para os endereços do whatsapp.com
    2 - Ocorre em quaisquer tipos de acesso
    3 - Sim, autenticação integrada ao AD
    4 - Apontamento direto via GPO



  • Já que o apontamento direto é via GPO, significa que tudo vai pelo proxy na 3128, nas opções de GPO, há uma opção de bypass destination, já tentou incluir o *.whatsapp.com lá? Essa alteração deve ser feita no grupo de AD que deseja liberar o whatsapp.
    Você está fazendo o BUMP ou splice all?



  • O apontamento direto via GPO é um script que edita o registro do Windows para configurar o proxy por usuário. "HKCU\Software\Microsoft\Windows\currentVersion\Internet Settings\ProxyServer" Não há opção de bypass destination

    Estou fazendo o Splice Whitelist, Bump Otherwise



  • Eu fiz o apontamento de maneira diferente.
    No AD, criei um perfil para o IE 10 (funciona no 11), e adicionei lá o proxy.
    Tem a opção de bypass lá, que funciona.

    O mesmo pode ser feito pelo Mozilla, e pelo Chrome, caso importe as admx para o AD.



  • O meu AD roda sob o Windows Server 2008 R2, ele só me dá a opção de configurar o proxy no navegador até o IE8



  • Nesse vídeo, o cara faz a mesma coisa que você, mas observei que tem um proxy override ali, nos registros.
    Ve se te ajuda:

    Youtube Video

    4b3aa845-02c4-45ae-84e9-9c69ad162e39-image.png



  • @mcury said in Squid + Squidguard: Liberar Whatsapp para grupos:

    *.whatsapp.com

    Boa tarde

    Desculpa a demora em responder

    Fazendo desse jeito... Criando uma GPO para aplicar o seguinte script VBS para o grupo de usuários que terá o whatsapp liberado:

    dim vProxy
    set vProxy = Wscript.CreateObject("Wscript.Shell")
    vProxy.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable", 1, "REG_DWORD"
    vProxy.RegWrite " HKCU\Software\Microsoft\Windows\currentVersion\Internet Settings\ProxyServer", "IPDOSERVIDOR:PORTASQUID", "REG_SZ"
    vProxy.RegWrite "HKCU\Software\Microsoft\Windows\currentVersion\Internet Settings\ProxyOverride", ".whatsapp.com;<local>", "REG_SZ"

    Adicionei a ultima linha em itálico para configurar o Proxy Override, conforme sua dica, e deu certo. Porém, eu gostaria de liberar isso via ACL, para ter o registro de navegação



  • Alguns serviços realmente tem que fazer bypass, normalmente com site de instituições financeiras...

    Eu ainda não emulei o seu cenário, mas conforme a descrição no campo: SSL/MITM Mode do Squid, ele vai fazer Man in the middle caso o whatsapp não esteja na lista de bypass do proxy ou não esteja na whitelist na tab ACL.

    Já testou fazendo o splice para o whatsapp colocando ele na whitelist da tab ACL do squid?
    Pela descrição, fazendo o splice, você poderia bloquear ou liberar pelo Squidguard.

    Isso está me parecendo ser uma configuração do whatsapp, que não aceita man in the middle, visto que isso poderia significa uma falha de segurança e um problema de privacidade...



  • Então, se eu coloco o Whatsapp na Whitelist do Squid ele libera para todo mundo, pois os bloqueios por grupos estão sendo feitos via SquidGuard...



  • Eu acabei de testar e consegui fazer funcionar.
    Tive que criar uma Target Category no Squidguard chamada blacklist, pode ser qualquer nome.

    Em group acl, eu pus DENY na categoria blacklist, e no Squid, pus whatsapp.com na whitelist na ACL tab.
    O acesso foi bloqueado e foi logado.

    Em outro perfil, onde a blacklist não foi colocada em Deny, o acesso funcionou (tive que apertar F5 para aparecer o QR code).



  • @mcury said in Squid + Squidguard: Liberar Whatsapp para grupos:

    whatsapp.com

    Fiz o que voce falou acima e aqui não foi não... O whatsapp é liberado para todos, incluso os que estão com DENY no SquidGuard



  • Meus acessos pro whatsapp foram bloqueados pelo squidguard, msm estando na whitelist do squid.
    Como estão os seus logs?

    00baa4f3-e18a-45c3-b8ac-320c10f4a52e-image.png

    b3a545c0-6239-4a0d-a99d-9581ba39db8a-image.png



  • Testes feitos SEM LIBERAR o Whatsapp na Whitelist do Squid

    Log do Squid
    48a1a9c1-784d-4c2d-a2cf-6277a6da181a-image.png

    Log do SquidGuard
    d7eac706-c08b-4aae-8047-f44f28c99678-image.png

    Repare que no SquidGuard NEM APARECE o Whatsapp... ele já bloqueia no Squid e não redireciona a conexão.



  • This post is deleted!


  • Estranho msm, espero que alguém ai possa te ajudar, pois no meu funcionou.

    Usei as seguintes configurações:
    Blacklist no Squidguard bloqueando domain whatsapp.com (configurada para deny no groupACL em questão).
    ACL whitelist do Squid com whatsapp.com
    Bump and splice whitelist.

    De qualquer forma, boa sorte



  • Obrigado pela ajuda, meu amigo. Pelo menos consigo liberar com o ProxyOverride, que voce me orientou.

    Mas configuro com o mesmo cenário acima e o meu não vai, o QR Code nao gera e quando tiro o proxy e consigo entrar, depois que configuro o proxy o site do whatsapp fica carregando eternamente



  • Apenas uma observação... Notei que ele está negando o endereço "web.whatsapp.com" no Squid, quando o mesmo não está na whitelist



  • Tenta isso, mantendo as configurações anteriores:

    Custom Options (Before Auth)

    acl whitelist dstdomain .whatsapp.com
    http_access allow whitelist
    acl auth proxy_auth REQUIRED
    http_access deny !auth
    http_access allow auth

    Faz em um ambiente de testes, pois pode ser que interrompa teus clientes, não testei aqui ok ?


Log in to reply