WPAD não filtrando SSL
-
Boa noite a todos, galera, estou usando o e2Guardian + WPAD para jogar o proxy transparente. porém o mesmo só filtra HTTP quando é sites HTTPS ele não filtra e acaba passando, teria alguma maneira de filtrar esse SSL (HTTPS) usando o Wpad. Agradeço desde já!
-
@klayson-coutinho Opa..
Eu não uso e2Guardian, mas há um erro de conceito ai.
Proxy transparente não precisa de WPAD.
Ou usa proxy transparente, ou proxy explícito, que é o WPAD.
O proxy transparente vai interceptar todas as conexões HTTP. E também HTTPS caso o Intercept SSL esteja habilitado no proxy.
Nesse caso, o computador não sabe que o proxy existe.Quando você usa WPAD, no caso arquivo PAC, conhecido como proxy explícito, o computador envia as solicitações propositalmente para o proxy, pois o cliente sabe de sua existência. Ou seja, o proxy não é transparente (invisível para o cliente).
O uso do PAC ajuda a fazer bypass de proxy.
Nesse caso de bypass do proxy pelo arquivo PAC, o computador acessaria direto o site, não enviando a solicitação através do proxy.No caso do proxy transparente, não é tão trivial fazer o bypass, pois o cliente não sabe da existência do proxy, portanto, tudo será interceptado.
Você tem algumas opções de bypass do proxy transparente, mas essas configurações tem que ser feitas no proxy e não no cliente, e mesmo fazendo bypass no proxy transparente, algumas aplicações ou sites podem não funcionar corretamente.Proxy transparente é bom para filtar IOT, como celulares, pois esses equipamentos normalmente não aceitam configuração de proxy, ou não "pegam" o arquivo PAC pelo WPAD, seja por DHCP ou por DNS.
A vantagem do proxy explícito é a facilidade de bypass por domínio ou URL, e também a possibilidade de autenticação.
-
@mcury Acredito eu que entendi!! não sou 100% em pfsense!! estou aprendendo ainda! nesse caso que preciso bloquear sites http e https, o que me sugere??
-
@klayson-coutinho Você vai bloquear equipamentos IOT, como por exemplo celulares?
Ou são apenas computadores, como se fosse em uma empresa?Caso sejam equipamentos como celulares, apenas o proxy transparente vai te ajudar.
Nesse caso não precisa de arquivo PAC nem nada, apenas habilite lá o proxy transparente e interceptação SSL.Caso sejam computadores, eu recomendo desabilitar o proxy transparente, e utilizar apenas o arquivo PAC, que seja por WPAD mesmo.
Assim, você poderá fazer bypass de proxy para sites de bancos como por exemplo, .itau.
Dessa forma, o computador do cliente usará o arquivo PAC para saber o que precisa acessar diretamente, e resto será jogado para o proxy.
Com essa configuração, também será possível a configuração de autenticação no proxy. -
@mcury Nesse caso no meus clientes serão, tanto celulares, notebooks e desktops..!! eu já estou rodando um pfsense em produção em um cliente, porém quando é para bloquear determinados sites em https, não se bloqueia nada..rsrs se puder me ajudar ficarei grato..rs
-
@klayson-coutinho Eu faria a separação da rede IOT da rede de computadores.
Celulares pessoais conectam em uma rede WIFI diferente, que seria uma VLAN diferente no pfsense.
Nessa VLAN, eu deixaria sem proxy (tudo liberado).
Recomendaria uma política interna na empresa dizendo que acessos indevidos como pornografia por exemplo, resultariam em advertências ou algo do tipo.
Mas caso queira bloquear (não recomendo pois muita gente ia reclamar que o aplicativo do Itaú não abre por exemplo), eu habilitaria o proxy transparente.
Existem maneiras de corrigir o acesso ao aplicativo do Itaú, mas você como administrador, estaria enroscado e sempre precisando atualizar listas de URL ou ranges de IP no proxy, pois o Itau está sempre atualizando seus servidores, adquirindo mais servidores por exemplo..
E olha que só falei do Itáu, imagina a quantidade de problemas que você pode ter.Computadores e laptops da empresa, conectariam em uma outra rede (outra VLAN/subnet).
Nessa VLAN, eu não habilitaria proxy transparente, e usaria arquivo PAC.
Fazendo desta maneira, bypass de acordo com a necessidade, apenas utilizando domínios e urls.
Você não precisaria de listas de URLs ou de IPs a serem atualizadas.
E caso no futuro você quisesse autenticar os usuários, poderia prosseguir dessa maneira também. -
@mcury você teria telegram, skype ou WhatsApp para que possamos trocar uma ideia melhor sobre esse escopo? pois a princípio queria fazer coisas simples, bloquear sites https (porno por exemplo, pois na empresa os funcionários usam muito..srsrs) e bloquear alguns http e aonde bloquear? caminho no caso..rsrs
-
@klayson-coutinho Tenho sim, pode me mandar uma mensagem privada que te ajudo amanhã e te passo meu telegram.
-
@mcury tentei enviar e deu erro..rsrs
-
@klayson-coutinho vou tentar de mandar um opa com meu telegram, mas só vou poder ajudar amanhã, to indo jantar e ficar com a patroa