Squid Proxy com certificado ssl valido
-
Boa Tarde pessoal!!
sou novo aqui e peço desculpas se estiver fazendo uma postagem errada...gostaria apenas tirar uma duvida simples.
é Possivel comprar um certificado ssl de uma autoridade valida para fazer a interceptação ssl sem certificado auto assinado...sendo assim não precisar ficar instalando o certificado manual nos dispositivos? -
R rcoleman-netgate moved this topic from Cache/Proxy on
-
@jonathan-2 Não ajudaria em nada.
Não é a assim que SSL funciona.SSL vai garantir a conectividade do cliente para o site, sem que não haja ninguém no caminho.
O certificado é gerado para um host ou wildcard domain, ou seja, o seu certificado será diferente do certificado que o site apresentará e o navegador irá apresentar a tela de erro de certificado.
Isso acontece pois você digita no seu navegador, google.com, e o seu proxy apresenta um certificado para meucertificado.com, que não é válido para google.com.
-
@mcury Obrigado meu amigo por ter me ajduado com minha duvida. Resumidamente não temos oque fazer com a interceptação ssl com certificado? pois na minha rede tenho varios dispositivos moveis e não da para ficar fornecedno certificado para todos.
Se tiver alguma solução para me direcionar ficarei muito grato, caso não seja possivel agradeço mesmo assim a atenção. -
@jonathan-2 Para dispositivos móveis, você vai ter vários problemas.
Teria que usar proxy transparente pois seria praticamente impossível configurar manualmente o proxy em todos, e muitos ignoram a configuração de DHCP para proxy.Partindo disso, você teria que fazer bypass de alguns destinos no proxy, o que é muito trabalhoso e precisa de manutenção sempre, pois celulares atualizam, servidores mudam de IP, ou seja, você teria que estar sempre verificando se tem algum celular com whatsapp não funcionando, ou até com status "conectado mas sem internet".
É uma bela encrenca, ainda mais pois existem muitos dispositivos móveis, e em versões diferentes.
Uma outra solução, que eu não sei se vai funcionar seria o bloqueio por DNS (não testo isso há anos então não sei se vai ser viável).
Bloquear QUIC (bloquear a porta UDP 80/443) para saída.
Bloquear a porta TCP/853 (DOT - DNS over TLS) para saída.
Bloquear no pfblockerng todos os servidores DOH (DNS over HTTPS), como google, 1.1.1.1 e etc..Ainda fazendo dessa maneira, celulares tendem a ignorar o servidor DNS que você atribui por DHCP, e usam o 8.8.8.8. Nesse caso você poderia fazer um NAT jogando as conexões para 8.8.8.8 para 127.0.0.1
E daí você testa, alguns dispositivos móveis podem dar certo e outros não, ai você ajustaria.
Lembrando que a solução apresentada não é testada há anos, portanto faça em um laboratório antes de se aventurar.Eu sugiro não fazer esse tipo de bloqueio, isola esse rede em outra VLAN, ex, IOT, e dê acesso total.
No máximo configura um limiter.
Se quiser ir mais longe, põe um captive portal com autenticação radius e limite de uso de internet por dia ou algo do tipo. -
@mcury Entendi claramente meu amigo, realmente ja estou usando o squid no modo transparente, é uma pena mesmo no modo transparente eu precisar instalar o certificado manualmente na maquina...fora outros erros em aplicativos que tenho notado o log com erro referente a certificado como exemplo no kapersky, microsoft update, app itau dentre outros, acredito que no meu atual ambiente o squid vai se aplicar apenas a usuários que tem o menor previlegio possivel de acesso.
De qualquer maneira, mais uma vez agradeço imensamente pela ajuda e dicas.