4. Bloqueio https Pfsense com Squid Autenticado

Bloqueio https Pfsense com Squid Autenticado

  • W

    Boa tarde!
    Pessoal esse é meu primeiro post, já fiz muita leitura sobre o tema bloqueio Https (Facebook), mas não estou tendo sucesso.
    Meu cenário é o seguinte:
    Cisco appliance ASA5505(onde estão meus links de Internet)
    Servidor Pfsense 2.1(Lan /Wan) com
    Squid com autenticação openLdap (funcionando OK)
    SquidGuard

    Portas liberadas(lan)
    DNS(53),LDAP(389),PROXY(3128)

    Portas bloqueadas(lan)
    http,https e range ips Facebook

    Se eu tirar o proxy (navegador) e liberar as portas http e https eu aplicar as regras de bloqueios Facebook e consigo bloquear certinho. O problema que eu preciso do proxy autenticado. Se eu colocar no proxy novamente mesmo com as regras de bloqueio o https(facebook) passa batido.
    Pelo log dá para perceber que o squid é quem faz esse redicionamento, pois todas as requisições vão pela porta 3128 e não pela 443.
    Tentei fazer a seguinte regra já que tenho que liberar a porta do squid,mas não funcionou para bloquear o Facebook:

    Proto  Source  Port  Destination  Port  Gateway  Action
    Ipv4  LAN net  *    !Facebook    3128      *        Pass

    Pelo que percebi pelo proxy transparente é fácil ,mas estou apanhando feio com o proxy autenticado.

    Alguém já conseguiu implementar algo do tipo com proxy autenticado??

    Abraços

    0

  • você pode ativar o ssl (man in the middle) do squid. aí ele vai pegar tudo de https.

    0
  • L

    Meu caro, proxy autenticado é "não transparente" por natureza, então conexões HTTPS deveriam passar por ele e serem filtrados normalmente.

    Ou a configuração de filtragem do SquidGuard abre brechas para os usuários ou há nos navegadores onde não há proxy para portas HTTPS, e como você deixou a porta liberada…

    Use os dois recursos, crie um ALIAS no Firewall e adicione todas as redes do Facebook, depois crie uma regra na LAN bloqueanto TUDO que tenha como destino esse ALIAS. Pronto.

    0
  • J

    @UnDr3aD:

    você pode ativar o ssl (man in the middle) do squid. aí ele vai pegar tudo de https.

    Se for o squid3-dev (uso ele transparente), bloqueia inclusive o Ultrasurf e o Tor sem precisar de qualquer regra adicional ou mesmo blacklist no Proxy. Muito bom!
    Apenas algumas observações das minhas dificuldades até aqui:
    1- Smartphone com alguns apps, como o facebook: Não encontrei como instalar o certificado, portanto bloqueia acesso. Tive que usar Bypass Proxy.
    2- Dropbox sync, instalado nas estações: Tive que criar regra na LAN. Não funcionava com whitelist, Bypass proxy for these destination IPs ou source.

    0

  • Johnnybe, este foi o feedback mais completo e funcional que já recebi sobre o squid3-dev.

    O funcionamento é esse mesmo.
    Se meter no ssl não é tão trivial assim. :)

    0
  • J

    @marcelloc:

    Johnnybe, este foi o feedback mais completo e funcional que já recebi sobre o squid3-dev.

    O funcionamento é esse mesmo.
    Se meter no ssl não é tão trivial assim. :)

    Obrigado, Marcello.
    Estou testando ele com interceptação SSL no meu escritório há alguns dias justamente para verificar as eventuais dificuldades.
    Fiquei agradavelmente surpreso com o bloqueio do Ultrasurf/Tor, conforme já informei.
    Estou muito propenso a colocar uma Nota a respeito do Squid3-dev no blog, destacando as observações que fiz até aqui e, sem dúvida alguma, citá-lo como o desenvolvedor do pacote. Pretendo também nesta Nota, alertar sobre a instalação das dependências.

    0
  • M

    Johnmybe

    Parabéns pelo feedback, ainda não tive como testar, porem aguardo sua nota para fazer.

    0
  • _

    @johnnybe:

    @UnDr3aD:

    você pode ativar o ssl (man in the middle) do squid. aí ele vai pegar tudo de https.

    Se for o squid3-dev (uso ele transparente), bloqueia inclusive o Ultrasurf e o Tor sem precisar de qualquer regra adicional ou mesmo blacklist no Proxy. Muito bom!
    Apenas algumas observações das minhas dificuldades até aqui:
    1- Smartphone com alguns apps, como o facebook: Não encontrei como instalar o certificado, portanto bloqueia acesso. Tive que usar Bypass Proxy.
    2- Dropbox sync, instalado nas estações: Tive que criar regra na LAN. Não funcionava com whitelist, Bypass proxy for these destination IPs ou source.

    Perguntinha meio besta (sou novo no pfsense): Devo instalar o squid3-dev sozinho ou primeiro o squid3? Ou o squid-dev instala o squid3?

    0

  • squid3-dev. caso você use o pfsense 2.1 e queira instalar o filtro de proxy, instale o squidguard-squid3 também!

    0
  • _

    @UnDr3aD:

    squid3-dev. caso você use o pfsense 2.1 e queira instalar o filtro de proxy, instale o squidguard-squid3 também!

    Anotado! Obrigado!

    Atualização:  Amigo instalei o negócio aqui, simplesmente inacreditável, filtra tudo!!!!!
    Só avisando os novatos como eu é que após instalar o squid3-dev, tem que fazer os downloads das bibliotecas! Mais informações: http://forum.pfsense.org/index.php?topic=62263.0

    To besta!!!!! kkkk

    0

  • @_elohin_:

    To besta!!!!! kkkk

    Este é o resultado de várias horas de pesquisa, codificação e testes.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy