Bloqueio https Pfsense com Squid Autenticado
-
Boa tarde!
Pessoal esse é meu primeiro post, já fiz muita leitura sobre o tema bloqueio Https (Facebook), mas não estou tendo sucesso.
Meu cenário é o seguinte:
Cisco appliance ASA5505(onde estão meus links de Internet)
Servidor Pfsense 2.1(Lan /Wan) com
Squid com autenticação openLdap (funcionando OK)
SquidGuardPortas liberadas(lan)
DNS(53),LDAP(389),PROXY(3128)Portas bloqueadas(lan)
http,https e range ips FacebookSe eu tirar o proxy (navegador) e liberar as portas http e https eu aplicar as regras de bloqueios Facebook e consigo bloquear certinho. O problema que eu preciso do proxy autenticado. Se eu colocar no proxy novamente mesmo com as regras de bloqueio o https(facebook) passa batido.
Pelo log dá para perceber que o squid é quem faz esse redicionamento, pois todas as requisições vão pela porta 3128 e não pela 443.
Tentei fazer a seguinte regra já que tenho que liberar a porta do squid,mas não funcionou para bloquear o Facebook:Proto Source Port Destination Port Gateway Action
Ipv4 LAN net * !Facebook 3128 * PassPelo que percebi pelo proxy transparente é fácil ,mas estou apanhando feio com o proxy autenticado.
Alguém já conseguiu implementar algo do tipo com proxy autenticado??
Abraços
-
você pode ativar o ssl (man in the middle) do squid. aí ele vai pegar tudo de https.
-
Meu caro, proxy autenticado é "não transparente" por natureza, então conexões HTTPS deveriam passar por ele e serem filtrados normalmente.
Ou a configuração de filtragem do SquidGuard abre brechas para os usuários ou há nos navegadores onde não há proxy para portas HTTPS, e como você deixou a porta liberada…
Use os dois recursos, crie um ALIAS no Firewall e adicione todas as redes do Facebook, depois crie uma regra na LAN bloqueanto TUDO que tenha como destino esse ALIAS. Pronto.
-
@UnDr3aD:
você pode ativar o ssl (man in the middle) do squid. aí ele vai pegar tudo de https.
Se for o squid3-dev (uso ele transparente), bloqueia inclusive o Ultrasurf e o Tor sem precisar de qualquer regra adicional ou mesmo blacklist no Proxy. Muito bom!
Apenas algumas observações das minhas dificuldades até aqui:
1- Smartphone com alguns apps, como o facebook: Não encontrei como instalar o certificado, portanto bloqueia acesso. Tive que usar Bypass Proxy.
2- Dropbox sync, instalado nas estações: Tive que criar regra na LAN. Não funcionava com whitelist, Bypass proxy for these destination IPs ou source. -
Johnnybe, este foi o feedback mais completo e funcional que já recebi sobre o squid3-dev.
O funcionamento é esse mesmo.
Se meter no ssl não é tão trivial assim. :) -
Johnnybe, este foi o feedback mais completo e funcional que já recebi sobre o squid3-dev.
O funcionamento é esse mesmo.
Se meter no ssl não é tão trivial assim. :)Obrigado, Marcello.
Estou testando ele com interceptação SSL no meu escritório há alguns dias justamente para verificar as eventuais dificuldades.
Fiquei agradavelmente surpreso com o bloqueio do Ultrasurf/Tor, conforme já informei.
Estou muito propenso a colocar uma Nota a respeito do Squid3-dev no blog, destacando as observações que fiz até aqui e, sem dúvida alguma, citá-lo como o desenvolvedor do pacote. Pretendo também nesta Nota, alertar sobre a instalação das dependências. -
Johnmybe
Parabéns pelo feedback, ainda não tive como testar, porem aguardo sua nota para fazer.
-
@UnDr3aD:
você pode ativar o ssl (man in the middle) do squid. aí ele vai pegar tudo de https.
Se for o squid3-dev (uso ele transparente), bloqueia inclusive o Ultrasurf e o Tor sem precisar de qualquer regra adicional ou mesmo blacklist no Proxy. Muito bom!
Apenas algumas observações das minhas dificuldades até aqui:
1- Smartphone com alguns apps, como o facebook: Não encontrei como instalar o certificado, portanto bloqueia acesso. Tive que usar Bypass Proxy.
2- Dropbox sync, instalado nas estações: Tive que criar regra na LAN. Não funcionava com whitelist, Bypass proxy for these destination IPs ou source.Perguntinha meio besta (sou novo no pfsense): Devo instalar o squid3-dev sozinho ou primeiro o squid3? Ou o squid-dev instala o squid3?
-
squid3-dev. caso você use o pfsense 2.1 e queira instalar o filtro de proxy, instale o squidguard-squid3 também!
-
@UnDr3aD:
squid3-dev. caso você use o pfsense 2.1 e queira instalar o filtro de proxy, instale o squidguard-squid3 também!
Anotado! Obrigado!
Atualização: Amigo instalei o negócio aqui, simplesmente inacreditável, filtra tudo!!!!!
Só avisando os novatos como eu é que após instalar o squid3-dev, tem que fazer os downloads das bibliotecas! Mais informações: http://forum.pfsense.org/index.php?topic=62263.0To besta!!!!! kkkk
-