Bloqueio https Pfsense com Squid Autenticado



  • Boa tarde!
    Pessoal esse é meu primeiro post, já fiz muita leitura sobre o tema bloqueio Https (Facebook), mas não estou tendo sucesso.
    Meu cenário é o seguinte:
    Cisco appliance ASA5505(onde estão meus links de Internet)
    Servidor Pfsense 2.1(Lan /Wan) com
    Squid com autenticação openLdap (funcionando OK)
    SquidGuard

    Portas liberadas(lan)
    DNS(53),LDAP(389),PROXY(3128)

    Portas bloqueadas(lan)
    http,https e range ips Facebook

    Se eu tirar o proxy (navegador) e liberar as portas http e https eu aplicar as regras de bloqueios Facebook e consigo bloquear certinho. O problema que eu preciso do proxy autenticado. Se eu colocar no proxy novamente mesmo com as regras de bloqueio o https(facebook) passa batido.
    Pelo log dá para perceber que o squid é quem faz esse redicionamento, pois todas as requisições vão pela porta 3128 e não pela 443.
    Tentei fazer a seguinte regra já que tenho que liberar a porta do squid,mas não funcionou para bloquear o Facebook:

    Proto  Source  Port  Destination  Port  Gateway  Action
    Ipv4  LAN net  *    !Facebook    3128      *        Pass

    Pelo que percebi pelo proxy transparente é fácil ,mas estou apanhando feio com o proxy autenticado.

    Alguém já conseguiu implementar algo do tipo com proxy autenticado??

    Abraços



  • você pode ativar o ssl (man in the middle) do squid. aí ele vai pegar tudo de https.



  • Meu caro, proxy autenticado é "não transparente" por natureza, então conexões HTTPS deveriam passar por ele e serem filtrados normalmente.

    Ou a configuração de filtragem do SquidGuard abre brechas para os usuários ou há nos navegadores onde não há proxy para portas HTTPS, e como você deixou a porta liberada…

    Use os dois recursos, crie um ALIAS no Firewall e adicione todas as redes do Facebook, depois crie uma regra na LAN bloqueanto TUDO que tenha como destino esse ALIAS. Pronto.



  • @UnDr3aD:

    você pode ativar o ssl (man in the middle) do squid. aí ele vai pegar tudo de https.

    Se for o squid3-dev (uso ele transparente), bloqueia inclusive o Ultrasurf e o Tor sem precisar de qualquer regra adicional ou mesmo blacklist no Proxy. Muito bom!
    Apenas algumas observações das minhas dificuldades até aqui:
    1- Smartphone com alguns apps, como o facebook: Não encontrei como instalar o certificado, portanto bloqueia acesso. Tive que usar Bypass Proxy.
    2- Dropbox sync, instalado nas estações: Tive que criar regra na LAN. Não funcionava com whitelist, Bypass proxy for these destination IPs ou source.



  • Johnnybe, este foi o feedback mais completo e funcional que já recebi sobre o squid3-dev.

    O funcionamento é esse mesmo.
    Se meter no ssl não é tão trivial assim. :)



  • @marcelloc:

    Johnnybe, este foi o feedback mais completo e funcional que já recebi sobre o squid3-dev.

    O funcionamento é esse mesmo.
    Se meter no ssl não é tão trivial assim. :)

    Obrigado, Marcello.
    Estou testando ele com interceptação SSL no meu escritório há alguns dias justamente para verificar as eventuais dificuldades.
    Fiquei agradavelmente surpreso com o bloqueio do Ultrasurf/Tor, conforme já informei.
    Estou muito propenso a colocar uma Nota a respeito do Squid3-dev no blog, destacando as observações que fiz até aqui e, sem dúvida alguma, citá-lo como o desenvolvedor do pacote. Pretendo também nesta Nota, alertar sobre a instalação das dependências.



  • Johnmybe

    Parabéns pelo feedback, ainda não tive como testar, porem aguardo sua nota para fazer.



  • @johnnybe:

    @UnDr3aD:

    você pode ativar o ssl (man in the middle) do squid. aí ele vai pegar tudo de https.

    Se for o squid3-dev (uso ele transparente), bloqueia inclusive o Ultrasurf e o Tor sem precisar de qualquer regra adicional ou mesmo blacklist no Proxy. Muito bom!
    Apenas algumas observações das minhas dificuldades até aqui:
    1- Smartphone com alguns apps, como o facebook: Não encontrei como instalar o certificado, portanto bloqueia acesso. Tive que usar Bypass Proxy.
    2- Dropbox sync, instalado nas estações: Tive que criar regra na LAN. Não funcionava com whitelist, Bypass proxy for these destination IPs ou source.

    Perguntinha meio besta (sou novo no pfsense): Devo instalar o squid3-dev sozinho ou primeiro o squid3? Ou o squid-dev instala o squid3?



  • squid3-dev. caso você use o pfsense 2.1 e queira instalar o filtro de proxy, instale o squidguard-squid3 também!



  • @UnDr3aD:

    squid3-dev. caso você use o pfsense 2.1 e queira instalar o filtro de proxy, instale o squidguard-squid3 também!

    Anotado! Obrigado!

    Atualização:  Amigo instalei o negócio aqui, simplesmente inacreditável, filtra tudo!!!!!
    Só avisando os novatos como eu é que após instalar o squid3-dev, tem que fazer os downloads das bibliotecas! Mais informações: http://forum.pfsense.org/index.php?topic=62263.0

    To besta!!!!! kkkk



  • @_elohin_:

    To besta!!!!! kkkk

    Este é o resultado de várias horas de pesquisa, codificação e testes.


Log in to reply