Bloquer le HTTPS en proxy transparent



  • bonjour a tous

    je suis en stage de fin de formation afpa.

    mon maitre de stage étant a vacances pour la semaine, il m'a demander via note de service de trouver une solution pour bloquer le HTTPS.
    l'entreprise utilise pfsense comme proxy transparent pour le http.
    celui bloque très bien tout le flux http mais les utilisateurs continu a se connecter a des sites non autoriser en passant par HTTPS

    je me suis lancer a la recherche du site ou d'un tutoriel pour mettre en place un proxy transparent pour le HTTPS, malheureusement je n'est pas trouver grand chose en français et j'ai pas un super niveau en anglais. je fait donc appelle a la communauté pour soit m'aider a trouver une réponse a français ou éventuellement une qui vos le cout que je la traduise de l'anglais au francais.



  • Bonjour,

    C'est le propre d'un proxy TRANSPARENT de ne pas gérer les flux HTTPS

    Donc :

    1/ enlever le mode transparent et mettre en place une auth pour les users (locale, radius, …)
    2/ configurer les navigateurs =>
    2.1/ via Wpad
    2.2/ via stratégie DC windows
    2.3/ à la mano ^^

    cordialement

    EDIT 1:
    Attention à l'exploitations des logs et à l'information des utilisateurs quand aux logs ... charte ?

    EDIT 2:
    Etant en stage je vous conseille de faire des tests sur un autre matériel que le pf en production ... surtout avec le responssable en congé ^^



  • ("j'ai pas un super niveau en anglais", en français aussi !)

    Comme baalserv, si les mécanismes du "proxy transparent" vous étaient connus, vous sauriez immédiatement qu'il est impossible de faire du proxy automatique en https !
    Il serait étonnant qu'on trouve quelque chose en conséquence !

    S'il faut "trouver une solution pour bloquer le HTTPS", il suffit juste d'une ligne dans Firewall > Rules > onglet LAN.



  • @ JDH : bonne idée la règle de block totale du https :) domage que l'on ne soit pas sur site pour voir la tête des utilisateurs une fois appliquer  ;D

    @ cayre_n : à lire et a relire => https://forum.pfsense.org/index.php?topic=69908.0