Proxy Transparente SSL



  • Ola pessoal, recentemente comecei a fazer um estudo com vlans e com o pfsense para utilizar em uma rede sem fio da faculdade onde trabalho, configurei ele em modo transparente tanto o http quanto https com o squidguard junto, não implantei apenas estou realizando testes com ele, ate ai tudo bem o trafego http esta bloqueando e o https tambem somente esta acusando erro de certificado pois o do servidor é invalido, estava pensando em comprar um certificado valido pra colocar nele e tentar resolver esta questão, não sei se daria certo o que vocês acham?

    Outra coisa, fui trocar uma ideia com um professor que tem uma empresa que presta consultoria de segurança e ele e falou que filtrando a ssl com o certificado estou infringindo a lei que isso não pode porque estou interceptando a conexão e poderia estar pegando os dados e as senhas que pelo proxy passam, ate ameaçou de ir para a direção dedar se o proxy entrar em funcionamento. Peço para vocês, realmente é contra a lei isso, ou qual é a implicação que pode acontecer, quero resolver um problema mas não quero criar outros.

    Obrigado a todos



  • Um artigo interessante sobre o assunto:
    http://eriberto.pro.br/blog/?p=2196

    Minha opinião é que sem consentimento dos usuários por escrito aceitando as regras é abusivo e pode ser considerado crime.



  • Sugiro que fale com o setor jurídico da instituição e envolva este setor antes de colocar o projeto em produção.
    Tente colocar como responsabilidade deles a questão de fazer ou não o bloqueio das páginas SSL.
    Este tipo de questionamento do professor não me parece ser um aspecto técnico, e sim, legal.
    Seu setor juridico talvez tenha alguma dificuldade de entender a situação de inicio, terás que ter certa paciência para explicar o porque dos bloqueios, o que é SSL e outras questões básicas.

    Abraço,
    Marcone



  • Obrigado pelas repostas pessoal, acho q vou partir pra trabalhar com a opção do Captive portal com squid e squidguard, vi que tem bastante material envolvendo isso aqui no forum alem de conteudo em outros lugares, vou dar uma pesquisada e por em pratica nos meus testes, caso me apertar venho pedir um socorro a vocês.

    Obrigado

    Abraço



  • Bom dia,

    a partir do artigo informado pelo colega Tomas Waldow, destaquei a seguinte citação "testes em ambientes de pesquisa de malwares, como empresas de produção de antivírus" (identificar uma vulnerabilidade). Entendo como responsabilidade de um administrador de rede, a de identificar anomalias, vulnerabilidades, ameaças, entre outras. Se um ameaça ingressa na rede através de uma conexão cifrada, fica complicado neutraliza-la. Hipoteticamente essa ameaça causa grandes problemas na sua rede, (exclui arquivos de grande valor, danifica sistemas) problemas estes que geram grande prejuizo financeiro para esta instituição. A culpa provavelmente será do administrador de redes. No meu ponto vista não vejo problema júridico desde que estaja amparado previamente por uma politica de seguração aprovada pelo responsavel executivo ou financeiro da empresa junto com o setor juridico. Todo usuario da rede deve saber que esse tipo de conexão será filtrado, assim como é obrigatorio informar que voce esta sendo filmado em um ambiente público.

    Precauções:

    1- Criar politica de segurança;
    2- Criar termo de uso da rede para os usuários que ingressam na rede;
    3- Tomar a ciencia dos usuários a respeito do termpo e politica de segurança; (o famoso "aceito os termos informados")
    4- Formalizar junto a diretoria da organição e setor juridico.

    Outra forma de evitar esses tipos de problema é bloquear todo acesso https no firewall e liberar de acordo com as solicitações (sem proxy).

    Uma maneira para mimizar essa sensação de "violação", é adicionar uma lista de sites seguros (ex: bancos, emails.. etc) para não passar pelo proxy, conforme a imagem proxy1.jpg.

    att,

    Bruno Pinheiro




  • Já trabalhei com dois produtos produtos que utilizavam https transparente.

    Aker Web Gateway      www.aker.com.br    empresa brasileira.

    Web Security Gateway  www.websense.com    empresa estrangeira.

    É algo muito comun hoje em dia devido o grande numero de ameaças. Um termo muito conhecido que abranje isso é "inspeção profunda".

    Aquela questão sobre comprar um certificado, não é necessario. Voce pode virar uma entidade certificadora na sua rede. Esse material da aker é bem interessante. É para a mesma finalidade, mas voltado para o produto da aker.

    http://www.aker.com.br/sites/1800/1824/aaTutorial/AFW/Gerandocertificadodigitalautoassinadopar.pdf

    att,

    Bruno Pinheiro.