Добавление httpS-фильтрации "из-коробки"
-
После выступлений пресловутого Эдварда Сноудена началась всемирная истерия по повышению защищенности всего и вся от всепроникающего ока Большого Брата АНБ сша (оно и понятно - никому не приятно, когда без его ведома уточняют цвет и модель, например, семейных трусов одетых кем-то из нас сегодня на работу).
Мои наблюдения по неприятному развитию и продвижению, не побоюсь сказать, всеобщей миграции сервисов в HTTPS - таких как ВКонтакте, FaceBook (последние засунулись не только в https, но уже и в tor - для пущей демонстрации "надежности" каналов связи по доступу к их серверам, на которых настырный народ своими же руками заполняет ежедневные досье на самих же себя), поисковики google и yandex и, внимание, такой всеми (не-)любимый Skype. Уверен, что перечень можно продолжить, и что он будет всё больше расширяться. Просто это то, что мне навскидку пришло на ум из того, что мешает жить лично мне в подконтрольных мне сетях. Если кто-либо из ваших подопечных пользователей полезет смотреть ролики из ВК по https-у вы сможете увидеть только лишь его соединение на 443ий порт в pftop-е и щёлкающие на глазах мегабайты(по которым вы поймете, что там внутри идёт видеопоток), но ничего с этим поделать не сможете без избирательной https-фильтрации (разве что вручную скинуть ему states).Вот ссылки для ликбеза, например, по скайпу http://www.sovit.net/articles/technologies/how_to_block_skype/
https://support.skype.com/ru/faq/FA148/kakie-porty-neobhodimo-otkryt-dla-ispol-zovania-skype-dla-rabocego-stola-windows
Попытки зарубить https-а (порт 443) накорню на раб.станциях приводят к полной блокировке скайпа, который видимо авторизуется только по https. А лично у меня задача зарезать в локалках ВК, FB с их бесконечными видео-роликами и аудио-музыкальными выкладками-пожирателями трафика через HTTPS, НО при этом обеспечить работу Skype.Учитывая уже имеющийся топик https://forum.pfsense.org/index.php?topic=83472.0 , в котором, к сожалению, не раскрыта катастрофичность ситуации - прошу старожилов и корифеев высказаться и проголосовать за ВВЕДЕНИЕ в стандартную из коробки возможность https-фильтрации. По типу добавления дополнительной "галки" при установке squid-а с ssl-фильтрацией для подтягивания доп.пакетов Diladele Web Safety 3.4 и прописывания дополнительных записей в конфигах.
Т.к. самопальная доустановка Diladele Web Safety 3.4 по методологиям http://sichent.wordpress.com/2014/02/22/filtering-https-traffic-with-squid-on-pfsense-2-1/ и https://forum.pfsense.org/index.php?topic=72528.0 (что почти одно и тоже) с САМОдописными "костылями" ЛИШАЕТ возможности БЕЗпроблемного апдейта версий самого pfSense при выходе обновлений (как в случае появления 2.0, затем 2.1 с подверсиями), т.к. образует НЕстандартную конфигурацию, не известную стандартному-универсальному движку pfSense. -
и корифеев высказаться и проголосовать за ВВЕДЕНИЕ в стандартную из коробки возможность https-фильтрации
Ну выскажемся, ну проголосуем и что ? Кодить кто будет?
Это вы к Ermal-у обращайтесь в англоветке. -
и корифеев высказаться и проголосовать за ВВЕДЕНИЕ в стандартную из коробки возможность https-фильтрации
Ну выскажемся, ну проголосуем и что ? Кодить кто будет?
Это вы к Ermal-у обращайтесь в англоветке.Обратился, насколько позволили знания англ. грамматики - ждём ответа. Отпишу его здесь (если он вообще последует).
-
Помимо письма непосредственно Ermal-у, завел еще и соответствующий топик у них, в англ-яз. ветке, - https://forum.pfsense.org/index.php?topic=83913.0
Шел день третий - ответов и комментариев не поступало… (это в порядке отчетности о нулевых результатах) -
Вот правильный раздел для хотелок.
-
Вот правильный раздел для хотелок.
Опубликовал там своё воззвание - оно провисело где-то полчаса, его прочитали около десятка раз и затем оно исчезло. Совсем, как будто его там и не было вовсе никогда.
-
Может все-таки кто-то поделится как он смог побороть https? Отписывался в прошлой теме, что штатно pfsense режет https, но весь сырбор в сертификате са. Браузеры не хотят его принимать. https://toster.ru/q/43184 Здесь расписали что генерить сертифкат с дефолтными настройками не комильфо. Кто попробует править у себя? У меня не получилось.
-
http://habrahabr.ru/post/127643/
CA - это центр сертификации (а не сам сертификат), т.е. подписывающий орган. Если ваш сертификат подписан правильным центром - все будет ок.
-
http://habrahabr.ru/post/127643/
Увы я так и не разберусь. Cертификат что выдается никак не принимается pfsense. После вставки в поле используемого CA и ребута сквида https вообще не открывается, даже с предложением на свой страх и риск открыть страницу. Может уважаемый Werter поделится знаием как заполучить
CA - это центр сертификации (а не сам сертификат), т.е. подписывающий орган. Если ваш сертификат подписан правильным центром - все будет ок.
Я понимаю что ca должен выдавать сертификаты клиентам и что браузеры ругаются на самоподписанные сертификаты от этого центра, даже если его руками добавили в доверенные. Мне интересно лишь как получить нормальный ca. http://habrahabr.ru/post/168515/ Показывает что должно работать и с самоподписанными сертификатами.
-
Проще всего сделать если у Вас AD!
Необходимо развернуть свою инфраструктуру PKIКорневой сертификат CA установить на pfSense
Сгенерировать все необходимые сертификаты и установить на pfSenseДля всех компьютеров в домене корневой сертификат и все Ваши сертификаты будут доверенными
Для компьютеров вне домена, импортировать корневой сертификат Вашего CA в Trusted Root Certificates Authoriries -
@hmh:
Проще всего сделать если у Вас AD!
Необходимо развернуть свою инфраструктуру PKIКорневой сертификат CA установить на pfSense
Сгенерировать все необходимые сертификаты и установить на pfSenseДля всех компьютеров в домене корневой сертификат и все Ваши сертификаты будут доверенными
Для компьютеров вне домена, импортировать корневой сертификат Вашего CA в Trusted Root Certificates AuthoririesДомена нет и не предвидится, парк пк на вин7хом
-
Я понимаю что ca должен выдавать сертификаты клиентам и что браузеры ругаются на самоподписанные сертификаты от этого центра, даже если его руками добавили в доверенные. Мне интересно лишь как получить нормальный ca. http://habrahabr.ru/post/168515/ Показывает что должно работать и с самоподписанными сертификатами.
1. Использовать сертификат, сгенерированный и подписанный StartSSL. Его CA должен нормально восприниматься браузерами
2. Или самому сгенерировать сертификат и подписать его в StartSSL.
Я это так понимаю. Надо проверять.