Bloqueio de trafego HTTPS utilizando o SquidGuard sem Certificado Digital



  • Ola galera!
    Alguem tem alguma dica para bloqueio de WhatsApp e Facebook pelo SquidGuard "ProxyFilter".
    Ja encontrei algumas solucoes utilizando o Firewall com Rules/Aliases (bloqueio por CIDR "Range de IP's").
    Tentei este mesmo metodo incluindo no SquidGuard "ProxyFilter" (Bloqueio por "CIDR" e tambem "URL's") consegui no trafego (HTTP) ja com o trafego (HTTPS) somente utilizando o Certificado Digital, mais nao gostaria que no lado do cliente seja necessario utilizar/instalar Certificado Digital.
    O ambiente é liberar o acesso por autenticacao e por nivel.
    "Contas nivel Master (Full Acesso)" "Contas nivel Users (Acesso Restrito)"
    Alguem tem alguma sugestao/dica/solucao??! Agradeco desde ja!
    8) ;)derikdk@gmail.com



  • Whastapp pode fazer via firewall mesmo usando essa lista: https://www.whatsapp.com/cidr.txt

    Facebook eu tenho uma regra personalizada no Squidguard bloqueando o dominio: facebook.com, está funcionando normal.



  • Ola Tomas Waldow!
    Poderia compartilhar essa regra personalizada no SquidGuard?



  • A categoria está em anexo, depois de criada ela aparece nas Targets Rules em Common ACL.
    Aí só definir como Deny, ela deve aparecer no início da lista;




  • Não adianta bloquear domínio, porque o pfs não enxerga 443.
    Faz como eu fiz, bloqueia a porta 443, e desbloqueia so o que precisam e solicitam, não tem controle melhor (ninguem mais compra online na empresa, nem fica em rede social, nem youtube :P)… Depois é só criar aliaises com a exceção.. bj vlw flws



  • @Ivan:

    Não adianta bloquear domínio, porque o pfs não enxerga 443.

    Claro que adianta! Eu tenho funcionando dessa forma, e não é questão do PFSense, pois quem faz esse bloqueio é o Squid/SquidGuard;
    O bloqueio é feito pela url não pelo conteúdo. Se precisar ter uma pagina com mensagem de bloqueio, aí sim precisa fazer a interceptação do tráfego.

    Use proxy ativo (não transparente) que faz o bloqueio e se tiver duvidas posso te mostrar funcionando.



  • Boa noite!
    Tomas, você esta usando proxy não transparente?



  • @helberttavares:

    Boa noite!
    Tomas, você esta usando proxy não transparente?

    Sim, eles chamam de "Ativo", uso com WPAD para não precisar ajustar o proxy em cada computador da rede.



  • Olá tomas poderia mostrar suas configurações para o proxy ativo qual a versão do squid que você usa e a configuração do wpad, eu usava antes em outro firewall mais no pfSense não consegui configurar ele com wpad.

    Obrigado



  • @TreeDark:

    Olá tomas poderia mostrar suas configurações para o proxy ativo qual a versão do squid que você usa e a configuração do wpad, eu usava antes em outro firewall mais no pfSense não consegui configurar ele com wpad.

    Obrigado

    TreeDark, siga os procedimentos abaixo, não tem erro. [Tem no google :P]

    http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/



  • Olá fiz essas configs o http passa redondo ja o https ele não abre

    o que será que está acontecendo.



  • @TreeDark:

    Olá fiz essas configs o http passa redondo ja o https ele não abre

    o que será que está acontecendo.

    Como assim https?

    a Web-gui de seu pfsense está rodando em https?

    o WPAD tem que ser http



  • Olá desculpe me expressei mal.

    quanto ao wpad funcionou ok

    quando vou acessar os sites que está o problema.

    sites em http funciona beleza ja em https não vai.

    eu coloquei regra no firewall para passar somente pela porta do proxy 3128.

    Mais https não vai so http.



  • Se puder passar as suas configurações do Squid e Firewall para eu comparar se tem algo diferente do que eu uso;



  • @Tomas:

    Se puder passar as suas configurações do Squid e Firewall para eu comparar se tem algo diferente do que eu uso;

    Eu utilizo proxy Ativo, acho que você está utilizando proxy transparente não?  O Wpad é para configurar automaticamente o navegador dos usuários para se autenticarem no squid.



  • @Tomas:

    Se puder passar as suas configurações do Squid e Firewall para eu comparar se tem algo diferente do que eu uso;

    Minhas regras estão assim.

    está desativada agora mais quando uso só deixo as 2 primeiras ativas.

    Segue as regras abaixo




  • PessoALL, primeiramente agraço a participação de todos e as informações compartilhada. Vai ser de grande HELP!
    Levando em considerações essas informações surgiu algumas duvidas:

    No meu ambiente tenho o DNS e o DHCP em Windows e para ter sucesso necessito destes requisitos?
    DNS (http://technet.microsoft.com/en-us/library/cc995158.aspx)
    DHCP (http://technet.microsoft.com/pt-br/library/cc940962(v=ws.10).aspx) "Para criar uma entrada WPAD no serviço de Servidor DHCP"

    Ja no PFSense devo executar somente o 1 passo?
    1 Passo (http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/)

    1 - Este procedimento sera para conseguir efetuar bloqueio com o uso das configurações do ProxyFilter/ProxyServer do PFSense no trafego HTTP e HTTPS sem o uso de Certificado Digital?
    2 - Todo o trafego exemplo (RDP/SSH/SMTP/etc) do equipamento sera redirecionado para a porta do PROXY ("3129")?
    3 - E se o cliente utilizar um smartphone/tablet/notebook, quando ele sair deste ambiente tera que alterar alguma configuração para conseguir se conectar em outras REDES. (EX: em casa, em hotel, tera que alterar a opção de proxy?)
    4 - Onde verifico se a estação foi configurado o WPAD corretamente?
    5 - Posso deixar do PFSense no Proxy/Server a opção Transparent HTTP proxy marcada?
    6 - E as estações que estao no meu parque posso deixar fora dessa alteração de proxy, estao todas no mesmo range de IP 192.168.0.1/24?

    Agradeço desde já!

    Para complementar achei esses links muito bom:

    http://pt.wikipedia.org/wiki/WPAD

    http://guiadoti.blogspot.com.br/2012/12/proxy-com-wpad-pelo-dhcp.html



  • @TreeDark:

    @Tomas:

    Se puder passar as suas configurações do Squid e Firewall para eu comparar se tem algo diferente do que eu uso;

    Minhas regras estão assim.

    está desativada agora mais quando uso só deixo as 2 primeiras ativas.

    Segue as regras abaixo

    A principio está certo, deveria funcionar.



  • @victorfmaraujo:

    @Tomas:

    Se puder passar as suas configurações do Squid e Firewall para eu comparar se tem algo diferente do que eu uso;

    Eu utilizo proxy Ativo, acho que você está utilizando proxy transparente não?  O Wpad é para configurar automaticamente o navegador dos usuários para se autenticarem no squid.

    Tomas
    Nestes clientes tem algum que utiliza equipamento proprio, ou que utiliza outra rede Ex: smartphone/notebook que o usuario vai utilizar na sua casa.
    Pergunto para saber quando esse cliente sair da empresa e tenta utilizar em outra rede ele tem que alterar a configuracao do proxy em seu equipamento?? Ex vou ter que retirar o proxy que meu WPAD configurou automatico neste equipamento.
    Vai ser de grande ajuda sua resposta!



  • Não precisa configurar nada nas máquinas, só estar habilitado o "Detectar automaticamente as configurações" nos ajustes de proxy.

    Nos smartphones na própria configuração da rede sem no aparelho você informa o proxy somente para aquela rede, cada rede tem a sua configuração.

    Sem nenhum problema.



  • @Tomas:

    Não precisa configurar nada nas máquinas, só estar habilitado o "Detectar automaticamente as configurações" nos ajustes de proxy.

    Nos smartphones na própria configuração da rede sem no aparelho você informa o proxy somente para aquela rede, cada rede tem a sua configuração.

    Sem nenhum problema.

    A duvida e justamente isso usei esse computador na rede com WPAD, legal ele configurou meu proxy no computador e esta tudo ok.. Agora vou para minha onde nao tenho nenhum proxy… nesse momento vou ter que alterar as configuracoes de proxy no meu computador???



  • @Tomas:

    Não precisa configurar nada nas máquinas, só estar habilitado o "Detectar automaticamente as configurações" nos ajustes de proxy.

    Nos smartphones na própria configuração da rede sem no aparelho você informa o proxy somente para aquela rede, cada rede tem a sua configuração.

    Sem nenhum problema.

    Acho q pra ficar mais facil…. O usuario se conectou na rede e recebeu as informacoes do WPAD.... quando ele for se conectar em outra rede tera que limpar essas configuracoes do WPAD???



  • Não, quando ele abrir o navegador o próprio navegador vai receber as configurações de proxy e só isso.

    Se ele estiver em outra rede não vai ter o WPAD, então o navegador não vai receber nenhuma configuração e vai navegador normalmente pelas portas 80, e 443;

    Não tem segredo.



  • @Tomas:

    Não, quando ele abrir o navegador o próprio navegador vai receber as configurações de proxy e só isso.

    Se ele estiver em outra rede não vai ter o WPAD, então o navegador não vai receber nenhuma configuração e vai navegador normalmente pelas portas 80, e 443;

    Não tem segredo.

    Tomas Waldow, muito obrigado pelas informações.
    Vou dar continuidade nos testes.



  • @Tomas:

    @Ivan:

    Não adianta bloquear domínio, porque o pfs não enxerga 443.

    Claro que adianta! Eu tenho funcionando dessa forma, e não é questão do PFSense, pois quem faz esse bloqueio é o Squid/SquidGuard;
    O bloqueio é feito pela url não pelo conteúdo. Se precisar ter uma pagina com mensagem de bloqueio, aí sim precisa fazer a interceptação do tráfego.

    Use proxy ativo (não transparente) que faz o bloqueio e se tiver duvidas posso te mostrar funcionando.

    Eu queria dicas sim então, porque to com problemas em relação aos bloqueios que fiz na 443…
    Vem skype se possivel, informatica.injetec@gmail.com



  • @Ivan:

    Eu queria dicas sim então, porque to com problemas em relação aos bloqueios que fiz na 443…
    Vem skype se possivel, informatica.injetec@gmail.com

    Não entendi bem, você quer ajuda no Squid/Squidguard?



  • Pessoal realizei as configurações, mas unico problema foi um pouco de lentidão na hora de ele receber as confis do wpad e se eu fazer o ping como etava no tutorial exemplo wpad.empresa.local ele não faz ping mas consigo baixar o arquivo normal.. alias esta tudo 100% sócom lentidão na hora de acessar qualquer site… pode ser a questão da maquina virtual?
    Infelizmente fiz no virtualbox.....
    sobre dhcp devo deixar o ip local da LAN como DNS primario ?



  • Ele demora coisa se menos de segundo para receber as configurações, pode ser algo com o VirtualBox;


Log in to reply