Proxy transparente com certificado SSL



  • Pessoal boa tarde, estou configurando um proxy com certificado SSL para que assim possa filtrar HTTPS. Instalei o certificado na estação de trabalho cliente e funcionou tudo normal.
    Filtrou conteúdos HTTPS certinho. Porém estes computadores clientes rodam windows 7 e estão em um domínio SAMBA e todos os dias acessam vários usuários diferentes em um mesmo computador, tornando impossível instalar o certificado em todos os usuários e é ai que esta o problema. Gostaria de saber se há alguma forma de instalar este certificado automaticamente quando um usuário qualquer logar na máquina??? Ou então Instalar de alguma forma que fique configurado em todos os usuários que logar?
    Vlws



  • Você ja tentou gpo ou wpad?



  • já pesquisei sobre mas não achei como instalar ele no PfSense, pois ele não consta na lista de pacotes da plataforma PfSense.



  • @pedrootero:

    já pesquisei sobre mas não achei como instalar ele no PfSense, pois ele não consta na lista de pacotes da plataforma PfSense.

    Você tem um servidor windows para gerenciar isso (Windows Server)? Se sim é só fazer uma GPO para que todo o usuário tivesse o certificado instalado.

    Se não faça um WPAD, não sei como funciona ao certo para proxy transparente e se funciona. No caso eu uso  proxy ativo.



  • É verdade se tivesse um windows server seria fácil, porém não temos licença de uso, tenho que usar o software free, por isso também o PfSense, além da robustez que ele possui também.
    Mas infelizmente não to sabendo como configurar o Wpad no PfSense. Se alguém souber ou já tiver alguma idéia?



  • Mas seu problema é em configurar o proxy nas máquinas ou uma forma de instalar o certificado automaticamente?

    WPAD é para entregar a configuração do proxy automaticamente.

    Com GPO você poderia entregar a instalação do certificado para os usuários, se estiver usando Samba 4 ele pode fazer isso pra você facilmente.

    Pelo que falou já tem Samba, então seria só migrar para a versão 4 e implantar.



  • Na verdade qualquer uma das duas opções atenderia. Se trata de uma escola que possui laboratórios de informatica para alunos. Cada aluno possui um login no Samba3, desta forma a cada momento é um usuário diferente logando no windows, impossibilitando a configuração de proxy em cada conta, seja instalação de certificado ou configuração de proxy do navegador.

    Sobre o Samba4 não sabia que ele faz isso, vou pesquisar melhor sobre como ele trabalha também e analisar os riscos da migração em um ambiente em produção.



  • Você realmente precisa de interceptar o trafego SSL? Se não precisar pode usar proxy ativo e fazer os controles normalmente.



  • @Tomas:

    Você realmente precisa de interceptar o trafego SSL? Se não precisar pode usar proxy ativo e fazer os controles normalmente.

    Sim realmente preciso porque tem muitas paginas que preciso bloquear que o pessoal acessa usando o HTTPS. Ai a solução que achei para isso foi certificado SSL ou configurar o proxy no navegador. Mas ainda não consegui achar a solução pra isso sem ter que configurar o certificado ou o proxy em cada conta de usuário. Levando em consideração que tenho que trabalhar em média com 3000 contas acessando 300 computadores em dias e horários diferentes, torna inviável a configuração em cada conta.



  • Para bloquear paginas HTTPs não precisa fazer interceptação. Pode fazer com proxy ativo (não transparente) com SquidGuard, mas neste caso precisa ou configurar o proxy manualmente no navegador ou fazer a configuração automática via WPAD por exemplo.

    A interceptação é interessante em vários casos, mas se for somente para bloqueio não ha necessidade.

    Pesquise no fórum, eu já respondi sobre isso em mais de um post. Se não encontrar avise.



  • @Tomas:

    Para bloquear paginas HTTPs não precisa fazer interceptação. Pode fazer com proxy ativo (não transparente) com SquidGuard, mas neste caso precisa ou configurar o proxy manualmente no navegador ou fazer a configuração automática via WPAD por exemplo.

    A interceptação é interessante em vários casos, mas se for somente para bloqueio não ha necessidade.

    Pesquise no fórum, eu já respondi sobre isso em mais de um post. Se não encontrar avise.

    Primeiramente obrigado pela sua atenção!

    Bom não achei nada sobre wpad no PfSense, se puder me indicar alguma fonte sobre wpad no PfSense e se não for pedir muito, em quais casos por exemplo seria mais viável usar a interceptação SSL?

    Vlws



  • Pesquisa sobre WPAD DHCP.

    Para Chrome e IE vc utiliza o Wpad no DHCP, para firefox vc utiliza via DNS.

    Na minha opinião, Squid interceptando tráfego SSL é um tiro no pé.



  • @santeLLo:

    Pesquisa sobre WPAD DHCP.

    Para Chrome e IE vc utiliza o Wpad no DHCP, para firefox vc utiliza via DNS.

    Na minha opinião, Squid interceptando tráfego SSL é um tiro no pé.

    Com o que vc indicaria para interceptar SSL? já que squid não seria uma boa …
    Vlww



  • Proxy não transparente…



  • No firefox tem que configurar manualmente para aceitar automaticamente as configurações de proxy.
    Amigo, como está a sua rede? Tem algum servidor DNS?? O WPAD é um script JS que você precisa hospedar em um server web e que responda na url http://wpad/wpad.dat…
    Daí você bloqueia todo o acesso a porta 80 e 443, forçando a passagem pelo proxy e daí aplica as acls...



  • @rickytaki:

    No firefox tem que configurar manualmente para aceitar automaticamente as configurações de proxy.
    Amigo, como está a sua rede? Tem algum servidor DNS?? O WPAD é um script JS que você precisa hospedar em um server web e que responda na url http://wpad/wpad.dat…
    Daí você bloqueia todo o acesso a porta 80 e 443, forçando a passagem pelo proxy e daí aplica as acls...

    Mano eu tenho o WPAD instalado e funcionando em todos os navegadores. Sendo distribuído pelo o DNS forwarder do pfsense. Como resolveu muito e graças ao senhor Thomas Waldon a quem tenho que agradecer pela a consultoria dada a mim.
    O meu proxy é ativo e bloqueio sem problemas o todas as paginas tanto as de navegação na porta 80 e de navegação segura 443.


Log in to reply