Problemas com https/ssl inspection no Squid3



  • Bom dia amigos, tudo bem ?

    Alguém aqui está enfrentando problemas no pfSense 2.2.6 com Squid3 + Squidguard, no acesso a sites como Google e Facebook ?
    No Squid3 eu habilitou o HTTPS/SSL Inspection, então começam a aparecer alguns problemas de certificado inválido, página que não carrega ou erro de DNS resolver, as vezes a navegação fica extremamente lenta.

    Tanto faz usar Proxy manual, como transparente.

    Criei o CA no pfSense com o certificado e importei na estação Windows 7, mas mesmo assim os problemas continuam, ao desaliblitar o Inspection, aí fica tudo beleza.

    Em conversa com outros colegas, discutimos sobre o HSTS, que seria este cara o causador de tudo, mas aí como fazer o pfSense interagir bem com este recurso de segurança ? Melhor, o que os amigos estão fazendo para superar estas dificuldades ?

    Desde já, obrigado.



  • Perdão, o nome correto é HTTPS/SSL Interception.

    Valeu !



  • Olá, esse é um dos motivos de eu não usar a interceptação, muitos problemas com diversos sites.



  • Olá Tomas,

    Pois é, uma pena porque este é um recurso muito bom e que acaba com a necessidade de usar regras de firewall para bloquear sites que usam https, como facebook, técnica esta muito usada pelos usuários de pfSense (regra de firewall de block, com alias contendo as redes do Facebook).

    Outra forma de bloquear sem precisar disso seria usando o Proxy não transparente.

    Mas enfim, gostaria mesmo de usar o Intercept redondamente.

    Valeu !



  • Eu uso com WPAD

    Pra mim é a melhor relação custo/beneficio até hoje



  • @ivanildogalvao:

    Olá Tomas,

    Pois é, uma pena porque este é um recurso muito bom e que acaba com a necessidade de usar regras de firewall para bloquear sites que usam https, como facebook, técnica esta muito usada pelos usuários de pfSense (regra de firewall de block, com alias contendo as redes do Facebook).

    Outra forma de bloquear sem precisar disso seria usando o Proxy não transparente.

    Mas enfim, gostaria mesmo de usar o Intercept redondamente.

    Valeu !

    Sim, tenho usado proxy ativo mesmo com WPAD.
    Outra solução pode ser interessante é usar o nxFilter que fazer bloqueios por DNS.



  • Boa tarde.

    Estou exatamente com o mesmo problema. Gostaria de usar o proxy transparente com o HTTPS/SSL Interception ativo para controlar o acesso HTTPS. Porem em algumas paginas aparece o erro do certificado, mesmo eu tendo gerado e instalado o mesmo na maquina cliente.

    Vi no tópico https://forum.pfsense.org/index.php?topic=62263.555 que a sugestão seria colocar o IP local no "Bypass Proxy for these Source IPs", realmente funciona, mas logicamente perco o controle HTTPS sobre esse IP  >:(

    Sobre o WPAD, vi que há problemas de navegação no Android, isso procede?

    Ate mais!



  • @rodrigok2:

    Sobre o WPAD, vi que há problemas de navegação no Android, isso procede?

    Dispositivos moveis não reconhecem, infelizmente.



  • Apenas complementando a resposta.

    No ambiente de testes que estou, deixei a opção de "HTTPS/SSL Interception" habilitado e segui os passos do topico https://forum.pfsense.org/index.php?topic=84022.0.

    Adicionei em Custom ACLS (Before_Auth):
    always_direct allow all
    ssl_bump server-first all

    e para acessar o gmail, utilizado o link https://mail.google.com, conforme foi dito pelo sneeps, funciona perfeitamente.

    Dessa forma, os sites que preciso, bancos, face, youtube, gmail estão ok e ainda consigo o controle de acessos deles no squidguard.

    é isso, até mais!



  • Eu fiz estes ajustes, mas ao tentar acessar o Facebook pelo Firefox, recebo este erro.

    Este site usa HTTP  Strict Transport Security (HSTS) para indicar que o Firefox apenas se conecta  a ele de forma segura. Como resultado, não é possível adicionar exceções para este certificado.

    Valeu !



  • @ivanildogalvao:

    Eu fiz estes ajustes, mas ao tentar acessar o Facebook pelo Firefox, recebo este erro.

    Este site usa HTTP  Strict Transport Security (HSTS) para indicar que o Firefox apenas se conecta  a ele de forma segura. Como resultado, não é possível adicionar exceções para este certificado.

    Valeu !

    Instalei o firefox aqui e deu certo. Antes de acessar porem, instalei o certificado gerado pelo pfsense.

    vai em opcoes > avancado > certificados > ver certificados > importar

    seleciona o certificado e marca:

    • Confiar nesta CA para identificar sites.
    • Confiar nesta CA para identificar usuários de e-mail.
    • Confiar nesta CA para identificar desenvolvedores de software.

    Clica em OK, limpa a cache do firefox e tenta novamente.

    Aqui deu certinho nos mesmos sites que ja havia testado no chrome.

    abraço!



  • Eu fiz estes procedimentos, mas continuo com erros, chatinho isso !

    No Firefox botei as informações do Proxy e a porta 3128, só que a 3129 para a opção SSL.

    Valeu !



  • Pessoal, alguém tem mais alguma dica a acrescentar sobre este assunto?

    Também estou com o mesmos problemas com hhtps/ssl :/

    Chatinho não! Chatão!

    Toda hora usuários enchendo a paciência rs



  • Muda para proxy ativo!! :)



  • o meu problema foi so o skype q nao funcionou alguem sabe o pq?



  • @fabiomartins:

    o meu problema foi so o skype q nao funcionou alguem sabe o pq?

    Porque o Skype não está confiando do certificado gerado pelo pfSense.



  • Via web Skype você deve conseguir. Via app, ele não vai passar porque o protocolo não é http mas usa a porta 443 interceptada.



  • Galera, apenas compartilhando a informação.

    Até que enfim resolvi as bronquinhas, graças a Deus :)

    Simples, na guia Geral no Squid Proxy Server, no campo Remote Cert Checks, deixe marcado as duas opções, se deixar só uma ou só outra, temos problemas variados de acesso a determinados sites.

    Desta forma desaparecem os problemas como sites carregando lentamente, sites que não carregam todas as imagens ou que dão erro de DNS Resolver, entre outras mazelas.

    A Interceptação SSL está funcionando perfeitamente, com o SquidGuard barrando o acesso aos sites que usam https, como o Facebook, Twitter, Google, etc.

    Valeu !


Log in to reply