Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Bloqueio HTTPS squid sem certificado, é possível?

    Portuguese
    4
    6
    4155
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      Cedriott last edited by

      Bom dia a todos!

      Tenho o PfSense + Squid + SquidGuard (transparente), e estou com sérios problemas para bloquear conteúdo HTTPS, tenho uma grande quantidade de usuários, e alguns deles em locais distantes interligados via Radio.

      A questão é: Tem algum modo de utilizar o modo HTTPS do Squid sem a necessidade de instalar o certificado em todas as estações?, meu maior problema é que são utilizados 3 navegadores e alguns dispositivos mobile, dificultando a instalação do mesmo.

      1 Reply Last reply Reply Quote 0
      • J
        jonathanalves last edited by

        Bom dia!

        A única forma de bloquear sites HTTPS com squid transparente e sem certificado é por regra de firewall.

        Isso acontece porque com o proxy marcado o navegador redireciona as requisições para o proxy nativamente, o que não acontece com o proxy transparente.

        O certificado funciona com a interceptação desse tráfego, não recomendo usá-lo o pois o certificado pode causar problemas em alguns sites e, além disso, não fica lá uma coisa transparente se você precisa instalar um certificado em cada dispositivo, né?

        Espero que tenha ajudado

        1 Reply Last reply Reply Quote 0
        • C
          Cedriott last edited by

          @jonathanalves:

          Bom dia!

          A única forma de bloquear sites HTTPS com squid transparente e sem certificado é por regra de firewall.

          Isso acontece porque com o proxy marcado o navegador redireciona as requisições para o proxy nativamente, o que não acontece com o proxy transparente.

          O certificado funciona com a interceptação desse tráfego, não recomendo usá-lo o pois o certificado pode causar problemas em alguns sites e, além disso, não fica lá uma coisa transparente se você precisa instalar um certificado em cada dispositivo, né?

          Espero que tenha ajudado

          Imaginei, sim, é como você disse, perde o sentido e em alguns testes que fiz causou muitos problemas.

          Minha vontade era bloquear todo o streaming, vejo então que o modo mais correto é encontrar a faixa de IPs dos sites mais acessados..

          Vou ter que lidar com o youtube, que com ele vai o google junto.

          Grato pela informação!

          1 Reply Last reply Reply Quote 0
          • D
            didonsom last edited by

            @Cedriott:

            @jonathanalves:

            Bom dia!

            A única forma de bloquear sites HTTPS com squid transparente e sem certificado é por regra de firewall.

            Isso acontece porque com o proxy marcado o navegador redireciona as requisições para o proxy nativamente, o que não acontece com o proxy transparente.

            O certificado funciona com a interceptação desse tráfego, não recomendo usá-lo o pois o certificado pode causar problemas em alguns sites e, além disso, não fica lá uma coisa transparente se você precisa instalar um certificado em cada dispositivo, né?

            Espero que tenha ajudado

            Imaginei, sim, é como você disse, perde o sentido e em alguns testes que fiz causou muitos problemas.

            Minha vontade era bloquear todo o streaming, vejo então que o modo mais correto é encontrar a faixa de IPs dos sites mais acessados..

            Vou ter que lidar com o youtube, que com ele vai o google junto.

            Grato pela informação!

            Já pensou em marcar proxy autenticado ? aqui eu uso dessa forma e com isso  consigo bloquear o trafego https sem a necessidade de ativar a interceptação SSL. A única coisa ruim é que em paginas HTTPS, a sgerror não é exibida, mas o bloqueio é realizado.

            Detalhe, se não quiser criar um script para setar nas maquinas as configurações do proxy, procure por wpad, com isso você cria um arquivo de configuração no pfsense e o navegador das estações identifica automaticamente o proxy.

            Seria um proxy autenticado "Transparente".

            Espero ter ajudado.

            Abraços,

            Diego

            1 Reply Last reply Reply Quote 0
            • JackL
              JackL last edited by

              Buenas!

              Pelo que entendi, seu cenário conta com muitas estações e o seu maior objetivo é filtrar conexões HTTPS de 'maneira transparente', mas sem fazer uso de instalação de certificados nos clientes, certo?!?

              Dentro deste contexto, é possível integrar o recurso de Captive Portal com o FreeRadius e Squid 3, de modo a autenticar transparentemente dispositivos da sua rede através dos seus respectivos MAC ADDRESS. Este recurso é ideal para quem quer manter proxy autenticado numa rede de grande porte ou com muita rotatividade (visitantes).

              Se você quiser, temos uma aula no Treinamento pfSense Intranet, gravada pelo marcelloc, demonstrando um passo-a-passo de como autenticar devices por MAC ao invés de autenticar por 'nome de usuário'.

              []`s
              Jack

              1 Reply Last reply Reply Quote 0
              • C
                Cedriott last edited by

                @JackL:

                Buenas!

                Pelo que entendi, seu cenário conta com muitas estações e o seu maior objetivo é filtrar conexões HTTPS de 'maneira transparente', mas sem fazer uso de instalação de certificados nos clientes, certo?!?

                Dentro deste contexto, é possível integrar o recurso de Captive Portal com o FreeRadius e Squid 3, de modo a autenticar transparentemente dispositivos da sua rede através dos seus respectivos MAC ADDRESS. Este recurso é ideal para quem quer manter proxy autenticado numa rede de grande porte ou com muita rotatividade (visitantes).

                Se você quiser, temos uma aula no Treinamento pfSense Intranet, gravada pelo marcelloc, demonstrando um passo-a-passo de como autenticar devices por MAC ao invés de autenticar por 'nome de usuário'.

                []`s
                Jack

                Rapaz, exatamente isso!

                Vou ver sobre esta aula, e estudar estes recursos!,

                Valeu!

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post

                Products

                • Platform Overview
                • TNSR
                • pfSense
                • Appliances

                Services

                • Training
                • Professional Services

                Support

                • Subscription Plans
                • Contact Support
                • Product Lifecycle
                • Documentation

                News

                • Media Coverage
                • Press
                • Events

                Resources

                • Blog
                • FAQ
                • Find a Partner
                • Resource Library
                • Security Information

                Company

                • About Us
                • Careers
                • Partners
                • Contact Us
                • Legal
                Our Mission

                We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                Subscribe to our Newsletter

                Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                © 2021 Rubicon Communications, LLC | Privacy Policy