Bloqueio HTTPS squid sem certificado, é possível?



  • Bom dia a todos!

    Tenho o PfSense + Squid + SquidGuard (transparente), e estou com sérios problemas para bloquear conteúdo HTTPS, tenho uma grande quantidade de usuários, e alguns deles em locais distantes interligados via Radio.

    A questão é: Tem algum modo de utilizar o modo HTTPS do Squid sem a necessidade de instalar o certificado em todas as estações?, meu maior problema é que são utilizados 3 navegadores e alguns dispositivos mobile, dificultando a instalação do mesmo.



  • Bom dia!

    A única forma de bloquear sites HTTPS com squid transparente e sem certificado é por regra de firewall.

    Isso acontece porque com o proxy marcado o navegador redireciona as requisições para o proxy nativamente, o que não acontece com o proxy transparente.

    O certificado funciona com a interceptação desse tráfego, não recomendo usá-lo o pois o certificado pode causar problemas em alguns sites e, além disso, não fica lá uma coisa transparente se você precisa instalar um certificado em cada dispositivo, né?

    Espero que tenha ajudado



  • @jonathanalves:

    Bom dia!

    A única forma de bloquear sites HTTPS com squid transparente e sem certificado é por regra de firewall.

    Isso acontece porque com o proxy marcado o navegador redireciona as requisições para o proxy nativamente, o que não acontece com o proxy transparente.

    O certificado funciona com a interceptação desse tráfego, não recomendo usá-lo o pois o certificado pode causar problemas em alguns sites e, além disso, não fica lá uma coisa transparente se você precisa instalar um certificado em cada dispositivo, né?

    Espero que tenha ajudado

    Imaginei, sim, é como você disse, perde o sentido e em alguns testes que fiz causou muitos problemas.

    Minha vontade era bloquear todo o streaming, vejo então que o modo mais correto é encontrar a faixa de IPs dos sites mais acessados..

    Vou ter que lidar com o youtube, que com ele vai o google junto.

    Grato pela informação!



  • @Cedriott:

    @jonathanalves:

    Bom dia!

    A única forma de bloquear sites HTTPS com squid transparente e sem certificado é por regra de firewall.

    Isso acontece porque com o proxy marcado o navegador redireciona as requisições para o proxy nativamente, o que não acontece com o proxy transparente.

    O certificado funciona com a interceptação desse tráfego, não recomendo usá-lo o pois o certificado pode causar problemas em alguns sites e, além disso, não fica lá uma coisa transparente se você precisa instalar um certificado em cada dispositivo, né?

    Espero que tenha ajudado

    Imaginei, sim, é como você disse, perde o sentido e em alguns testes que fiz causou muitos problemas.

    Minha vontade era bloquear todo o streaming, vejo então que o modo mais correto é encontrar a faixa de IPs dos sites mais acessados..

    Vou ter que lidar com o youtube, que com ele vai o google junto.

    Grato pela informação!

    Já pensou em marcar proxy autenticado ? aqui eu uso dessa forma e com isso  consigo bloquear o trafego https sem a necessidade de ativar a interceptação SSL. A única coisa ruim é que em paginas HTTPS, a sgerror não é exibida, mas o bloqueio é realizado.

    Detalhe, se não quiser criar um script para setar nas maquinas as configurações do proxy, procure por wpad, com isso você cria um arquivo de configuração no pfsense e o navegador das estações identifica automaticamente o proxy.

    Seria um proxy autenticado "Transparente".

    Espero ter ajudado.

    Abraços,

    Diego



  • Buenas!

    Pelo que entendi, seu cenário conta com muitas estações e o seu maior objetivo é filtrar conexões HTTPS de 'maneira transparente', mas sem fazer uso de instalação de certificados nos clientes, certo?!?

    Dentro deste contexto, é possível integrar o recurso de Captive Portal com o FreeRadius e Squid 3, de modo a autenticar transparentemente dispositivos da sua rede através dos seus respectivos MAC ADDRESS. Este recurso é ideal para quem quer manter proxy autenticado numa rede de grande porte ou com muita rotatividade (visitantes).

    Se você quiser, temos uma aula no Treinamento pfSense Intranet, gravada pelo marcelloc, demonstrando um passo-a-passo de como autenticar devices por MAC ao invés de autenticar por 'nome de usuário'.

    []`s
    Jack



  • @JackL:

    Buenas!

    Pelo que entendi, seu cenário conta com muitas estações e o seu maior objetivo é filtrar conexões HTTPS de 'maneira transparente', mas sem fazer uso de instalação de certificados nos clientes, certo?!?

    Dentro deste contexto, é possível integrar o recurso de Captive Portal com o FreeRadius e Squid 3, de modo a autenticar transparentemente dispositivos da sua rede através dos seus respectivos MAC ADDRESS. Este recurso é ideal para quem quer manter proxy autenticado numa rede de grande porte ou com muita rotatividade (visitantes).

    Se você quiser, temos uma aula no Treinamento pfSense Intranet, gravada pelo marcelloc, demonstrando um passo-a-passo de como autenticar devices por MAC ao invés de autenticar por 'nome de usuário'.

    []`s
    Jack

    Rapaz, exatamente isso!

    Vou ver sobre esta aula, e estudar estes recursos!,

    Valeu!