Proxy transparent certificat https



  • Bonsoir à tous,

    Déjà je voulais commencer par remercier toutes les équipes de pfsense pour cette nouvelle version, ils ont fait un joli travail.

    Mon responsable m'a demandé de faire l'installation d'un point d’accès public en wifi avec filtrage d'url et gestion des logs.
    Donc je me suis mise au boulot et je me suis fait une infra de test sur Pfsense:

    P  <- LAN (192.168.20./24)
                f
                s
    WAN-> e
                n
                s
                e  <- WI-FI (192.168.21.
    /24)

    J'ai donc installé les paquets Squid et SquidGuard:

    • Sur la partie SquidGurad je n'ai aucun soucis.
    • Sur la partie Squid j'ai un soucis avec le SSL Man In the Middle Filtering je m'explique,

    J'ai activé le proxy transparent, ensuite j'ai crée une CA. J'ai configuré ma CA dans le SSL Man In the Middle Filtering le problème c'est qu'il faut que j'installe sur mes postes client le certificat de ma CA.
    Sinon sur les postes client ils ont le message d'erreur comme quoi ils n'ont pas un certificat valide.

    Le problème c'est que vu que c'est un point d'accès public je ne peux pas diffuser le certificat à tout le monde.

    Je n'arrive pas à contourner le problème, j'ai fait plusieurs recherches sur internet mais je ne trouve pas d'informations.
    Pouvez vous m’orienter vers une solution.

    J’espère avoir donné assez de détails.

    Merci



  • Il n'y a pas de solution, sauf à utiliser un certificat signé par une CA déjà dans la liste des CA trustés par tes navigateurs.

    Mais bon, d'un autre coté "SSL bump"…  :-X



  • Je ne connais pas le "ssl bump" ça marche comment ? (je vais faire des recherches sur internet)
    J'ai aussi fait des tests avec startssl mais je n'ai jamais réussi à démarrer le proxy avec leur certificat !!!

    Merci



  • "SSL Bump" c'est la solution technique mise en œuvre par ces différents proxy qui font ce qu'on appelle communément "Man In The Middle"

    MITM, c'est initialement le mode d'attaque qui consiste à s'interpose entre le client et le serveur d'une session SSL.



  • @sab33:

    Mon responsable m'a demandé de faire l'installation d'un point d’accès public en wifi avec filtrage d'url et gestion des logs.

    …/...

    J'ai donc installé les paquets Squid et SquidGuard:

    • Sur la partie SquidGurad je n'ai aucun soucis.
    • Sur la partie Squid j'ai un soucis avec le SSL Man In the Middle Filtering .../...

    Au delà de la stricte tentative de réponse à ta question (gestion du certificat avec SSL Bump), je m'interroge quand même sur la nécessité de mettre en œuvre ce type de filtrage et l'objectif réellement visé.

    Je m'explique :

    • si c'est un point d'accès publique, le mieux que tu puisses faire, en terme de log, c'est identifier l'adresse IP qui a fait la requête HTTP.
    • si le besoin va au delà de ça, un simple proxy ne suffit pas, il faut gérer des comptes (identifiants) pour être capable de dire "c'est telle personne qui a fait tel accès", ce qui est beaucoup plus compliqué lorsqu'il s'agit d'un espace publique. Compliqué à cause de la gestion des comptes, de la CNIL etc…

    Idem en terme de filtrage, tu fait une description qui passe directement de la nécessité d'un proxy à la mise en œuvre de SSL Bump comme si c'était une évidence :

    • selon le niveau de filtrage souhaité, il n'est pas obligatoire de mettre en œuvre SSL bump pour empêcher l'accès, même en HTTPS à "https://ce-site-est-defendu.com"
    • SSL Bump va permettre de mettre en œuvre le filtrage du contenu, pas le filtrage de l'URL qui peut être réalisé par Squid + Squidguard

    Donc avant de te lancer dans un truc potentiellement compliqué, il est important de clarifier, si ce n'est pas déjà fait, le besoin réel.

    Si tu confirmes que tu as bien tous ces besoins à la fois, alors il te faut faire une étude sérieuse sur la mise en œuvre d'une solution de gestion de compte avant de te précipiter sur le proxy. Et dans la gestion de compte, dans ton cas, la difficulté, ce n'est pas la technologie mais le process de vérification de qui est l'utilisateur à qui tu attribues un compte.

    Si tu n'es pas (ou que ton manager n'est pas) persuadé que c'est le cas, alors c'est que l'expression des besoins est biaisée et probablement erronée  :P



  • Bonjour,

    Merci pour ce complément d'information, je pense que je n'avais pas bien tout compris.
    Je croyais qu'il fallait activer le  "Man In The Middle" mais visiblement ça sert à faire du filtrage de contenu, hors nous on voudrait du filtrage d'url.

    Par contre je n'arrive pas à faire du filtrage d'url en HTTPS, mais ça marche bien en http.

    Il y a une technique bien particulière pour le https ?

    Merci



  • @sab33:

    Il y a une technique bien particulière pour le https ?

    Technique particulière… oui et non  ;D

    En mode proxy transparent, le flux http et redirigé (de manière transparente) vers le proxy mais pas le flux https qui lui passe tout droit au travers du firewall.

    Pour faire court, il y a 2 modes de fonctionnements

    1 - pas de proxy

    2 - si proxy transparent :
            pas de SSL bump => seul HTTP passe par le proxy
            SSL bump => tout passe par le proxy mais il faut utiliser un certificat reconnu (trust du CA) par les navigateurs

    3 - proxy explicite (tout passe par le proxy) :
            si pas de SSL bump, filtrage d'URL pour tout, filtrage de contenu pour HTTP
            avec SSL bump, filtrage de contenu pour tout

    et pour avoir du proxy explicite (donc pas transparent) sans avoir à gérer les navigateurs, il faut mettre en œuvre WPAD  ;)


Log in to reply