[FUG-BR] Res: bloquear https com squid
Daniel Nerd
nerdjgua em yahoo.com.br
Quinta Dezembro 18 09:13:53 BRST 2008
Pegando o gancho do assunto,
Nunca filtrávamos o HTTPS por nunca ter necessidade de filtrar sites sérios. Todos os sites "maléficos" eu filtrava por palavra na URL (ex: msn, messenger, orkut, etc).
Porém, o site: https://imo.im/ é um gateway em HTTPS para o MSN! Assim, o que antes estava fácil bloquear por URL e por portas no IPFW, agora se transformou num terror! (hehe).
Na tentativa inicial de apenas redirecionar o tráfego da porta 443 para o squid, os sites de bancos pararam de funcionar, e os webmails pessoais da galera também.
Alguma dica aí?
Valeu
Daniel
----- Mensagem original ----
De: Renato Frederick <frederick at dahype.org>
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <freebsd at fug.com.br>
Enviadas: Terça-feira, 16 de Dezembro de 2008 14:34:00
Assunto: [FUG-BR] RES: RES: bloquear https com squid
Você pode bloquear o acesso direto á porta 443 no seu firewall e obrigar a
todos usarem o squid manualmente no navegador para HTTPS, seja via Police(se
for uma rede com AD) ou via script de configuração automática.
Conforme já foi dito, o Proxy transparente não aceita HTTPS porque isto
seria um ataque 'man in the middle', no caso o squid interferindo na conexão
HTTPS, autenticada e autorizada fim a fim.
Na verdade o rdr por si só não aceita nem http, você tem que ir no squid e
falar que ele está rodando como transparente(HTTP port 3128 transparent),
para aí sim funcionar 100%. E tomar cuidado com programas que não tratam
isto corretamente, como os famosos aplicativos da Caixa
econômica(conectividade social e outros).
> -----Mensagem original-----
> De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em
> nome de Renato Botelho
> Enviada em: terça-feira, 16 de dezembro de 2008 14:23
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] RES: bloquear https com squid
>
> 2008/12/16 Ricardo Augusto de Souza <ricardo.souza at cmtsp.com.br>:
> > Renato,
> >
> > eu utilizo proxy transparant sim e o https funciona na boa.
> > Porem eu nao redireciono a porta 443.
> >
> > Veja as regras:
> >
> > # squid trasparente
> > no rdr on $int_if inet proto tcp from $sem_proxy to any port 80
> > rdr pass on $int_if inet proto tcp from $lan to any port 80 ->
> $int_if port 128
> >
> > Entao é isso: se utilizar transparent nao consigo bloquear sites
> https?
>
> Exato, pode fazer o teste, o transparente não consegue bloquear
> https, é impossível por conta da implementação.
>
> --
> Renato Botelho
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com
Mais detalhes sobre a lista de discussão freebsd