Https e Squid ou Bloqueio https

lucascatani · 02 de Maio de 2012, 21:26

Boa noite. Andei pesquisando na internet sobre bloqueio de https com o squid, mas me deparei com uma série de informações controversas. Então se alguém puder me ajudar a esclarecer as minhas dúvidas eu agradeço.

* Por favor, só respondam se tiverem certeza da resposta.

1 - O squid3 (versão atual) consegue trabalhar com https?

2 - O squid3 (versão atual) pode ser usado com essa diretiva para trabalhar com https?

Código Selecionar


http_port 3128 trasnparent

3 - Essa regra funciona para redirecionar o tráfego https para o squid?

Código Selecionar

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128

4 - Se eu bloquear a palavra facebook por exemplo, vai bloquear o site https://facebook.com.br ?

5 - Qual a solução para bloquear https em um servidor firewall + proxy transparente? (O proxy é transparente, pois os usuários da rede são dinâmicos e desconhecidos)

6 - A única maneira é fazer pelo iptables?

Agradeço a todos.

zekkerj · 03 de Maio de 2012, 12:36

Citação de: lucascatani online 02 de Maio de 2012, 21:26
Boa noite. Andei pesquisando na internet sobre bloqueio de https com o squid, mas me deparei com uma série de informações controversas. Então se alguém puder me ajudar a esclarecer as minhas dúvidas eu agradeço.

* Por favor, só respondam se tiverem certeza da resposta.

1 - O squid3 (versão atual) consegue trabalhar com https?

Sim, perfeitamente, assim como todas as versões anteriores, e todas as versões futuras.

Citar2 - O squid3 (versão atual) pode ser usado com essa diretiva para trabalhar com https?
Código Selecionar Expandir
http_port 3128 trasnparent

Não, assim como todas as versões anteriores, e todas as versões futuras.
E sim, eu tenho certeza absoluta disso.

Citar
3 - Essa regra funciona para redirecionar o tráfego https para o squid?

Código Selecionar Expandir
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128

Não, essa regra não funciona para tráfego HTTPS, e não é um problema do Squid, aliás não é nem um problema, faz parte do projeto do HTTPS que esse tipo de regra não funcione.

Resumo: HTTPS não funciona com proxy transparente. Ponto. Se você precisa de tráfego HTTPS, libere-o diretamente ou configure o proxy nas estações. Ponto.

Citar
4 - Se eu bloquear a palavra facebook por exemplo, vai bloquear o site https://facebook.com.br ?

Sim, e também vai bloquear o site "http://www.google.com?q=como+bloquear+o+facebook", pq vc está bloqueando a palavra, mas não disse em que parte do url está bloqueando. Por sorte, há como controlar em que parte do URL vc quer bloquear, e assim bloquear apenas no endereço.

Citar5 - Qual a solução para bloquear https em um servidor firewall + proxy transparente? (O proxy é transparente, pois os usuários da rede são dinâmicos e desconhecidos)

Não há solução para HTTPS em proxy transparente. Ou você usa HTTPS, ou usa proxy transparente.
É a mesma situação de autenticação com proxy transparente: ou um, ou outro.

Citar6 - A única maneira é fazer pelo iptables?

Não.

Há uma solução muito prática, que substitui com vantagens o proxy transparente (que é uma forma de ataque MiTM). Use WPAD (Web Proxy Auto Discovery). Com isso, você pode ativar a opção "Detectar automaticamente as opções de proxy" dos seus navegadores.

CitarAgradeço a todos.

De nada.

lucascatani · 03 de Maio de 2012, 20:02

Beleza, sobre o WPAD. Pelo que eu li, preciso ter um servidor web rodando na rede, certo? Até aí tudo bem.

1 - Se o cliente desmarcar a opção "detectar automaticamente as configurações de rede" no seu navegador, o que acontece? Ele vai navegar normalmente? ou seja, não vai passar pelo proxy?

2 - Posso usar o WPAD só com o DHCP, sem o DNS, pois não tenho servidor dns no servidor. Funcionará para todos os navegadores?

Valeu zekkerj

zekkerj · 03 de Maio de 2012, 20:55

Citar1 - Se o cliente desmarcar a opção "detectar automaticamente as configurações de rede" no seu navegador, o que acontece? Ele vai navegar normalmente? ou seja, não vai passar pelo proxy?

Vai navegar, se vc permitir isso; se não quiser permitir, basta bloquear no firewall.

Citar2 - Posso usar o WPAD só com o DHCP, sem o DNS, pois não tenho servidor dns no servidor. Funcionará para todos os navegadores?

Por DHCP infelizmente só funciona com o IE.
O Firefox exige a configuração via DNS.
Não sei como o Chrome e o Safari vão agir.

lucascatani · 04 de Maio de 2012, 08:55

Citação de: zekkerj online 03 de Maio de 2012, 20:55
Citar1 - Se o cliente desmarcar a opção "detectar automaticamente as configurações de rede" no seu navegador, o que acontece? Ele vai navegar normalmente? ou seja, não vai passar pelo proxy?
Vai navegar, se vc permitir isso; se não quiser permitir, basta bloquear no firewall.

Citar2 - Posso usar o WPAD só com o DHCP, sem o DNS, pois não tenho servidor dns no servidor. Funcionará para todos os navegadores?
Por DHCP infelizmente só funciona com o IE.
O Firefox exige a configuração via DNS.
Não sei como o Chrome e o Safari vão agir.

Pois é, fazendo com o dns também é certo que funciona para todos? Aproveitando o gancho, sabe algum tutorial BOM sobre servidor dns? vou colocar tudo na mesma máquina. Servidor dns + dhcp + fw + squid. Tudo isso com o wget para ele ficar trasnparente sem usar a diretiva de proxy transparente.

zekkerj · 04 de Maio de 2012, 10:36

CitarPois é, fazendo com o dns também é certo que funciona para todos?

Todos os que têm reconhecimento automático funcionam com o WPAD por DNS.

CitarAproveitando o gancho, sabe algum tutorial BOM sobre servidor dns? vou colocar tudo na mesma máquina. Servidor dns + dhcp + fw + squid. Tudo isso com o wget para ele ficar trasnparente sem usar a diretiva de proxy transparente.

Tente este:
http://www.hardware.com.br/tutoriais/instalando-servidor-dns/

zekkerj · 10 de Maio de 2012, 21:38

seria melhor vc concentrar suas dúvidas em um único tópico...