Bloqueando Paravras Squid + HTTPS

renancasini
(usa Outra)

Enviado em 06/06/2014 - 11:34h

por experiencia própria. https e proxy transparente não funciona.

https significa conexão segura ou seja "ponto a ponto" o proxy transparente é como se fosse algo no meio disso então te adianto: NÂO FUNCIONA.

Uma solução que encontrei ( MAIS OU MENOS..... MAIS OU MENOS...) foi isso:


Adiciona as seguintes linhas no seu Firewall ou seja vamos dropar o face antes do squid.

for i in `seq 1 254`
do
iptables -I FORWARD -s 192.168.0.$i -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -s 192.168.0.$i -m string --algo bm --string "youtube.com" -j DROP
iptables -I OUTPUT -s 192.168.0.$i -m string --algo bm --string "facebook.com" -j DROP
iptables -I OUTPUT -s 192.168.0.$i -m string --algo bm --string "youtube.com" -j DROP
iptables -I FORWARD -s 192.168.0.$i -m string --algo bm --string "pt-br.facebook.com" -j DROP
iptables -I OUTPUT -s 192.168.0.$i -m string --algo bm --string "pt-br.facebook.com" -j DROP
done



Porque MAIS OU MENOS????

como vemos estou dropando o face por IP, só que por ex: caso um dos usuarios que contenham o ip com o drop do face entre no site do terra e no site do terra tenha um link do facebbok (como por ex. os likes ou compartilhar) o site inteiro não abre.


Dropar a porta 443 só vai te trazer mais dor de cabeça, pois sites de bancos usam essa porta.


a melhor solução que encontrei ( e olha que pesquisei muito sobre isso) foi:


https://www.youtube.com/watch?v=qV_cVl856ig


Acabaram se todos os meus probelams.....

pmesquita
(usa Debian)

Enviado em 06/06/2014 - 14:33h

renancasini,

Obrigado pela contribuição.
Bom já sei e sabia que o HTTPS + Proxy Transparente não funcionam, estou usando proxy manualmente, pelo que eu li no vídeo para mim não irá mudar muita coisa, pois ele usa autenticação e para mim não me serve.

Só uma duvida, no caso que eu habilite o módulo SSLBump do Squid, ao emitir o certificado e instalar no navegador do cliente ao acessar um site de banco por exemplo o pacote que sairá da minha rede será criptografado com o certificado que eu gerei ou com o do banco que será armazenado pelo squid ou ainda vai em texto plano?

Abraços.

Buckminster
(usa Debian)

Enviado em 06/06/2014 - 23:18h

No teu caso como não é proxy transparente, ou seja, tu informa ao navegador que deve usar proxy é possível usar Squid para HTTPS, pois o navegador conversa com o proxy dizendo o que quer.
Aliás, desde o Squid 3.1 é possível bloquear HTTPS em proxy transparente, mas daí tem que se fazer gambiarras incluíndo o Iptables e filtragem pelo Iptables consome muita banda.

Quanto ao fato do pacote ser criptografado pelo Squid, pelo banco ou ir em texto, isso depende. Pois o pacote que sair será gerado com o certificado do Squid, mas quando o pacote volta ele terá uma chave gerada pelo banco, por exemplo.
Mesmo fazendo o que estiver no link abaixo, não é possível filtrar por conteúdo, que estaria criptografado, somente é possível filtrar pela URL. Mas acredito que isso atende ao que tu quer.
Os bancos (e vários sites com suporte à criptografia) utilizam plugins. Até um tempo atrás isso era uma [*****], pois os desenvolvedores de plugins preferenciavam suporte para o Internet Explorer. Hoje este problema quase não existe mais.

O SSL (Secure Sockets Layer) usa um sistema de criptografia que utiliza duas chaves para criptografar os dados, uma chave pública conhecida por todos e uma chave privada conhecida apenas pelo destinatário.

Com o Squid com suporte a SSL ele se torna uma CA (Certificate Authority), ou seja, uma Autoridade Certificadora e atua mais ou menos como um homem-do-meio. Não podemos dizer que com SSL o Squid torna-se exatamente um homem-do-meio, pois ele não quebra a criptografia do certificado do banco por exemplo, mas torna-se uma CA apta a trocar chaves. Por isso não é possível filtrar por conteúdo.

Não sei se me fiz entender, mas faça o procedimento do link abaixo que tu conseguirá bloquear HTTPS.
Tu deverá compilar o Squid com suporte à SSL (se ainda não tiver).

http://www.vivaolinux.com.br/dica/Squid-in-the-middle-Bloqueando-sites-HTTPS-no-Squid

lucasmoreira
(usa Ubuntu)

Enviado em 10/06/2014 - 09:50h

Cara na minha empresa tive o mesmo problema, pois a google passou a alguns anos para HTTPS, o que eu fiz foi o seguinte, no iptables uso as regras para DROPAR o FACEBOOK e o YOUTUBE, consequentemente dropando o youtube o google dropa tambem (nao sei porque), tambem em meu squid bloqueio palavras como transparente. Dai todos computadores da empresa se obrigam a usar o bing ou outro motor de busca, e estes nao usam https, acabou os meus problemas. foi um preço baixo a pagar em meu ponto de vista.