Author Topic: Controle HTTPS no Proxy Transparente ou Autenticado  (Read 18614 times)

lfgarrido

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Controle HTTPS no Proxy Transparente ou Autenticado
« on: July 18, 2011, 04:33:32 pm »
Olá Pessoal,

Primeiramente queria mencionar que estou surpreso com a ferramenta, realmente o Zentyal é muito bom, rapidamente montamos um Servidor com vários recursos.

Aqui na empresa precisei de um bom Proxy com filtro de conteúdo, já fiz testes com ele transparente e com ele autenticado, uso o filtro com a lista do urlblacklist.com é muito boa.

O que estou com problemas é para controlar o tráfego HTTPS, usado tanto para bancos e outros serviços seguros, bem como por redes sociais, softwares e páginas que visam usar a porta segura para burlar proxy.

Pesquisando aqui no forum consegui bloquear o Serviço HTTPS usando o Firewall, mas em contra partida também bloqueia os seguros como bancos e nota fiscal eletrônica por exemplo.

Gostaria de saber se há uma maneira mais fácil de gerenciar isso, pois acredito eu que teria que pegar todos os IPs de bancos e colocar para liberar no Firewall, correto?

O que é melhor neste caso, proxy transparente ou autenticado? Outro detalhe, não tem mesmo como deixar transparente e autenticado junto né? Seria bacana para os relatórios identificar os usuários independente de estações.

Usando Proxy autenticado e marcando nas estações para usar o HTTPS passando também pelo proxy (3128) zentyal eu conseguiria controlar o HTTPS através do squid?

Desculpe se usei algum termo equivocado, meu primeiro post.

Abs.

Felipe Garrido

lfgarrido

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: Controle HTTPS no Proxy Transparente ou Autenticado
« Reply #1 on: July 19, 2011, 09:26:07 pm »
up!!! alguém?

vinicius

  • Zen Apprentice
  • *
  • Posts: 25
  • Karma: +0/-0
    • View Profile
Re: Controle HTTPS no Proxy Transparente ou Autenticado
« Reply #2 on: July 21, 2011, 03:56:43 pm »
Quote
O que é melhor neste caso, proxy transparente ou autenticado? Outro detalhe, não tem mesmo como deixar transparente e autenticado junto né? Seria bacana para os relatórios identificar os usuários independente de estações.
Depende da necessidade:
transparente vc não precisa configurar nos navegadores dos clientes o ip e porta do proxy. Dizem (nunca testei) que https(porta 443) não aceita proxy transparente, ou seja, vc terá q fazer uma lista branca com os 443 liberados, eu penso q isso é complicado.

Autenticado eu utilizo aqui e funciona mto bem, porém vc terá que configurar o ip e porta do proxy nas estações clientes, a vantagem é q dessa maneira eu consigo fazer com que a porta 443 tbm seja controlada pelo proxy, nesse caso funciona assim: vc faz um bloqueio no firewall (firewall>>>regras) para que o objeto em questão não consiga navegar, daí é só configurar esse mesmo objeto no proxy.
Quote
Usando Proxy autenticado e marcando nas estações para usar o HTTPS passando também pelo proxy (3128) zentyal eu conseguiria controlar o HTTPS através do squid?
sim... como ja dito acima.

lfgarrido

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: Controle HTTPS no Proxy Transparente ou Autenticado
« Reply #3 on: July 21, 2011, 05:00:45 pm »
Legal, obrigado pelas informações Vinicius.

Realmente tentei de várias formas por aqui, no modo Transparente é bacana pois não tem que ir em cada estação, mas em contrapartida não consegui filtrar url que usasse HTTPS. Consegui apenas bloquear através do firewall mas imagine só ficar colocando lista branca de IPs no firewall de tudo que é banco, site de governo, etc... baita mão de obra.

Optei por usar o Proxy configurado nas estações (3128) e autenticado, ficou bacana, são somente 40 estações, não dá tanto trabalho, depois irei testar também o WPAD (que distribui as configurações de Proxy na rede).

Gostei muito da sua ideia de bloquear no firewall a porta 433 e usar tudo pelo Proxy, você pode me dar mais detalhes de como fazer isso?

Minha rede é 192.168.0.0, tem como eu adicionar um objeto que atinja todo o range de rede?

Daí eu bloqueio a 433 para objeto no firewall né? eu já fiz isso com um IP pra teste, mas seria bacana para um range de IPs.

Outra coisa, depois disso como eu faço pra controlar a 433 pelo Proxy? tenho que redirecionar portas no firewall ou algo assim?

Se puder me dar mais detalhes do seu cenário e de como faço isso agradeço, creio também que ajudará a muitos aqui na comunidade....

e dá-lhe Zentyal...

Forte abs...

lfgarrido

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: Controle HTTPS no Proxy Transparente ou Autenticado
« Reply #4 on: July 22, 2011, 02:47:57 pm »
up

vinicius

  • Zen Apprentice
  • *
  • Posts: 25
  • Karma: +0/-0
    • View Profile
Re: Controle HTTPS no Proxy Transparente ou Autenticado
« Reply #5 on: July 22, 2011, 10:52:28 pm »
Quote
Minha rede é 192.168.0.0, tem como eu adicionar um objeto que atinja todo o range de rede?
sim, vc cria um objeto sem MAC só c o ip: 192.168.0.0/24

Quote
Daí eu bloqueio a 433 para objeto no firewall né? eu já fiz isso com um IP pra teste, mas seria bacana para um range de IPs.
Na verdade vc não precisa bloquear a 443, eu bloqueio é a rede inteira, nada que venha dessa rede passa, é só vc criar uma regra no firewall em filtro para redes internas negando qualquer origem e com destino ao objeto dessa rede. Feito isso vc vai em http-proxy e coloca na opção politica de objetos a referencia dessa rede em q ela deverá passar pelo proxy.

Quote
Outra coisa, depois disso como eu faço pra controlar a 433 pelo Proxy? tenho que redirecionar portas no firewall ou algo assim?
Controlar como assim? ela ja estará sendo totalmente controlada pelo proxy, vc não precisa fazer nada, é só colocar na lista negra os https q vc deseja bloquear, uma vantagem de usar dessa forma q vc ta fazendo, é q o ultrasurf não consegue autenticar, ou pelomenos autentica c muita dificuldade.

Abraço, espero ter ajudado.

lfgarrido

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: Controle HTTPS no Proxy Transparente ou Autenticado
« Reply #6 on: July 25, 2011, 08:06:07 pm »
Obrigado pelas respostas Vinicius,

Adicionei um Objeto com minha rede toda (192.168.0.0/24)

No Firewall em Filtro de Pacotes na Regras de filtros para redes internas, eu Neguei de Qualquer origem o acesso à esta rede (objeto) em qualquer serviço (any).

No Proxy HTTP em Política de objetos usei a política Filter para esta rede e marquei o Perfil de Filtro à ser usado, já configurado com a URLBLACKLIST.

Não uso transparente, uso a porta 3128 e autenticado mas com esse passo acima passou a navegar sem pedir usuário e senha.

Detalhe do meu cenário: uso apenas uma placa de rede com IP válido na rede e as máquinas apontando pra ela no Proxy e um firewall/router (TP-LINK) nega qualquer coisa que não seja o Proxy, portanto todos tem que obrigatoriamente passar pelo Proxy.

Mesmo assim se eu digito http://imo.im dá Acesso Negado, mas se eu usar https://imo.im daí navega.

Eu consegui contornar a situação usando o OPENDNS em conjunto com o Zentyal, por lá deu certo, consigo bloquear qualquer domínio que use HTTPS, mas seria legal eu conseguir fazer tudo atrtavés do Zentyal.

Vc sabe o que posso ter errado?

Outra coisa, sabes como bloquear com eficácia o ULTRASURF e SKYPE?

Visto que não posso bloquear a porta 443 por conta de uso em brancos e Nf-e

Abs.

Felipe

lfgarrido

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: Controle HTTPS no Proxy Transparente ou Autenticado
« Reply #7 on: August 01, 2011, 04:33:48 pm »
Agora que deixei o Zentyal com apenas uma placa de rede não consigo fazer funcionar o firewall, não bloqueia o Serviço HTTPS como descrito em alguns tópicos, gostaria de fazer o bloqueio e liberar apenas para IP de bancos.

Alguém consegue me dar o caminho das pedras?

Abs.

celauter

  • Zen Apprentice
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
Re: Controle HTTPS no Proxy Transparente ou Autenticado
« Reply #8 on: November 25, 2011, 08:45:41 pm »
Tive esse mesmo problema na minha rede só consegui resolver após trocar o proxy e o firewall pela solução da UTM da AKER , com firewall e filtro de Conteúdo e Proxy https, finalmente consegui bloquear o imo.im e outros sites até mesmo o faceboob e orkut e twitter quem me atendeu foi e instaloue configurou foi a Spazio Digital Soluções em T.I de Cuiabá Mato Grosso com Sede em São Paulo. www.spaziodigital.com.br.

sarraceno

  • Zen Apprentice
  • *
  • Posts: 20
  • Karma: +2/-0
    • View Profile
Re: Controle HTTPS no Proxy Transparente ou Autenticado
« Reply #9 on: December 01, 2011, 12:24:05 pm »
Caríssimos, se pudessemos efectuar manipulação das comunicações de HTTPS significaria que teriamos acesso ao seu conteudo, logo a funcionalidade de HTTPS (segurança/encriptação) estava desfeita.

No entanto existe segundo me peslicaram pelo menos um proxy de HTTPS (parece um contracenso face ao que disse antes), no entanto este sistema não é legal/válido, pois faz uso da técnica "man in the middle", em que no lugar de estarmos a establecer uma ligação segura com o site destino estamos com um intermédio desconhecido... q poderá...
O que nem é compativel com certos sites que fazem uso de todas as potencialidades do SSL e por tal não se consegue efectuar assim uma sessão HTTPS.

A solução é firewall... plo menos do que conheço nos clientes medios e empresariais que já tive.