+ Responder ao Tópico



  1. #1

    Padrão Squid tem algum jeito de funcionar para bloqueio de https?

    Ola,

    Tenho o Squid em servidores Fedora 4 e 5.
    Ele esta configurado para bloqueio de http (porta 80), via redirect de 80 para 3128.
    Agora, varios sites estao disponibilizando suas paginas por https (porta 443).
    Mas a ultima vez que eu redirecionei a porta 443 para 3128, varios sites, principalmente de bancos, pararam de funcionar.
    Ja existe alguma forma 100% de fazer o Squid filtrar https tambem?

  2. #2

    Padrão Re: Squid tem algum jeito de funcionar para bloqueio de https?

    para filtrar https vc não precisa apenas redirecionar a porta 443 para a porta 3128, como o nome diz ele é um protocolo q utiliza segurança, ele deve usar algum tipo de autenticação.
    Então eu acho que para acessá-lo a partir de um proxy, vc precisaria liberar o acesso na porta 443, mas não tenho certeza pq nunca passei por esse problema. Vou dar uma pesquisada, daí eu te falo.
    Ab's



  3. #3

    Padrão Re: Squid tem algum jeito de funcionar para bloqueio de https?

    O acesso na porta 443 esta liberado, passa direto, sem redirecionar para o proxy 3128.
    Por isso que funciona 100%.
    Ao redirecionar, o que ocorre é que ao digitar o endereco de um site, o navegador fica "pensando" ate dar timeout, nao consegue estabelecer a conexao com o servidor https remoto. Acontece alguma coisa "dentro" do Squid que ele nao processa os pacotes direito.

  4. #4

    Padrão Re: Squid tem algum jeito de funcionar para bloqueio de https?

    Até onde eu sei, no way. =/



  5. #5

    Padrão Re: Squid tem algum jeito de funcionar para bloqueio de https?

    Citação Postado originalmente por Stéfano
    Até onde eu sei, no way. =/
    Tb nunca ouvi falar que tem jeito com proxy transparente.
    Já se o proxy não for transparente é possível filtrar todos os sites inclusive os https.

    Um abraço!

  6. #6
    mhp
    Visitante

    Padrão Re: Squid tem algum jeito de funcionar para bloqueio de https?

    HTTPS e autenticação não funcionam em proxy transparente (redirect). Para rolar legal tem que desativar qualquer função de aceleração do Squid.



  7. #7

    Padrão Re: Squid tem algum jeito de funcionar para bloqueio de https?

    Mas vale entao uma critica ao Squid. Se o esquema de proxy transparente é tao importante para evitar que usuarios tentem burlar o sistema, desativando o proxy do seu navegador, eles deveriam melhorar a ferramenta para dar suporte a filtros nao menos importantes, como autenticacao e https. Hoje em dia, sao 3 recursos vitais para a administracao de uma rede. Sera que eles estao mexendo nisso para ativar em novas versoes? E existem outras opcoes de proxy no Linux que dao suporte para isso?

  8. #8
    mhp
    Visitante

    Padrão Re: Squid tem algum jeito de funcionar para bloqueio de https?

    Não tenho certeza se o problema é específico do Squid ou se acontece também com outros proxies em modo transparente.
    De qualquer forma, para evitar que os espertinhos naveguem sem proxy é só filtrar nas regras de forward as portas 21(ftp),70(gopher),80(http) e 443(https).



  9. #9

    Padrão Re: Squid tem algum jeito de funcionar para bloqueio de https?

    Neste caso eu tenho que fazer um DROP desta 4 portas e o Squid vai passar a gerenciar todos estes protocolos? Pois eu nunca redirecionei as portas 21 e 70 para ele.

    Fiz o teste de bloquear estas portas e o MSN parou de funcionar. Como os usuarios precisam ter acesso ao MSN, se eu bloqueio a porta 443, o MSN para.

  10. #10
    mhp
    Visitante

    Padrão Re: Squid tem algum jeito de funcionar para bloqueio de https?

    Que estranho, pelo que eu sei o MSN não usa a porta 443. Abaixo estão as portas padrão do MSN:

    389 : TCP MSN NetMeeting
    522 : TCP MSN NetMeeting
    1024 : UDP MSN NetMeeting (ports 1024 - 65535)
    1503 : TCP MSN NetMeeting Whitebord and Application Sharing
    1720 : TCP MSN NetMeeting
    1731 : TCP MSN NetMeeting
    1838 : TCP MSN Messenger (Gamevoice)
    1863 : TCP/UDP MSN Messenger primary (incoming)
    2300 : TCP/UDP MSN Gaming Zone DX (incoming) - ports 2300-2400
    2880 : TCP MSN Gaming Zone (ports 2880-29000).
    3389 : TCP MSN/Microsoft RDP (Remote Desktop Protocol) for Remote assistance
    5004 : UDP MSN Messenger, ports 5004-65535. Used for AUDIO and VIDEO.
    5190 : UDP MSN Messenger (incoming)
    6667 : TCP MSN Gaming Zone (incoming)
    6891 : TCP MSN Messenger Filetransfer (incoming) - ports 6891 - 6900, one port per file transfer
    6901 : TCP/UDP MSN Messenger Voice Telephony (incoming)
    28800 : TCP MSN Gaming Zone (incoming) - ports 28800 to 29000
    47624 : TCP MSN Gaming Zone DX (incoming)



  11. #11

    Padrão Re: Squid tem algum jeito de funcionar para bloqueio de https?

    Olá, como nosso colega MHP disse, o squid não funciona direito com https e autenticação se vc estiver usando proxy transparente. Vc tem passar a usar proxy revelado (ex.: colocarndo o endereço do proxy no ie e outros programas para acessarem a net).
    Bem, sobre o q o Edimar disse:
    "Se o esquema de proxy transparente é tao importante para evitar que usuarios tentem burlar o sistema, desativando o proxy do seu navegador, eles deveriam melhorar a ferramenta para dar suporte a filtros nao menos importantes, como autenticacao e https"
    Parece q o pessoal do squid ja esta vendo isso.

    Agora isso naõ é o fim do mundo nao. Basta o administrador de redes, ser realmente um administrador e nao so falar q é.
    Para utilizar o proxy revelado vc tem q configurar o seu fw para q toda sua rede passe por ele caso contrario ninguem navega, ou seja, se algum cliente + espertinho mudar o proxy para um publico ou instalar um software q procura proxys nas internet ele nao ira conseguir navegar, entao ele tera q voltar a colocar o proxy da empresa para poder usar a net.

    Aki tive q deixar de usar o proxy transparente divido ao mesmo problema so Edimar, mas não tenho nada a reclamar, aki quem reclam sao os uauários pois eles nao conseguem mais burlar o proxy.

    Espero ter ajudado...

    T+