[FUG-BR] RES: RES: bloquear https com squid
Renato Frederick
frederick em dahype.org
Terça Dezembro 16 14:34:00 BRST 2008
Você pode bloquear o acesso direto á porta 443 no seu firewall e obrigar a
todos usarem o squid manualmente no navegador para HTTPS, seja via Police(se
for uma rede com AD) ou via script de configuração automática.
Conforme já foi dito, o Proxy transparente não aceita HTTPS porque isto
seria um ataque 'man in the middle', no caso o squid interferindo na conexão
HTTPS, autenticada e autorizada fim a fim.
Na verdade o rdr por si só não aceita nem http, você tem que ir no squid e
falar que ele está rodando como transparente(HTTP port 3128 transparent),
para aí sim funcionar 100%. E tomar cuidado com programas que não tratam
isto corretamente, como os famosos aplicativos da Caixa
econômica(conectividade social e outros).
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> nome de Renato Botelho
> Enviada em: terça-feira, 16 de dezembro de 2008 14:23
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] RES: bloquear https com squid
>
> 2008/12/16 Ricardo Augusto de Souza <ricardo.souza em cmtsp.com.br>:
> > Renato,
> >
> > eu utilizo proxy transparant sim e o https funciona na boa.
> > Porem eu nao redireciono a porta 443.
> >
> > Veja as regras:
> >
> > # squid trasparente
> > no rdr on $int_if inet proto tcp from $sem_proxy to any port 80
> > rdr pass on $int_if inet proto tcp from $lan to any port 80 ->
> $int_if port 128
> >
> > Entao é isso: se utilizar transparent nao consigo bloquear sites
> https?
>
> Exato, pode fazer o teste, o transparente não consegue bloquear
> https, é impossível por conta da implementação.
>
> --
> Renato Botelho
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd