Filtro de páginas HTTPS utilizando squid3

lufeos
(usa Debian)

Enviado em 30/10/2015 - 16:32h

Olá Pessoal,
Saudações!

Aqui na empresa temos aproximadamente 90 estações de trabalho conectadas a rede e todas com acesso à internet.

Utilizo solução de proxy squid (transparente) e relatórios de acesso sarg, tudo funcionando corretamente.

Mas de tempos pra cá tenho me deparado com o problema de sites https, que não aparecem no relatório do sarg.

Pesquisando encontrei a opção de compilar o squid habilitando o ssl para fazer as interceptações https. Consegui fazer funcionar, mas "achei" dificil de se colocar em prática, visto que teria que instalar um certificado em cada máquina e em todos os navegadores testados aparecem a mensagem de falha no certificado (mas navega).

Alguém ai tem alguma coisa implementada e funcionando nesse sentido? Ou sugere alguma outra solução?

Valeu!!!

-----------
Luiz (LuFeOS)
Debian 8 Jessie (AMD64)
Squid3 - 3.4.8

andr3ribeiro
(usa Arch Linux)

Enviado em 30/10/2015 - 16:36h

Eu uso WPAD. Filtra SSL com as ACLs normais e sai no Sarg

lufeos
(usa Debian)

Enviado em 30/10/2015 - 16:40h

Obrigado pela resposta!

Esqueci de citar... uso proxy transparente.

Não conheço o WPAD, como funciona?

Poderia me dar maiores detalhes?

andr3ribeiro
(usa Arch Linux)

Enviado em 30/10/2015 - 16:44h

Windows Proxy Auto Discovery, é um modo de preenchimento do proxy no cliente de forma automática e transparente ao usuario. É como se fosse proxy transparente para as estações, mas o servidor enxergasse como proxy ativo.
Basicamente vc precisa criar um arquivo no seu servidor web e fazer um ajuste no DHCP e DNS.
É bem tranquilo de implementar e vc pode fazer no seu servidor em produção sem atrapalhar o pessoal.

Aqui no VOL tem varios artigos ensinando certinho o procedimento de implantação
Só dar uma busca açi no cantinho por WPAD que vai aparecer



É mais ou menos assim:

primeiro cria o arquivo proxy.dat com o conteúdo a seguir na raiz do seu servidor web

function FindProxyForURL(url, host)

{

  return "PROXY http://ip-do-servidor-proxy:3128";

} 

teste via browser, pra ver se esta achando o caminho direitinho...

depois coloque essas linhas no seu dhcpd.conf

option wpad code 252 = text;

option wpad "http://192.168.1.1/wpad.dat\n";

 

e reinicie o serviço!

O browser deve ter a opção "Detectar configurações automaticamente" marcada nas Opções da Internet, aba Conexões, botão Configurações da Lan

Pronto. Essas configurações são suficientes para o Internet Explorer funcionar com o wpad (nao me pergunte porque..rsrs)



Teste e veja se rodou. Se der certo te ajudamos com o BIND



Faça algumas tentativas no seu ambiente aí e reporta suas dificuldades aqui..!

renato_pacheco
(usa Debian)

Enviado em 31/10/2015 - 11:25h

Outra coisa: não tem como fugir do certificado instalado nas estações d trabalho, porém existe soluções q vc pode instalar os certificados d forma transparente nas máquinas. Eu posso v no meu trabalho, pois a galera lá fez isso sem problemas. Melhor do q sair instalando manualmente, máquina por máquina.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

lufeos
(usa Debian)

Enviado em 09/11/2015 - 09:11h

Obrigado à todos pelas contribuições. Foi tudo muito útil.

renato_pacheco
(usa Debian)

Enviado em 09/11/2015 - 09:23h

Só respondendo o q eu havia prometido: a solução é utilizar o AD (ou o Samba) pra executar no netlogon o comando certmgr (q instala o certificado no Windows). Ae basta colocar o seu certificado em um compartilhamento de acesso a todos e mandar instalar na inicialização das estações de trabalho.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh