HTTPS e squid

rpugsley
(usa Debian)

Enviado em 08/04/2014 - 18:46h

Boa noite pessoal,

Estou configurando um proxy em uma empresa e me encontrei em um dilema.
Não utilizarei o proxy para controle de acesso, somente para QoS e relatórios de acesso por IP.
Só para criar o cenário, utilizamos AD do Windows Server. Alguns usuários optam por trazer notebooks e estes computadores não pertencem ao domínio.

Então o dilema.
As opções encontradas foram:

1)Filtrar o conteúdo http e deixar passar todo conteúdo https direto para o gateway. Squid transparente.
Vantagens: Não será necessário nenhuma configuração em computadores que não estão no domínio
Desvantagens: Falta de controle centralizado, segurança.

2)Filtrar todo o conteúdo no squid. Proxy configurado no browser.
Vantagens: Https funcionando no servidor proxy.
Desvantagens: Teria que configurar cada computador fora do domínio manualmente, e remover a configuração para funcionar em outras redes sem proxy.

3)Filtrar todo o conteúdo no squid. Proxy transparente com certificado ssh.
Vantagens: Https funcionando no squid.
Desvantagens: Erros nos browser, precisa fazer deploy do certificado manualmente nas maquinas de fora do domínio.

Seriam somente essas minhas opções?
Teria como configurar o squid para utilizar aquele opção "Detectar automaticamente as configurações de rede" e não necessitar configurar o proxy no Windows manualmente (para maquinas fora do domínio)?

Desde já agradeço essa excelente comunidade.

andrecanhadas
(usa Debian)

Enviado em 10/04/2014 - 00:10h

Proxy transparente no seu caso funcionaria mas ficaria a mercê de usuário mais espertos acessando sites via https.

De uma pesquisada de como implementar WPAD vai precisar de um servidor DHCP,DNS interno e Apache.

O WPAD vai funcionar como configurador automático de proxy no navegador porem se usar proxy transparente é o usuário desmarcar a opção de obter automaticamente o https vai estar liberado. Para isso basta deixar o Forward Habilitado apenas para a maquina do proxy, ou seja se o espertinho desmarcar a configuração automática ele não navega.

rpugsley
(usa Debian)

Enviado em 10/04/2014 - 11:16h

Eu gostaria de liberar o https no proxy transparente porém é exatamente isto que não estou conseguindo.
Http funcionando normal nas duas redes. DNS ok.

Levando em conta que meu firewall está sem nenhuma regra e permitindo todo trafégo segue meu squid.conf

############################################################
##squid.conf
http_port 3128 intercept
cache_mem 2000 MB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 90000 16 256

maximum_object_size 60000 KB
maximum_object_size_in_memory 100 KB

access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
mime_table /usr/share/squid3/mime.conf

memory_pools off

dns_nameservers 192.168.25.200
dns_nameservers 8.8.8.8
dns_nameservers 8.8.4.4


diskd_program /usr/lib/squid3/diskd
unlinkd_program /usr/lib/squid3/unlinkd

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
quick_abort_max 16 KB
quick_abort_pct 95
quick_abort_min 16 KB
request_header_max_size 20 KB
reply_header_max_size 20 KB
request_body_max_size 0 KB

acl interna src 192.168.0.0/24 # rede interna
acl clientes src 192.168.1.0/24 # wifi de clientes

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

http_access allow localhost
http_access allow clientes
http_access allow interna


http_access deny all

icp_access allow interna
icp_access deny all

cache_mgr webmaster
mail_program mail
cache_effective_user proxy
cache_effective_group proxy
httpd_suppress_version_string off
visible_hostname proxy

error_directory /usr/share/squid3/errors/pt-br/

delay_pools 0
###################################################################