Re: [FUG-BR] Squid com https
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 03/05/2015 03:46 PM, Renata Dias wrote: Welkson, o que eu preciso justamente é filtrar o acesso ao Google, para que apenas alguns serviços do Google sejam acessados e o resto bloqueado. Obrigada MrBiTs, vou tentar fazer isso. Vai funcionar para acessar o Google mesmo com filtro https? Se você configurar o squid direito (como me parece que fez) E (e esse é um grande E) colocar no mesmo .pem tanto a chave, o certificado e o certificado intermediário da Startcom, sim, tudo deve funcionar. Eu tenho certificados deles falando com Google, Facebook e outros serviços. off-topic Não trabalho para eles nem nada, mas a Startcom me dá, de graça, certificados digitais para meus sites, meus e-mails e ainda gerencia um Web of trust com pessoas assinando suas chaves. Eles fazem até festas de assinatura de chaves, nos melhores moldes que a comunidade do GPG faz. /off-topic - -- echo 920680245503158263821824753325972325831728150312428342077412537729420364909318736253880971145983128276953696631956862757408858710644955909208239222408534030331747172248238293509539472164571738870818862971439246497991147436431430964603600458631758354381402352368220521740203494788796697543569807851284795072334480481413675418412856581412376640379241258356436205061541557366641602992820546646995466P | dc -BEGIN PGP SIGNATURE- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQEcBAEBCAAGBQJU+MghAAoJEG7IGPwrPKWrFDMH/iM0JhJmY4yv10vM9sv1KrcC Ew/kWZhsRXf+TP7/ur6hwcWm4xTGSHV6QvqrmerbRUTYMvSacljqT694x7JirHiO Zikdxcxa7h4yGtXkvfUWn70nvLydvnY0WWmMZmhXEyPOlq9Xo/qjSbTCNoyV54hx AsBWRKJEZnjh1hKTJTy7AeDupCcPqR88ZP7EwaBtBrye9S3FsWUYV/+f5k//6BYH 2gaZet/I68BlTVo4METjY/OMBwYr6mXY/xEElh/ozGs0FYdS9UrL7WsSX4FnrCLO Sm3OeYlQiCd+h1c5AMstRoWlC7SIt0N3/cKSmUQjvQWo6sqjBN7ZGwWwGGDE6CM= =PFlv -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid com https
Em 5 de março de 2015 18:18, MrBiTs mrbits@gmail.com escreveu: Se você configurar o squid direito (como me parece que fez) E (e esse é um grande E) colocar no mesmo .pem tanto a chave, o certificado e o certificado intermediário da Startcom, sim, tudo deve funcionar. Eu tenho certificados deles falando com Google, Facebook e outros serviços. Grande MrBiTs, beleza? Ajude-me a entender melhor essa solução. Você precisou instalar esse certificado no navegador das máquinas? Pelo que sei, a StarSSL não permite você gerar um certificado wildcard a nível de domínio, ex: *.* (sub-domínio acredito que deixa, ex: *. minhaempresa.com.br). PS: pelo que lembro no caso da Lenovo (Superfish) os caras instalavam um certificado wildcard no navegador do usuário. Ainda estou lendo sobre certificate pinning [1], mas pelo que vi ele associa o certificado ao host com uma chave que só o responsável pelo domínio teria acesso... o site até pode abrir em MITM, mas o navegador deveria gerar algum tipo de alerta (pelo menos no Chrome e Firefox) ou não? Se eu estiver engando, e se você puder, indique algum material para que eu possa entender melhor essa solução. [1] https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid com https
Em 5 de março de 2015 20:34, Welkson Renny de Medeiros welk...@gmail.com escreveu: Em 5 de março de 2015 18:18, MrBiTs mrbits@gmail.com escreveu: Se você configurar o squid direito (como me parece que fez) E (e esse é um grande E) colocar no mesmo .pem tanto a chave, o certificado e o certificado intermediário da Startcom, sim, tudo deve funcionar. Eu tenho certificados deles falando com Google, Facebook e outros serviços. Grande MrBiTs, beleza? Ajude-me a entender melhor essa solução. Você precisou instalar esse certificado no navegador das máquinas? Pelo que sei, a StarSSL não permite você gerar um certificado wildcard a nível de domínio, ex: *.* (sub-domínio acredito que deixa, ex: *. minhaempresa.com.br). PS: pelo que lembro no caso da Lenovo (Superfish) os caras instalavam um certificado wildcard no navegador do usuário. Ainda estou lendo sobre certificate pinning [1], mas pelo que vi ele associa o certificado ao host com uma chave que só o responsável pelo domínio teria acesso... o site até pode abrir em MITM, mas o navegador deveria gerar algum tipo de alerta (pelo menos no Chrome e Firefox) ou não? Se eu estiver engando, e se você puder, indique algum material para que eu possa entender melhor essa solução. [1] https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning Welkson Complemento para meu e-mail anterior: http://www.squid-cache.org/mail-archive/squid-users/201409/0002.html http://security.stackexchange.com/questions/52645/legitimate-use-case-of-man-in-the-middle-attack-for-dpi 4. Yep Certificate pinning will cause problems with this and is becoming more common as time goes by. The way this works is that the browser knows of a specific certificate or set of certificates that it trusts for a given hostname, and it won't base that trust on certificates being issued by a known CA. I'm not aware of a way past that problem. Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Postfix freebsd config automatica
Boa tarde a todos , Tenho um servidro de email completo e funcional em meu freebsd com psotfix, dovecot , spamassasim etc ... A minha duvida é se tem alguma forma de deixar as configurações para o cliente automáticas quando o mesmo for configurar em um cliente de email . Por exemplo quando configuro um gmail em meu outlook ou cliente de celular eu so preciso colocar o usuário e senha e ele configura o resto com porta correta , endereço de entrada e saídas corretos . Como faria isso no postfix ? Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Postfix freebsd config automatica
Não entendi muito bem , você que tipo um aplicativo ou script que configure o seu servidor automaticamente ? Os serviços de email tem um padrão de portas se você criar as entradas certas em seu dns pode facilitar a configuração ex: smtp.sedominio - ip do smtp mail.seu_dominio.com.br - ip do smtp / pop3 / imap pop.seu dominio.com.brip do smtp / pop3 / imap pop3.seu dominio.com.brip do smtp / pop3 / imap pop3s.seu dominio.com.brip do smtp / pop3 / imap webmail.seudominio.com.br imap.seudominio.com.br ip do smtp / pop3 / imap imaps.seudominio.com.br ip do smtp / pop3 / imap registro MX registro spf Essas entradas em seu dns podem ajudar / facilita a configuração de seus clientes... Em 5 de março de 2015 14:20, Deny C. Santos deny.san...@gmail.com escreveu: Boa tarde a todos , Tenho um servidro de email completo e funcional em meu freebsd com psotfix, dovecot , spamassasim etc ... A minha duvida é se tem alguma forma de deixar as configurações para o cliente automáticas quando o mesmo for configurar em um cliente de email . Por exemplo quando configuro um gmail em meu outlook ou cliente de celular eu so preciso colocar o usuário e senha e ele configura o resto com porta correta , endereço de entrada e saídas corretos . Como faria isso no postfix ? Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid com https
Em 5 de março de 2015 13:04, MrBiTs mrbits@gmail.com escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 03/05/2015 12:54 PM, Renata Dias wrote: Boa tarde a todos ! Fiz várias pesquisas no Google e também na FUG com relação a este assunto Squid com https. Gerei um certificado informal e consegui configurar meu Squid para filtrar os acessos na porta 443, porém ainda tenho problemas com o acesso ao Google. Posso está enganado, mas se não me engano Google usa certificate pinning, e você não vai conseguir acessar o serviço deles usando certificados auto-assinados. A saída é colocar uma exceção na regra do firewall para que a faixa de IP do Google não seja enviada para o proxy. Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid com https
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 03/05/2015 12:54 PM, Renata Dias wrote: Boa tarde a todos ! Fiz várias pesquisas no Google e também na FUG com relação a este assunto Squid com https. Gerei um certificado informal e consegui configurar meu Squid para filtrar os acessos na porta 443, porém ainda tenho problemas com o acesso ao Google. Ao tentar acessar qualquer serviço do Google que seja https aparece na página do navegador o erro: NET::ERR_CERT_AUTHORITY_INVALID Li em alguns fóruns que o Google está aperfeiçoando e atualizando a cada dia a segurança TLS e o que funciona hoje pode não funcionar amanhã. Pois bem, gostaria de saber se há alguma forma limpa de realizar o filtro https, sem precisar forjar certificados ou ainda ter que atualizar/reconfigurar o proxy pra tentar burlar alguns sites. squid-3.3.4_1 squid.conf (apenas a parte referente ao https): https_port 3127 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/etc/squid/ssl_cert/squid.pem sslproxy_flags DONT_VERIFY_PEER sslproxy_cert_error allow all ssl_bump server-first all acl grupo2 src 10.0.10.89/32 acl grupo2permitidos url_regex -i registro.br scpc.inf.br accounts.google.com www.google.com/calendar http_access deny grupo2 !grupo2permitidos Obrigada. Qual foi o tamanho da cahve que você gerou? Hoje o pessoal barra qualquer coisa menor que 2048 bits. Há também o problema da CA, já que um certificado auto-assinado não a possuí. Se você não quer gastar dinheiro, vá até o www.startssl.com e registre-se. Eles geram um certificado SSL válido (naturalmente não é um EV, mas serve) e ainda te dão o intermediate para você colocar no seu pem e ser aceita por aí. Um abraço - -- echo 920680245503158263821824753325972325831728150312428342077412537729420364909318736253880971145983128276953696631956862757408858710644955909208239222408534030331747172248238293509539472164571738870818862971439246497991147436431430964603600458631758354381402352368220521740203494788796697543569807851284795072334480481413675418412856581412376640379241258356436205061541557366641602992820546646995466P | dc -BEGIN PGP SIGNATURE- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQEcBAEBCAAGBQJU+H6pAAoJEG7IGPwrPKWr8acH/RUG0DMsp6ZqHbpB7xQee/z3 K+BvZzVzxsVon2n9lgkMD1wPhZXUgZoKxgS28bJHMSahDzkvpABnHG/OojB5GCyK iO8W8ufFOjy/P7XTgslsPppWodU20q3uxOrsJA1kN1seQmip5t4WUApmE01ytJCh nmtjLXx93zsh02n9+W7vvHMNLHF0thO+xsB5Z66D99RUJr/DRSyDGECW0/K0i1TL lk12A9WMlyAeMI3XvH9/FAAfNZ8Mj3zzUY0zu19EzbwAMMHWaYkLDC8T+wtwvlPb ugWj6Pn104Jgke/tgAz9ZOm106B+7GHBqqiCgn9pFdB6fqz8s+4XC3j12EQyYi8= =y6Ep -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Postfix freebsd config automatica
Em 5 de março de 2015 15:37, Renato Martins renato...@gmail.com escreveu: Se você tiver essa entradas já ajuda bastante pq os programas tipo Thunderbird outros quando você coloca seu usuário @ dominio ele já auto completam com esses registro de sugestão, para facilitar a configuração tipo smtp.seu dominio imap.dominio faça um teste Entendo , isso ja acontece , porem ele nao configura a porta que eu quero pois ele pega a default que é 25 , gostaria que ele configura-se automaticamente a 587 por exemplo . Mais acho que é pedir de mais hehehe Estava tentando deixa meu server igual um gmail ou hotmail onde voce só coloca o usuario@dominio e senha e ele sozinho configura o resto pois o servidor envia as informacoes . Obrigado Em 5 de março de 2015 15:16, codignotto . deny.san...@gmail.com escreveu: Em 5 de março de 2015 14:40, Renato Martins renato...@gmail.com escreveu: Não entendi muito bem , você que tipo um aplicativo ou script que configure o seu servidor automaticamente ? Os serviços de email tem um padrão de portas se você criar as entradas certas em seu dns pode facilitar a configuração ex: smtp.sedominio - ip do smtp mail.seu_dominio.com.br - ip do smtp / pop3 / imap pop.seu dominio.com.brip do smtp / pop3 / imap pop3.seu dominio.com.brip do smtp / pop3 / imap pop3s.seu dominio.com.brip do smtp / pop3 / imap webmail.seudominio.com.br imap.seudominio.com.br ip do smtp / pop3 / imap imaps.seudominio.com.br ip do smtp / pop3 / imap registro MX registro spf Essas entradas em seu dns podem ajudar / facilita a configuração de seus clientes... Ola Renato obrigado pelo retorno, entao é exatamente isso , facilitar a configuração do cliente, ja tenho tudo configurado no dns as portas respondem e tudo mais, eu queria ba verdade facilitar ao extremo rsrsr Quando voce configura uma conta do gmail voce só precisa colocar o seu usuario e senha que ele mesmo se encarrega de colocar o endereço de entrada e saida corretos pois ele busca isso no servidor . No meu caso se eu só colocar usuario e senha no meu cliente de email ele busca as informações incorretas ou nem acha elas , ai tenho que colocar na mao servidor de entrada, servidor de saida etc ... Nao sei se ficou claro . Abraço Em 5 de março de 2015 14:20, Deny C. Santos deny.san...@gmail.com escreveu: Boa tarde a todos , Tenho um servidro de email completo e funcional em meu freebsd com psotfix, dovecot , spamassasim etc ... A minha duvida é se tem alguma forma de deixar as configurações para o cliente automáticas quando o mesmo for configurar em um cliente de email . Por exemplo quando configuro um gmail em meu outlook ou cliente de celular eu so preciso colocar o usuário e senha e ele configura o resto com porta correta , endereço de entrada e saídas corretos . Como faria isso no postfix ? Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Postfix freebsd config automatica
Em 5 de março de 2015 14:40, Renato Martins renato...@gmail.com escreveu: Não entendi muito bem , você que tipo um aplicativo ou script que configure o seu servidor automaticamente ? Os serviços de email tem um padrão de portas se você criar as entradas certas em seu dns pode facilitar a configuração ex: smtp.sedominio - ip do smtp mail.seu_dominio.com.br - ip do smtp / pop3 / imap pop.seu dominio.com.brip do smtp / pop3 / imap pop3.seu dominio.com.brip do smtp / pop3 / imap pop3s.seu dominio.com.brip do smtp / pop3 / imap webmail.seudominio.com.br imap.seudominio.com.br ip do smtp / pop3 / imap imaps.seudominio.com.br ip do smtp / pop3 / imap registro MX registro spf Essas entradas em seu dns podem ajudar / facilita a configuração de seus clientes... Ola Renato obrigado pelo retorno, entao é exatamente isso , facilitar a configuração do cliente, ja tenho tudo configurado no dns as portas respondem e tudo mais, eu queria ba verdade facilitar ao extremo rsrsr Quando voce configura uma conta do gmail voce só precisa colocar o seu usuario e senha que ele mesmo se encarrega de colocar o endereço de entrada e saida corretos pois ele busca isso no servidor . No meu caso se eu só colocar usuario e senha no meu cliente de email ele busca as informações incorretas ou nem acha elas , ai tenho que colocar na mao servidor de entrada, servidor de saida etc ... Nao sei se ficou claro . Abraço Em 5 de março de 2015 14:20, Deny C. Santos deny.san...@gmail.com escreveu: Boa tarde a todos , Tenho um servidro de email completo e funcional em meu freebsd com psotfix, dovecot , spamassasim etc ... A minha duvida é se tem alguma forma de deixar as configurações para o cliente automáticas quando o mesmo for configurar em um cliente de email . Por exemplo quando configuro um gmail em meu outlook ou cliente de celular eu so preciso colocar o usuário e senha e ele configura o resto com porta correta , endereço de entrada e saídas corretos . Como faria isso no postfix ? Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Postfix freebsd config automatica
Se você tiver essa entradas já ajuda bastante pq os programas tipo Thunderbird outros quando você coloca seu usuário @ dominio ele já auto completam com esses registro de sugestão, para facilitar a configuração tipo smtp.seu dominio imap.dominio faça um teste Em 5 de março de 2015 15:16, codignotto . deny.san...@gmail.com escreveu: Em 5 de março de 2015 14:40, Renato Martins renato...@gmail.com escreveu: Não entendi muito bem , você que tipo um aplicativo ou script que configure o seu servidor automaticamente ? Os serviços de email tem um padrão de portas se você criar as entradas certas em seu dns pode facilitar a configuração ex: smtp.sedominio - ip do smtp mail.seu_dominio.com.br - ip do smtp / pop3 / imap pop.seu dominio.com.brip do smtp / pop3 / imap pop3.seu dominio.com.brip do smtp / pop3 / imap pop3s.seu dominio.com.brip do smtp / pop3 / imap webmail.seudominio.com.br imap.seudominio.com.br ip do smtp / pop3 / imap imaps.seudominio.com.br ip do smtp / pop3 / imap registro MX registro spf Essas entradas em seu dns podem ajudar / facilita a configuração de seus clientes... Ola Renato obrigado pelo retorno, entao é exatamente isso , facilitar a configuração do cliente, ja tenho tudo configurado no dns as portas respondem e tudo mais, eu queria ba verdade facilitar ao extremo rsrsr Quando voce configura uma conta do gmail voce só precisa colocar o seu usuario e senha que ele mesmo se encarrega de colocar o endereço de entrada e saida corretos pois ele busca isso no servidor . No meu caso se eu só colocar usuario e senha no meu cliente de email ele busca as informações incorretas ou nem acha elas , ai tenho que colocar na mao servidor de entrada, servidor de saida etc ... Nao sei se ficou claro . Abraço Em 5 de março de 2015 14:20, Deny C. Santos deny.san...@gmail.com escreveu: Boa tarde a todos , Tenho um servidro de email completo e funcional em meu freebsd com psotfix, dovecot , spamassasim etc ... A minha duvida é se tem alguma forma de deixar as configurações para o cliente automáticas quando o mesmo for configurar em um cliente de email . Por exemplo quando configuro um gmail em meu outlook ou cliente de celular eu so preciso colocar o usuário e senha e ele configura o resto com porta correta , endereço de entrada e saídas corretos . Como faria isso no postfix ? Obrigado - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid com https
Welkson, o que eu preciso justamente é filtrar o acesso ao Google, para que apenas alguns serviços do Google sejam acessados e o resto bloqueado. Obrigada MrBiTs, vou tentar fazer isso. Vai funcionar para acessar o Google mesmo com filtro https? Em 5 de março de 2015 14:51, Welkson Renny de Medeiros welk...@gmail.com escreveu: Em 5 de março de 2015 13:04, MrBiTs mrbits@gmail.com escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 03/05/2015 12:54 PM, Renata Dias wrote: Boa tarde a todos ! Fiz várias pesquisas no Google e também na FUG com relação a este assunto Squid com https. Gerei um certificado informal e consegui configurar meu Squid para filtrar os acessos na porta 443, porém ainda tenho problemas com o acesso ao Google. Posso está enganado, mas se não me engano Google usa certificate pinning, e você não vai conseguir acessar o serviço deles usando certificados auto-assinados. A saída é colocar uma exceção na regra do firewall para que a faixa de IP do Google não seja enviada para o proxy. Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid com https
Pode testar com WPAD eu não uso, mas alguém tem usado ??? Dê uma lida sobre, é forçar o proxy nas máquinas. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd