subject:"\[FUG\-BR\] Squid com https"

Re: [FUG-BR] Squid com https

2015-03-05 Por tôpico MrBiTs

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256

On 03/05/2015 03:46 PM, Renata Dias wrote:
 Welkson, o que eu preciso justamente é filtrar o acesso ao Google, para que 
 apenas alguns serviços do Google sejam acessados e
 o resto bloqueado.
 
 Obrigada MrBiTs, vou tentar fazer isso. Vai funcionar para acessar o Google 
 mesmo com filtro https?

Se você configurar o squid direito (como me parece que fez) E (e esse é um 
grande E) colocar no mesmo .pem tanto a chave, o
certificado e o certificado intermediário da Startcom, sim, tudo deve 
funcionar. Eu tenho certificados deles falando com Google,
Facebook e outros serviços.

off-topic
Não trabalho para eles nem nada, mas a Startcom me dá, de graça, certificados 
digitais para meus sites, meus e-mails e ainda
gerencia um Web of trust com pessoas assinando suas chaves. Eles fazem até 
festas de assinatura de chaves, nos melhores moldes que
a comunidade do GPG faz.
/off-topic


- -- 
echo
920680245503158263821824753325972325831728150312428342077412537729420364909318736253880971145983128276953696631956862757408858710644955909208239222408534030331747172248238293509539472164571738870818862971439246497991147436431430964603600458631758354381402352368220521740203494788796697543569807851284795072334480481413675418412856581412376640379241258356436205061541557366641602992820546646995466P
| dc

-BEGIN PGP SIGNATURE-
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBCAAGBQJU+MghAAoJEG7IGPwrPKWrFDMH/iM0JhJmY4yv10vM9sv1KrcC
Ew/kWZhsRXf+TP7/ur6hwcWm4xTGSHV6QvqrmerbRUTYMvSacljqT694x7JirHiO
Zikdxcxa7h4yGtXkvfUWn70nvLydvnY0WWmMZmhXEyPOlq9Xo/qjSbTCNoyV54hx
AsBWRKJEZnjh1hKTJTy7AeDupCcPqR88ZP7EwaBtBrye9S3FsWUYV/+f5k//6BYH
2gaZet/I68BlTVo4METjY/OMBwYr6mXY/xEElh/ozGs0FYdS9UrL7WsSX4FnrCLO
Sm3OeYlQiCd+h1c5AMstRoWlC7SIt0N3/cKSmUQjvQWo6sqjBN7ZGwWwGGDE6CM=
=PFlv
-END PGP SIGNATURE-
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Squid com https

2015-03-05 Por tôpico Welkson Renny de Medeiros

Em 5 de março de 2015 18:18, MrBiTs mrbits@gmail.com escreveu:


 Se você configurar o squid direito (como me parece que fez) E (e esse é um
 grande E) colocar no mesmo .pem tanto a chave, o
 certificado e o certificado intermediário da Startcom, sim, tudo deve
 funcionar. Eu tenho certificados deles falando com Google,
 Facebook e outros serviços.



Grande MrBiTs, beleza? Ajude-me a entender melhor essa solução.

Você precisou instalar esse certificado no navegador das máquinas?

Pelo que sei, a StarSSL não permite você gerar um certificado wildcard a
nível de domínio, ex: *.* (sub-domínio acredito que deixa, ex: *.
minhaempresa.com.br). PS: pelo que lembro no caso da Lenovo (Superfish) os
caras instalavam um certificado wildcard no navegador do usuário.

Ainda estou lendo sobre certificate pinning [1], mas pelo que vi ele
associa o certificado ao host com uma chave que só o responsável pelo
domínio teria acesso... o site até pode abrir em MITM, mas o navegador
deveria gerar algum tipo de alerta (pelo menos no Chrome e Firefox) ou
não?

Se eu estiver engando, e se você puder, indique algum material para que eu
possa entender melhor essa solução.

[1] https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning

Welkson
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Squid com https

2015-03-05 Por tôpico Welkson Renny de Medeiros

Em 5 de março de 2015 20:34, Welkson Renny de Medeiros welk...@gmail.com
escreveu:

Em 5 de março de 2015 18:18, MrBiTs mrbits@gmail.com escreveu:

Se você configurar o squid direito (como me parece que fez) E (e esse é
um grande E) colocar no mesmo .pem tanto a chave, o
certificado e o certificado intermediário da Startcom, sim, tudo deve
funcionar. Eu tenho certificados deles falando com Google,
Facebook e outros serviços.

Grande MrBiTs, beleza? Ajude-me a entender melhor essa solução.

Você precisou instalar esse certificado no navegador das máquinas?

Pelo que sei, a StarSSL não permite você gerar um certificado wildcard a
nível de domínio, ex: *.* (sub-domínio acredito que deixa, ex: *.
minhaempresa.com.br). PS: pelo que lembro no caso da Lenovo (Superfish)
os caras instalavam um certificado wildcard no navegador do usuário.

Ainda estou lendo sobre certificate pinning [1], mas pelo que vi ele
associa o certificado ao host com uma chave que só o responsável pelo
domínio teria acesso... o site até pode abrir em MITM, mas o navegador
deveria gerar algum tipo de alerta (pelo menos no Chrome e Firefox) ou
não?

Se eu estiver engando, e se você puder, indique algum material para que eu
possa entender melhor essa solução.

[1] https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning

Welkson

Complemento para meu e-mail anterior:

http://www.squid-cache.org/mail-archive/squid-users/201409/0002.html

http://security.stackexchange.com/questions/52645/legitimate-use-case-of-man-in-the-middle-attack-for-dpi

4. Yep Certificate pinning will cause problems with this and is becoming
more common as time goes by. The way this works is that the browser knows
of a specific certificate or set of certificates that it trusts for a given
hostname, and it won't base that trust on certificates being issued by a
known CA. I'm not aware of a way past that problem.

Welkson
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Squid com https

2015-03-05 Por tôpico Welkson Renny de Medeiros

Em 5 de março de 2015 13:04, MrBiTs mrbits@gmail.com escreveu:

 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA256

 On 03/05/2015 12:54 PM, Renata Dias wrote:
  Boa tarde a todos !
 
  Fiz várias pesquisas no Google e também na FUG com relação a este
 assunto Squid com https. Gerei um certificado informal e
  consegui configurar meu Squid para filtrar os acessos na porta 443,
 porém ainda tenho problemas com o acesso ao Google.



Posso está enganado, mas se não me engano Google usa certificate pinning,
e você não vai conseguir acessar o serviço deles usando certificados
auto-assinados.

A saída é colocar uma exceção na regra do firewall para que a faixa de IP
do Google não seja enviada para o proxy.

Welkson
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Squid com https

2015-03-05 Por tôpico MrBiTs

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256

On 03/05/2015 12:54 PM, Renata Dias wrote:
 Boa tarde a todos !
 
 Fiz várias pesquisas no Google e também na FUG com relação a este assunto 
 Squid com https. Gerei um certificado informal e
 consegui configurar meu Squid para filtrar os acessos na porta 443, porém 
 ainda tenho problemas com o acesso ao Google.
 
 Ao tentar acessar qualquer serviço do Google que seja https aparece na página 
 do navegador o erro: 
 NET::ERR_CERT_AUTHORITY_INVALID
 
 Li em alguns fóruns que o Google está aperfeiçoando e atualizando a cada dia 
 a segurança TLS e o que funciona hoje pode não
 funcionar amanhã.
 
 Pois bem, gostaria de saber se há alguma forma limpa de realizar o filtro 
 https, sem precisar forjar certificados ou ainda
 ter que atualizar/reconfigurar o proxy pra tentar burlar alguns sites.
 
 squid-3.3.4_1
 
  squid.conf (apenas a parte referente ao https): 
  https_port 3127 intercept ssl-bump
 generate-host-certificates=on dynamic_cert_mem_cache_size=4MB 
 cert=/usr/local/etc/squid/ssl_cert/squid.pem
 
 sslproxy_flags DONT_VERIFY_PEER sslproxy_cert_error allow all ssl_bump 
 server-first all acl grupo2 src 10.0.10.89/32 acl
 grupo2permitidos url_regex -i registro.br scpc.inf.br accounts.google.com 
 www.google.com/calendar http_access deny grupo2
 !grupo2permitidos 
 
 Obrigada.
 

Qual foi o tamanho da cahve que você gerou? Hoje o pessoal barra qualquer coisa 
menor que 2048 bits.

Há também o problema da CA, já que um certificado auto-assinado não a possuí.

Se você não quer gastar dinheiro, vá até o www.startssl.com e registre-se. Eles 
geram um certificado SSL válido (naturalmente não
é um EV, mas serve) e ainda te dão o intermediate para você colocar no seu pem 
e ser aceita por aí.

Um abraço

- -- 
echo
920680245503158263821824753325972325831728150312428342077412537729420364909318736253880971145983128276953696631956862757408858710644955909208239222408534030331747172248238293509539472164571738870818862971439246497991147436431430964603600458631758354381402352368220521740203494788796697543569807851284795072334480481413675418412856581412376640379241258356436205061541557366641602992820546646995466P
| dc

-BEGIN PGP SIGNATURE-
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBCAAGBQJU+H6pAAoJEG7IGPwrPKWr8acH/RUG0DMsp6ZqHbpB7xQee/z3
K+BvZzVzxsVon2n9lgkMD1wPhZXUgZoKxgS28bJHMSahDzkvpABnHG/OojB5GCyK
iO8W8ufFOjy/P7XTgslsPppWodU20q3uxOrsJA1kN1seQmip5t4WUApmE01ytJCh
nmtjLXx93zsh02n9+W7vvHMNLHF0thO+xsB5Z66D99RUJr/DRSyDGECW0/K0i1TL
lk12A9WMlyAeMI3XvH9/FAAfNZ8Mj3zzUY0zu19EzbwAMMHWaYkLDC8T+wtwvlPb
ugWj6Pn104Jgke/tgAz9ZOm106B+7GHBqqiCgn9pFdB6fqz8s+4XC3j12EQyYi8=
=y6Ep
-END PGP SIGNATURE-
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Squid com https

2015-03-05 Por tôpico Renata Dias

Welkson, o que eu preciso justamente é filtrar o acesso ao Google, para que
apenas alguns serviços do Google sejam acessados e o resto bloqueado.

Obrigada MrBiTs, vou tentar fazer isso. Vai funcionar para acessar o Google
mesmo com filtro https?

Em 5 de março de 2015 14:51, Welkson Renny de Medeiros welk...@gmail.com
escreveu:

 Em 5 de março de 2015 13:04, MrBiTs mrbits@gmail.com escreveu:

  -BEGIN PGP SIGNED MESSAGE-
  Hash: SHA256
 
  On 03/05/2015 12:54 PM, Renata Dias wrote:
   Boa tarde a todos !
  
   Fiz várias pesquisas no Google e também na FUG com relação a este
  assunto Squid com https. Gerei um certificado informal e
   consegui configurar meu Squid para filtrar os acessos na porta 443,
  porém ainda tenho problemas com o acesso ao Google.
 
 

 Posso está enganado, mas se não me engano Google usa certificate pinning,
 e você não vai conseguir acessar o serviço deles usando certificados
 auto-assinados.

 A saída é colocar uma exceção na regra do firewall para que a faixa de IP
 do Google não seja enviada para o proxy.

 Welkson
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-- 
Renata Dias
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Squid com https

2015-03-05 Por tôpico João Mancy

Pode testar com WPAD

eu não uso, mas alguém tem usado ???

Dê uma lida sobre, é forçar o proxy nas máquinas.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Squid com https

Re: [FUG-BR] Squid com https

Re: [FUG-BR] Squid com https

Re: [FUG-BR] Squid com https

Re: [FUG-BR] Squid com https

Re: [FUG-BR] Squid com https

Re: [FUG-BR] Squid com https

7 matches

Site Navigation

Mail list logo

Footer information