Re: [FUG-BR] Squid com https
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 03/05/2015 03:46 PM, Renata Dias wrote: Welkson, o que eu preciso justamente é filtrar o acesso ao Google, para que apenas alguns serviços do Google sejam acessados e o resto bloqueado. Obrigada MrBiTs, vou tentar fazer isso. Vai funcionar para acessar o Google mesmo com filtro https? Se você configurar o squid direito (como me parece que fez) E (e esse é um grande E) colocar no mesmo .pem tanto a chave, o certificado e o certificado intermediário da Startcom, sim, tudo deve funcionar. Eu tenho certificados deles falando com Google, Facebook e outros serviços. off-topic Não trabalho para eles nem nada, mas a Startcom me dá, de graça, certificados digitais para meus sites, meus e-mails e ainda gerencia um Web of trust com pessoas assinando suas chaves. Eles fazem até festas de assinatura de chaves, nos melhores moldes que a comunidade do GPG faz. /off-topic - -- echo 920680245503158263821824753325972325831728150312428342077412537729420364909318736253880971145983128276953696631956862757408858710644955909208239222408534030331747172248238293509539472164571738870818862971439246497991147436431430964603600458631758354381402352368220521740203494788796697543569807851284795072334480481413675418412856581412376640379241258356436205061541557366641602992820546646995466P | dc -BEGIN PGP SIGNATURE- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQEcBAEBCAAGBQJU+MghAAoJEG7IGPwrPKWrFDMH/iM0JhJmY4yv10vM9sv1KrcC Ew/kWZhsRXf+TP7/ur6hwcWm4xTGSHV6QvqrmerbRUTYMvSacljqT694x7JirHiO Zikdxcxa7h4yGtXkvfUWn70nvLydvnY0WWmMZmhXEyPOlq9Xo/qjSbTCNoyV54hx AsBWRKJEZnjh1hKTJTy7AeDupCcPqR88ZP7EwaBtBrye9S3FsWUYV/+f5k//6BYH 2gaZet/I68BlTVo4METjY/OMBwYr6mXY/xEElh/ozGs0FYdS9UrL7WsSX4FnrCLO Sm3OeYlQiCd+h1c5AMstRoWlC7SIt0N3/cKSmUQjvQWo6sqjBN7ZGwWwGGDE6CM= =PFlv -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid com https
Em 5 de março de 2015 18:18, MrBiTs mrbits@gmail.com escreveu: Se você configurar o squid direito (como me parece que fez) E (e esse é um grande E) colocar no mesmo .pem tanto a chave, o certificado e o certificado intermediário da Startcom, sim, tudo deve funcionar. Eu tenho certificados deles falando com Google, Facebook e outros serviços. Grande MrBiTs, beleza? Ajude-me a entender melhor essa solução. Você precisou instalar esse certificado no navegador das máquinas? Pelo que sei, a StarSSL não permite você gerar um certificado wildcard a nível de domínio, ex: *.* (sub-domínio acredito que deixa, ex: *. minhaempresa.com.br). PS: pelo que lembro no caso da Lenovo (Superfish) os caras instalavam um certificado wildcard no navegador do usuário. Ainda estou lendo sobre certificate pinning [1], mas pelo que vi ele associa o certificado ao host com uma chave que só o responsável pelo domínio teria acesso... o site até pode abrir em MITM, mas o navegador deveria gerar algum tipo de alerta (pelo menos no Chrome e Firefox) ou não? Se eu estiver engando, e se você puder, indique algum material para que eu possa entender melhor essa solução. [1] https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid com https
Em 5 de março de 2015 20:34, Welkson Renny de Medeiros welk...@gmail.com escreveu: Em 5 de março de 2015 18:18, MrBiTs mrbits@gmail.com escreveu: Se você configurar o squid direito (como me parece que fez) E (e esse é um grande E) colocar no mesmo .pem tanto a chave, o certificado e o certificado intermediário da Startcom, sim, tudo deve funcionar. Eu tenho certificados deles falando com Google, Facebook e outros serviços. Grande MrBiTs, beleza? Ajude-me a entender melhor essa solução. Você precisou instalar esse certificado no navegador das máquinas? Pelo que sei, a StarSSL não permite você gerar um certificado wildcard a nível de domínio, ex: *.* (sub-domínio acredito que deixa, ex: *. minhaempresa.com.br). PS: pelo que lembro no caso da Lenovo (Superfish) os caras instalavam um certificado wildcard no navegador do usuário. Ainda estou lendo sobre certificate pinning [1], mas pelo que vi ele associa o certificado ao host com uma chave que só o responsável pelo domínio teria acesso... o site até pode abrir em MITM, mas o navegador deveria gerar algum tipo de alerta (pelo menos no Chrome e Firefox) ou não? Se eu estiver engando, e se você puder, indique algum material para que eu possa entender melhor essa solução. [1] https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning Welkson Complemento para meu e-mail anterior: http://www.squid-cache.org/mail-archive/squid-users/201409/0002.html http://security.stackexchange.com/questions/52645/legitimate-use-case-of-man-in-the-middle-attack-for-dpi 4. Yep Certificate pinning will cause problems with this and is becoming more common as time goes by. The way this works is that the browser knows of a specific certificate or set of certificates that it trusts for a given hostname, and it won't base that trust on certificates being issued by a known CA. I'm not aware of a way past that problem. Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid com https
Em 5 de março de 2015 13:04, MrBiTs mrbits@gmail.com escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 03/05/2015 12:54 PM, Renata Dias wrote: Boa tarde a todos ! Fiz várias pesquisas no Google e também na FUG com relação a este assunto Squid com https. Gerei um certificado informal e consegui configurar meu Squid para filtrar os acessos na porta 443, porém ainda tenho problemas com o acesso ao Google. Posso está enganado, mas se não me engano Google usa certificate pinning, e você não vai conseguir acessar o serviço deles usando certificados auto-assinados. A saída é colocar uma exceção na regra do firewall para que a faixa de IP do Google não seja enviada para o proxy. Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid com https
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 03/05/2015 12:54 PM, Renata Dias wrote: Boa tarde a todos ! Fiz várias pesquisas no Google e também na FUG com relação a este assunto Squid com https. Gerei um certificado informal e consegui configurar meu Squid para filtrar os acessos na porta 443, porém ainda tenho problemas com o acesso ao Google. Ao tentar acessar qualquer serviço do Google que seja https aparece na página do navegador o erro: NET::ERR_CERT_AUTHORITY_INVALID Li em alguns fóruns que o Google está aperfeiçoando e atualizando a cada dia a segurança TLS e o que funciona hoje pode não funcionar amanhã. Pois bem, gostaria de saber se há alguma forma limpa de realizar o filtro https, sem precisar forjar certificados ou ainda ter que atualizar/reconfigurar o proxy pra tentar burlar alguns sites. squid-3.3.4_1 squid.conf (apenas a parte referente ao https): https_port 3127 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/etc/squid/ssl_cert/squid.pem sslproxy_flags DONT_VERIFY_PEER sslproxy_cert_error allow all ssl_bump server-first all acl grupo2 src 10.0.10.89/32 acl grupo2permitidos url_regex -i registro.br scpc.inf.br accounts.google.com www.google.com/calendar http_access deny grupo2 !grupo2permitidos Obrigada. Qual foi o tamanho da cahve que você gerou? Hoje o pessoal barra qualquer coisa menor que 2048 bits. Há também o problema da CA, já que um certificado auto-assinado não a possuí. Se você não quer gastar dinheiro, vá até o www.startssl.com e registre-se. Eles geram um certificado SSL válido (naturalmente não é um EV, mas serve) e ainda te dão o intermediate para você colocar no seu pem e ser aceita por aí. Um abraço - -- echo 920680245503158263821824753325972325831728150312428342077412537729420364909318736253880971145983128276953696631956862757408858710644955909208239222408534030331747172248238293509539472164571738870818862971439246497991147436431430964603600458631758354381402352368220521740203494788796697543569807851284795072334480481413675418412856581412376640379241258356436205061541557366641602992820546646995466P | dc -BEGIN PGP SIGNATURE- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQEcBAEBCAAGBQJU+H6pAAoJEG7IGPwrPKWr8acH/RUG0DMsp6ZqHbpB7xQee/z3 K+BvZzVzxsVon2n9lgkMD1wPhZXUgZoKxgS28bJHMSahDzkvpABnHG/OojB5GCyK iO8W8ufFOjy/P7XTgslsPppWodU20q3uxOrsJA1kN1seQmip5t4WUApmE01ytJCh nmtjLXx93zsh02n9+W7vvHMNLHF0thO+xsB5Z66D99RUJr/DRSyDGECW0/K0i1TL lk12A9WMlyAeMI3XvH9/FAAfNZ8Mj3zzUY0zu19EzbwAMMHWaYkLDC8T+wtwvlPb ugWj6Pn104Jgke/tgAz9ZOm106B+7GHBqqiCgn9pFdB6fqz8s+4XC3j12EQyYi8= =y6Ep -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid com https
Welkson, o que eu preciso justamente é filtrar o acesso ao Google, para que apenas alguns serviços do Google sejam acessados e o resto bloqueado. Obrigada MrBiTs, vou tentar fazer isso. Vai funcionar para acessar o Google mesmo com filtro https? Em 5 de março de 2015 14:51, Welkson Renny de Medeiros welk...@gmail.com escreveu: Em 5 de março de 2015 13:04, MrBiTs mrbits@gmail.com escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 03/05/2015 12:54 PM, Renata Dias wrote: Boa tarde a todos ! Fiz várias pesquisas no Google e também na FUG com relação a este assunto Squid com https. Gerei um certificado informal e consegui configurar meu Squid para filtrar os acessos na porta 443, porém ainda tenho problemas com o acesso ao Google. Posso está enganado, mas se não me engano Google usa certificate pinning, e você não vai conseguir acessar o serviço deles usando certificados auto-assinados. A saída é colocar uma exceção na regra do firewall para que a faixa de IP do Google não seja enviada para o proxy. Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Renata Dias - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Squid com https
Pode testar com WPAD eu não uso, mas alguém tem usado ??? Dê uma lida sobre, é forçar o proxy nas máquinas. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd