Re: [Techinfo] pfsense squid3 squidguard

[Szathmári Andor]

Nem tudom mi a jó.  Ezek találták meg: Eset, Sophos, Dr. Web. Ezek közül Sophos 
ingyenes és Linuxon is megismeri a Windows, Mac, Android malwareket.  VB100 
teszten rég láttam, így másban mennyire jó kérdéses.

Feladó: techinfo-boun...@lista.sulinet.hu <techinfo-boun...@lista.sulinet.hu>, 
meghatalmazó: Fehér Sándor <fehersan...@madach-starjan.sulinet.hu>
Elküldve: 2018. február 28., szerda 10:14
Címzett: techinfo@lista.sulinet.hu
Tárgy: Re: [Techinfo] pfsense squid3 squidguard


Mit javasolsz helyette?


Általában a klienseken szokott még lenni másmilyen védelem.

A proxy meg csak az első védelmi szűrő.

2018. 02. 28. 10:05 keltezéssel, Szathmári Andor írta:
Clamav elég gyengén teljesít. Múltkor gyanús fájlt küldtem nekik (php hacking 
tool) vizsgálatra. Visszaírják, hogy tiszta, pedig ránézésre sem az és 
virustotal.com szerint sem.

Feladó: 
techinfo-boun...@lista.sulinet.hu<mailto:techinfo-boun...@lista.sulinet.hu> 
<techinfo-boun...@lista.sulinet.hu><mailto:techinfo-boun...@lista.sulinet.hu>, 
meghatalmazó: Fehér Sándor 
<fehersan...@madach-starjan.sulinet.hu><mailto:fehersan...@madach-starjan.sulinet.hu>
Elküldve: 2018. február 28., szerda 9:28
Címzett: techinfo@lista.sulinet.hu<mailto:techinfo@lista.sulinet.hu>
Tárgy: Re: [Techinfo] pfsense squid3 squidguard

Üdv!

 >A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
kapcsolatos macerát.
Elsőre én is így próbálkoztam, saját fordítás lett a vége :)

 >Az első estben kell saját készítésű CA tanusítványt telepíteni a
kliensekre, hogy megnyissa a https oldalakat,
a 2. esetben nem.
Igen, az első eset az SSL-BUMPING, akkor mindenképpen kell tanúsítvány a
kliens gépekre.
Nálam ez a whitelist dolog NEM AKART működni, ide a fórumra is írtam, de
sajnos nem kaptam választ. ( gondolom nem sokan használják a pfsense-t)

Végül egy linuxakadémiás videót megvásároltam és az alapján + skf
összekalapáltam a saját squid-et clamav-al és squidguard-al. Host os a
16.04 ubuntu szerver lett. (vm ként fut proxmox-on)
Mai napig szüperül működik, javaslom neked is ezt a módszert.
//Az ssl filterezésnél a windows update-el és víruskeresők online
frissítésével lehet gondod, de elviekben van ezekre is megoldás. //




2018. 02. 28. 9:17 keltezéssel, Horváth Péter írta:
> Sziasztok!
>
> A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
> kapcsolatos macerát.
> Ezek mind elérhetők a pfsense package managerben, és viszonylag
> működik is elsőre.
> (Kivéve ha bekapcsolom a "Enable Squid antivirus check using ClamAV."
> funkciót, de ez most nem lényeges.)
> Egy youtube-os video alapján beállítottam ezt blacklist url-nek:
> http://www.shallalist.de/Downloads/shallalist.tar.gz így ezzzel működik.
> És nem mellékes, hogy  a freeradius is működik első próbálkozásra WPA
> Enterprise-hez.
>
> Van amit nem értek:
>
> Az "SSL Man In the Middle Filtering" "SSL/MITM Mode" résznél van ilyen
> beállítás hogy:
>
> "Splice Whitelist, Bump Otherwise"
> vagy
> "Splice All"
>
> Az első estben kell saját készítésű CA tanusítványt telepíteni a
> kliensekre, hogy megnyissa a https oldalakat,
> a 2. esetben nem.
> Squidguard esetén a 2.-at kell választani a megjelenő help szöveg
> szerint.
> A squidguard mindkét esetben ugyanúgy megakadályozza a tiltott https
> oldalak megnyitását csak a hibaüzenet máshogy néz ki.
> egyik estben sem normális hibaüzenet, hanem valami névfeloldással vagy
> SSL problémával kapcsolatos.
>
> De a kérdésem az, hogy ha nem kell tanusítvány a kliensekre, mert a
> "splice all" -t választottam,
> akkor nem is cache-eli a https weboldalakat? Vagy mi a hátránya ennek?
> vagy azt sehogy sem csinálja?
>
>
>
>
> Kösz,
> Péter
>
>
>
> ___
> Techinfo mailing list
> Techinfo@lista.sulinet.hu<mailto:Techinfo@lista.sulinet.hu>
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

___
Techinfo mailing list
Techinfo@lista.sulinet.hu<mailto:Techinfo@lista.sulinet.hu>
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] pfsense squid3 squidguard

[Szathmári Andor]

Clamav elég gyengén teljesít. Múltkor gyanús fájlt küldtem nekik (php hacking 
tool) vizsgálatra. Visszaírják, hogy tiszta, pedig ránézésre sem az és 
virustotal.com szerint sem.

Feladó: techinfo-boun...@lista.sulinet.hu <techinfo-boun...@lista.sulinet.hu>, 
meghatalmazó: Fehér Sándor <fehersan...@madach-starjan.sulinet.hu>
Elküldve: 2018. február 28., szerda 9:28
Címzett: techinfo@lista.sulinet.hu
Tárgy: Re: [Techinfo] pfsense squid3 squidguard

Üdv!

 >A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
kapcsolatos macerát.
Elsőre én is így próbálkoztam, saját fordítás lett a vége :)

 >Az első estben kell saját készítésű CA tanusítványt telepíteni a
kliensekre, hogy megnyissa a https oldalakat,
a 2. esetben nem.
Igen, az első eset az SSL-BUMPING, akkor mindenképpen kell tanúsítvány a
kliens gépekre.
Nálam ez a whitelist dolog NEM AKART működni, ide a fórumra is írtam, de
sajnos nem kaptam választ. ( gondolom nem sokan használják a pfsense-t)

Végül egy linuxakadémiás videót megvásároltam és az alapján + skf
összekalapáltam a saját squid-et clamav-al és squidguard-al. Host os a
16.04 ubuntu szerver lett. (vm ként fut proxmox-on)
Mai napig szüperül működik, javaslom neked is ezt a módszert.
//Az ssl filterezésnél a windows update-el és víruskeresők online
frissítésével lehet gondod, de elviekben van ezekre is megoldás. //




2018. 02. 28. 9:17 keltezéssel, Horváth Péter írta:
> Sziasztok!
>
> A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
> kapcsolatos macerát.
> Ezek mind elérhetők a pfsense package managerben, és viszonylag
> működik is elsőre.
> (Kivéve ha bekapcsolom a "Enable Squid antivirus check using ClamAV."
> funkciót, de ez most nem lényeges.)
> Egy youtube-os video alapján beállítottam ezt blacklist url-nek:
> http://www.shallalist.de/Downloads/shallalist.tar.gz így ezzzel működik.
> És nem mellékes, hogy  a freeradius is működik első próbálkozásra WPA
> Enterprise-hez.
>
> Van amit nem értek:
>
> Az "SSL Man In the Middle Filtering" "SSL/MITM Mode" résznél van ilyen
> beállítás hogy:
>
> "Splice Whitelist, Bump Otherwise"
> vagy
> "Splice All"
>
> Az első estben kell saját készítésű CA tanusítványt telepíteni a
> kliensekre, hogy megnyissa a https oldalakat,
> a 2. esetben nem.
> Squidguard esetén a 2.-at kell választani a megjelenő help szöveg
> szerint.
> A squidguard mindkét esetben ugyanúgy megakadályozza a tiltott https
> oldalak megnyitását csak a hibaüzenet máshogy néz ki.
> egyik estben sem normális hibaüzenet, hanem valami névfeloldással vagy
> SSL problémával kapcsolatos.
>
> De a kérdésem az, hogy ha nem kell tanusítvány a kliensekre, mert a
> "splice all" -t választottam,
> akkor nem is cache-eli a https weboldalakat? Vagy mi a hátránya ennek?
> vagy azt sehogy sem csinálja?
>
>
>
>
> Kösz,
> Péter
>
>
>
> ___
> Techinfo mailing list
> Techinfo@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] pfsense squid3 squidguard

[Horváth Péter]

2018.02.28. 12:52 keltezéssel, Fehér Sándor írta:
>Csak még mindíg azt nem tudom hogy squid3  cacheeli is a https 
veblapokat, vagy csak szűrni tudja?
MITM (ssl bump) esetén cachelni is tudja mert teljesen rálát a 
forgalomra.
Splice esetén NEM. Akkor az ssl tunnel miatt a squid nem látja a 
forgalmat és nem tud cachelni sem. Ez úgy kell felfogni, hogy mintha 
ott sem lenne a proxy, csak átmegy rajta minden ssl forgalom szűrés és 
cache nélkül.



Köszönöm, már értem

>Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán 
bejelentkezek a netbankba, miközben "man in the middle" van:)
Normális működés, ugyanis te kivételt adtál a rendszeredhez, hogy 
elfogadod a hibás tanusítványt + importáltad root CA ként a proxy 
tanúsítványt. A böngésző szót fogad ennyi:
A bank és a proxy között teljesen megbízható ssl kapcsolat van>>> 
"ennyit lát a bank"
A proxy meg röptében generál egy tanúsítványt és azzal titkosítja a 
banktól jövő forgalmat, amit elküld neked.
A böngésző meg először hisztizik, de ha kivételt adsz hozzá + a proxy 
hitelesítő tanúsítványt is importálod a rendszerbe mint "megbízható 
legfelső szintű hitelesítési szolgáltató" akkor miért nem kéne 
működjön a bank oldal??


Beraktam az otpdirect.hu -t a whitelist-be, így már mindjárt más a zöld 
lakat- nem én ellenőriztem, hanem a digicert :)
SSL proxynak véleményem szerint nincs értelme, ha mindent "splice" 
olni akarsz. Ez arra van, hogy kivételeket adj a proxydhoz: banki 
oldalakat, paypal stb nem akarod MITM-elni, de a többit igen.
Vagy a rendszergazdának minden ssl háborítatlan, a többieknek meg 
BUMP. stb.
Én csak a tanulói gépekkel fogom ezt csinálni, akkora sikítás van, ha 
valami nem jön be:)






___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] pfsense squid3 squidguard

[Fehér Sándor]

>akkor domain lapján lehetne szűrni a weboldalakat man in the middle 
nélkül is.
De csak a connect metódussal. Ez esetben csak olyat lehet, hogy 
microsoft.com-ot letiltod és ennyi.

Ha vírus van rajta, vagy ez egy xxx oldal, simán jön szűrés nélkül.

>Ha nem transzparens proxy lenne, akkor domain lapján lehetne szűrni a 
weboldalakat
MEGVÁLASZOLTAD a problémám :D . Akkor ezen a sz*ron ezért nem ment a 
whitelist a splice -ra.

A saját rendszeren szerencsére jól működik transzparens módban is.




2018. 02. 28. 12:45 keltezéssel, Veres Sándor írta:

2018. 02. 28. 11:26 keltezéssel, Horváth Péter írta:
Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán 
bejelentkezek a netbankba, miközben "man in the middle" van:)
és közben zölden virít a lakat a firefoxban. Így mi értelme van az 
egész SSL dolognak.?


De hát te magad állítod be, hogy ez így legyen (mert akarod szűrni a 
https-t is). Különben Avast is csinál ilyet (tud ilyet), ha úgy 
állítod be.
Ha nem transzparens proxy lenne, akkor domain lapján lehetne szűrni a 
weboldalakat man in the middle nélkül is.


Veres Sándor

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/


___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] pfsense squid3 squidguard

[Fehér Sándor]

>Csak még mindíg azt nem tudom hogy squid3  cacheeli is a https 
veblapokat, vagy csak szűrni tudja?

MITM (ssl bump) esetén cachelni is tudja mert teljesen rálát a forgalomra.
Splice esetén NEM. Akkor az ssl tunnel miatt a squid nem látja a 
forgalmat és nem tud cachelni sem. Ez úgy kell felfogni, hogy mintha ott 
sem lenne a proxy, csak átmegy rajta minden ssl forgalom szűrés és cache 
nélkül.


>Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán 
bejelentkezek a netbankba, miközben "man in the middle" van:)
Normális működés, ugyanis te kivételt adtál a rendszeredhez, hogy 
elfogadod a hibás tanusítványt + importáltad root CA ként a proxy 
tanúsítványt. A böngésző szót fogad ennyi:
A bank és a proxy között teljesen megbízható ssl kapcsolat van>>> 
"ennyit lát a bank"
A proxy meg röptében generál egy tanúsítványt és azzal titkosítja a 
banktól jövő forgalmat, amit elküld neked.
A böngésző meg először hisztizik, de ha kivételt adsz hozzá + a proxy 
hitelesítő tanúsítványt is importálod a rendszerbe mint "megbízható 
legfelső szintű hitelesítési szolgáltató" akkor miért nem kéne működjön 
a bank oldal??


SSL proxynak véleményem szerint nincs értelme, ha mindent "splice" olni 
akarsz. Ez arra van, hogy kivételeket adj a proxydhoz: banki oldalakat, 
paypal stb nem akarod MITM-elni, de a többit igen.
Vagy a rendszergazdának minden ssl háborítatlan, a többieknek meg BUMP. 
stb.
Ezeket a kivételeket sokkal rugalmasabban lehet kezelni saját fordítású 
squid-en és nem kell agyon kalapálni a pfsense-t. ( egy szövegszerkesztő 
kell hozzá meg egy kis logika :) )
A pfsense white list rendszere nekem nem működött rendesen és nem 
szórakoztam vele.
A saját rendszeren jóval bonyolultabb/rugalmasabb listarendszert 
csináltam bele:

Beletettem a csengetési rendet és pl szünetben van facebook, órán nincs stb.
Tanároknak splice
Diákoknak bump kivételekkel
Tanfolyamokon speciális splice lista ( join.me, stb. )




2018. 02. 28. 11:26 keltezéssel, Horváth Péter írta:
Első ránézésre nem rossz a PFSense. Főleg ha nem szeretnék VI 
editorral konfig fájlokat matatni,

pl amikor egy wifi usert hozzáadok a radiushoz.
Nyilván én csak  a tantermi tanulói gépeket szeretném ezzel proxyzni, 
és csak ismerkedek a témával.
A squidguard tartalomszűrés csak ráadás. Csak azért telepítettem mert 
szembejött a lehetőség.
A tartalom szűrésre a DNS alapú ingyenes megoldás is elég lenne, mivel 
nincs semmi előírva.
A tanulói gépeken tiltva van a windows update, és a vírusirtó 
frissítés, mert Radix vagy deepfreeze van a gépeken.


Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán 
bejelentkezek a netbankba, miközben "man in the middle" van:)
és közben zölden virít a lakat a firefoxban. Így mi értelme van az 
egész SSL dolognak.?


Csak még mindíg azt nem tudom hogy squid3  cacheeli is a https 
veblapokat, vagy csak szűrni tudja?




2018.02.28. 9:28 keltezéssel, Fehér Sándor írta:

Üdv!

>A tárgybelivel kísérletezek, próbálom elkerülni a squid3 
fordításával kapcsolatos macerát.

Elsőre én is így próbálkoztam, saját fordítás lett a vége :)

>Az első estben kell saját készítésű CA tanusítványt telepíteni a 
kliensekre, hogy megnyissa a https oldalakat,

a 2. esetben nem.
Igen, az első eset az SSL-BUMPING, akkor mindenképpen kell 
tanúsítvány a kliens gépekre.
Nálam ez a whitelist dolog NEM AKART működni, ide a fórumra is írtam, 
de sajnos nem kaptam választ. ( gondolom nem sokan használják a 
pfsense-t)


Végül egy linuxakadémiás videót megvásároltam és az alapján + skf 
összekalapáltam a saját squid-et clamav-al és squidguard-al. Host os 
a 16.04 ubuntu szerver lett. (vm ként fut proxmox-on)

Mai napig szüperül működik, javaslom neked is ezt a módszert.
//Az ssl filterezésnél a windows update-el és víruskeresők online 
frissítésével lehet gondod, de elviekben van ezekre is megoldás. //





2018. 02. 28. 9:17 keltezéssel, Horváth Péter írta:

Sziasztok!

A tárgybelivel kísérletezek, próbálom elkerülni a squid3 
fordításával kapcsolatos macerát.
Ezek mind elérhetők a pfsense package managerben, és viszonylag 
működik is elsőre.
(Kivéve ha bekapcsolom a "Enable Squid antivirus check using 
ClamAV." funkciót, de ez most nem lényeges.)

Egy youtube-os video alapján beállítottam ezt blacklist url-nek:
http://www.shallalist.de/Downloads/shallalist.tar.gz így ezzzel 
működik.
És nem mellékes, hogy  a freeradius is működik első próbálkozásra 
WPA Enterprise-hez.


Van amit nem értek:

Az "SSL Man In the Middle Filtering" "SSL/MITM Mode" résznél van 
ilyen beállítás hogy:


"Splice Whitelist, Bump Otherwise"
vagy
"Splice All"

Az első estben kell saját készítésű CA tanusítványt telepíteni a 
kliensekre, hogy megnyissa a https oldalakat,

a 2. esetben nem.
Squidguard esetén a 2.-at kell választani a megjelenő help szöveg 
szerint.
A squidguard mindkét esetben ugyanúgy megakadályozza a tiltott https 
oldalak megnyitását csak a hibaüzenet máshogy néz ki.
egyik estben sem normális hibaüzenet, hanem valami névfeloldással 
vagy SSL 

Re: [Techinfo] pfsense squid3 squidguard

[Veres Sándor]

2018. 02. 28. 11:26 keltezéssel, Horváth Péter írta:
Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán 
bejelentkezek a netbankba, miközben "man in the middle" van:)
és közben zölden virít a lakat a firefoxban. Így mi értelme van az 
egész SSL dolognak.?


De hát te magad állítod be, hogy ez így legyen (mert akarod szűrni a 
https-t is). Különben Avast is csinál ilyet (tud ilyet), ha úgy állítod be.
Ha nem transzparens proxy lenne, akkor domain lapján lehetne szűrni a 
weboldalakat man in the middle nélkül is.


Veres Sándor

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] pfsense squid3 squidguard

[Mészáros Zsolt]

:(

Ez melyik bank? Ha szabad ilyet kérdezni?


2018. 02. 28. 11:26 keltezéssel, Horváth Péter írta:
Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán 
bejelentkezek a netbankba, miközben "man in the middle" van:)


--
Best regards,
Zsolt Meszaros
IT-Sysadmin

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] pfsense squid3 squidguard

[Horváth Péter]

Első ránézésre nem rossz a PFSense. Főleg ha nem szeretnék VI editorral 
konfig fájlokat matatni,

pl amikor egy wifi usert hozzáadok a radiushoz.
Nyilván én csak  a tantermi tanulói gépeket szeretném ezzel proxyzni, és 
csak ismerkedek a témával.
A squidguard tartalomszűrés csak ráadás. Csak azért telepítettem mert 
szembejött a lehetőség.
A tartalom szűrésre a DNS alapú ingyenes megoldás is elég lenne, mivel 
nincs semmi előírva.
A tanulói gépeken tiltva van a windows update, és a vírusirtó frissítés, 
mert Radix vagy deepfreeze van a gépeken.


Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán 
bejelentkezek a netbankba, miközben "man in the middle" van:)
és közben zölden virít a lakat a firefoxban. Így mi értelme van az egész 
SSL dolognak.?


Csak még mindíg azt nem tudom hogy squid3  cacheeli is a https 
veblapokat, vagy csak szűrni tudja?




2018.02.28. 9:28 keltezéssel, Fehér Sándor írta:

Üdv!

>A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával 
kapcsolatos macerát.

Elsőre én is így próbálkoztam, saját fordítás lett a vége :)

>Az első estben kell saját készítésű CA tanusítványt telepíteni a 
kliensekre, hogy megnyissa a https oldalakat,

a 2. esetben nem.
Igen, az első eset az SSL-BUMPING, akkor mindenképpen kell tanúsítvány 
a kliens gépekre.
Nálam ez a whitelist dolog NEM AKART működni, ide a fórumra is írtam, 
de sajnos nem kaptam választ. ( gondolom nem sokan használják a 
pfsense-t)


Végül egy linuxakadémiás videót megvásároltam és az alapján + skf 
összekalapáltam a saját squid-et clamav-al és squidguard-al. Host os a 
16.04 ubuntu szerver lett. (vm ként fut proxmox-on)

Mai napig szüperül működik, javaslom neked is ezt a módszert.
//Az ssl filterezésnél a windows update-el és víruskeresők online 
frissítésével lehet gondod, de elviekben van ezekre is megoldás. //





2018. 02. 28. 9:17 keltezéssel, Horváth Péter írta:

Sziasztok!

A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával 
kapcsolatos macerát.
Ezek mind elérhetők a pfsense package managerben, és viszonylag 
működik is elsőre.
(Kivéve ha bekapcsolom a "Enable Squid antivirus check using ClamAV." 
funkciót, de ez most nem lényeges.)

Egy youtube-os video alapján beállítottam ezt blacklist url-nek:
http://www.shallalist.de/Downloads/shallalist.tar.gz így ezzzel működik.
És nem mellékes, hogy  a freeradius is működik első próbálkozásra WPA 
Enterprise-hez.


Van amit nem értek:

Az "SSL Man In the Middle Filtering" "SSL/MITM Mode" résznél van 
ilyen beállítás hogy:


"Splice Whitelist, Bump Otherwise"
vagy
"Splice All"

Az első estben kell saját készítésű CA tanusítványt telepíteni a 
kliensekre, hogy megnyissa a https oldalakat,

a 2. esetben nem.
Squidguard esetén a 2.-at kell választani a megjelenő help szöveg 
szerint.
A squidguard mindkét esetben ugyanúgy megakadályozza a tiltott https 
oldalak megnyitását csak a hibaüzenet máshogy néz ki.
egyik estben sem normális hibaüzenet, hanem valami névfeloldással 
vagy SSL problémával kapcsolatos.


De a kérdésem az, hogy ha nem kell tanusítvány a kliensekre, mert a 
"splice all" -t választottam,

akkor nem is cache-eli a https weboldalakat? Vagy mi a hátránya ennek?
vagy azt sehogy sem csinálja?




Kösz,
Péter



___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/


___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/



___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] pfsense squid3 squidguard

[Fehér Sándor]

Ezek a proxyval működnek úgy, ahogyan a clamav?


2018. 02. 28. 10:55 keltezéssel, Szathmári Andor írta:
Nem tudom mi a jó. Ezek találták meg: Eset, Sophos, Dr. Web. Ezek 
közül Sophos ingyenes és Linuxon is megismeri a Windows, Mac, 
Android malwareket.  VB100 teszten rég láttam, így másban mennyire jó 
kérdéses.


*Feladó:* techinfo-boun...@lista.sulinet.hu 
<techinfo-boun...@lista.sulinet.hu>, meghatalmazó: Fehér Sándor 
<fehersan...@madach-starjan.sulinet.hu>

*Elküldve:* 2018. február 28., szerda 10:14
*Címzett:* techinfo@lista.sulinet.hu
*Tárgy:* Re: [Techinfo] pfsense squid3 squidguard

Mit javasolsz helyette?


Általában a klienseken szokott még lenni másmilyen védelem.

A proxy meg csak az első védelmi szűrő.


2018. 02. 28. 10:05 keltezéssel, Szathmári Andor írta:
Clamav elég gyengén teljesít. Múltkor gyanús fájlt küldtem nekik (php 
hacking tool) vizsgálatra. Visszaírják, hogy tiszta, pedig ránézésre 
sem az és virustotal.com szerint sem.


*Feladó:* techinfo-boun...@lista.sulinet.hu 
<mailto:techinfo-boun...@lista.sulinet.hu> 
<techinfo-boun...@lista.sulinet.hu> 
<mailto:techinfo-boun...@lista.sulinet.hu>, meghatalmazó: Fehér 
Sándor <fehersan...@madach-starjan.sulinet.hu> 
<mailto:fehersan...@madach-starjan.sulinet.hu>

*Elküldve:* 2018. február 28., szerda 9:28
*Címzett:* techinfo@lista.sulinet.hu <mailto:techinfo@lista.sulinet.hu>
*Tárgy:* Re: [Techinfo] pfsense squid3 squidguard
Üdv!

 >A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
kapcsolatos macerát.
Elsőre én is így próbálkoztam, saját fordítás lett a vége :)

 >Az első estben kell saját készítésű CA tanusítványt telepíteni a
kliensekre, hogy megnyissa a https oldalakat,
a 2. esetben nem.
Igen, az első eset az SSL-BUMPING, akkor mindenképpen kell tanúsítvány a
kliens gépekre.
Nálam ez a whitelist dolog NEM AKART működni, ide a fórumra is írtam, de
sajnos nem kaptam választ. ( gondolom nem sokan használják a pfsense-t)

Végül egy linuxakadémiás videót megvásároltam és az alapján + skf
összekalapáltam a saját squid-et clamav-al és squidguard-al. Host os a
16.04 ubuntu szerver lett. (vm ként fut proxmox-on)
Mai napig szüperül működik, javaslom neked is ezt a módszert.
//Az ssl filterezésnél a windows update-el és víruskeresők online
frissítésével lehet gondod, de elviekben van ezekre is megoldás. //




2018. 02. 28. 9:17 keltezéssel, Horváth Péter írta:
> Sziasztok!
>
> A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
> kapcsolatos macerát.
> Ezek mind elérhetők a pfsense package managerben, és viszonylag
> működik is elsőre.
> (Kivéve ha bekapcsolom a "Enable Squid antivirus check using ClamAV."
> funkciót, de ez most nem lényeges.)
> Egy youtube-os video alapján beállítottam ezt blacklist url-nek:
> http://www.shallalist.de/Downloads/shallalist.tar.gz így ezzzel 
működik.

> És nem mellékes, hogy  a freeradius is működik első próbálkozásra WPA
> Enterprise-hez.
>
> Van amit nem értek:
>
> Az "SSL Man In the Middle Filtering" "SSL/MITM Mode" résznél van ilyen
> beállítás hogy:
>
> "Splice Whitelist, Bump Otherwise"
> vagy
> "Splice All"
>
> Az első estben kell saját készítésű CA tanusítványt telepíteni a
> kliensekre, hogy megnyissa a https oldalakat,
> a 2. esetben nem.
> Squidguard esetén a 2.-at kell választani a megjelenő help szöveg
> szerint.
> A squidguard mindkét esetben ugyanúgy megakadályozza a tiltott https
> oldalak megnyitását csak a hibaüzenet máshogy néz ki.
> egyik estben sem normális hibaüzenet, hanem valami névfeloldással vagy
> SSL problémával kapcsolatos.
>
> De a kérdésem az, hogy ha nem kell tanusítvány a kliensekre, mert a
> "splice all" -t választottam,
> akkor nem is cache-eli a https weboldalakat? Vagy mi a hátránya ennek?
> vagy azt sehogy sem csinálja?
>
>
>
>
> Kösz,
> Péter
>
>
>
> ___
> Techinfo mailing list
> Techinfo@lista.sulinet.hu <mailto:Techinfo@lista.sulinet.hu>
> Fel- és leiratkozás: 
http://lista.sulinet.hu/mailman/listinfo/techinfo 
<http://lista.sulinet.hu/mailman/listinfo/techinfo>

> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

___
Techinfo mailing list
Techinfo@lista.sulinet.hu <mailto:Techinfo@lista.sulinet.hu>
Fel- és leiratkozás: 
http://lista.sulinet.hu/mailman/listinfo/techinfo 
<http://lista.sulinet.hu/mailman/listinfo/techinfo>

Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/




___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] pfsense squid3 squidguard

[Fehér Sándor]

Mit javasolsz helyette?


Általában a klienseken szokott még lenni másmilyen védelem.

A proxy meg csak az első védelmi szűrő.


2018. 02. 28. 10:05 keltezéssel, Szathmári Andor írta:
Clamav elég gyengén teljesít. Múltkor gyanús fájlt küldtem nekik (php 
hacking tool) vizsgálatra. Visszaírják, hogy tiszta, pedig ránézésre 
sem az és virustotal.com szerint sem.


*Feladó:* techinfo-boun...@lista.sulinet.hu 
<techinfo-boun...@lista.sulinet.hu>, meghatalmazó: Fehér Sándor 
<fehersan...@madach-starjan.sulinet.hu>

*Elküldve:* 2018. február 28., szerda 9:28
*Címzett:* techinfo@lista.sulinet.hu
*Tárgy:* Re: [Techinfo] pfsense squid3 squidguard
Üdv!

 >A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
kapcsolatos macerát.
Elsőre én is így próbálkoztam, saját fordítás lett a vége :)

 >Az első estben kell saját készítésű CA tanusítványt telepíteni a
kliensekre, hogy megnyissa a https oldalakat,
a 2. esetben nem.
Igen, az első eset az SSL-BUMPING, akkor mindenképpen kell tanúsítvány a
kliens gépekre.
Nálam ez a whitelist dolog NEM AKART működni, ide a fórumra is írtam, de
sajnos nem kaptam választ. ( gondolom nem sokan használják a pfsense-t)

Végül egy linuxakadémiás videót megvásároltam és az alapján + skf
összekalapáltam a saját squid-et clamav-al és squidguard-al. Host os a
16.04 ubuntu szerver lett. (vm ként fut proxmox-on)
Mai napig szüperül működik, javaslom neked is ezt a módszert.
//Az ssl filterezésnél a windows update-el és víruskeresők online
frissítésével lehet gondod, de elviekben van ezekre is megoldás. //




2018. 02. 28. 9:17 keltezéssel, Horváth Péter írta:
> Sziasztok!
>
> A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával
> kapcsolatos macerát.
> Ezek mind elérhetők a pfsense package managerben, és viszonylag
> működik is elsőre.
> (Kivéve ha bekapcsolom a "Enable Squid antivirus check using ClamAV."
> funkciót, de ez most nem lényeges.)
> Egy youtube-os video alapján beállítottam ezt blacklist url-nek:
> http://www.shallalist.de/Downloads/shallalist.tar.gz így ezzzel működik.
> És nem mellékes, hogy  a freeradius is működik első próbálkozásra WPA
> Enterprise-hez.
>
> Van amit nem értek:
>
> Az "SSL Man In the Middle Filtering" "SSL/MITM Mode" résznél van ilyen
> beállítás hogy:
>
> "Splice Whitelist, Bump Otherwise"
> vagy
> "Splice All"
>
> Az első estben kell saját készítésű CA tanusítványt telepíteni a
> kliensekre, hogy megnyissa a https oldalakat,
> a 2. esetben nem.
> Squidguard esetén a 2.-at kell választani a megjelenő help szöveg
> szerint.
> A squidguard mindkét esetben ugyanúgy megakadályozza a tiltott https
> oldalak megnyitását csak a hibaüzenet máshogy néz ki.
> egyik estben sem normális hibaüzenet, hanem valami névfeloldással vagy
> SSL problémával kapcsolatos.
>
> De a kérdésem az, hogy ha nem kell tanusítvány a kliensekre, mert a
> "splice all" -t választottam,
> akkor nem is cache-eli a https weboldalakat? Vagy mi a hátránya ennek?
> vagy azt sehogy sem csinálja?
>
>
>
>
> Kösz,
> Péter
>
>
>
> ___
> Techinfo mailing list
> Techinfo@lista.sulinet.hu
> Fel- és leiratkozás: 
http://lista.sulinet.hu/mailman/listinfo/techinfo 
<http://lista.sulinet.hu/mailman/listinfo/techinfo>

> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo 
<http://lista.sulinet.hu/mailman/listinfo/techinfo>

Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/


___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] pfsense squid3 squidguard

[Fehér Sándor]

Üdv!

>A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával 
kapcsolatos macerát.

Elsőre én is így próbálkoztam, saját fordítás lett a vége :)

>Az első estben kell saját készítésű CA tanusítványt telepíteni a 
kliensekre, hogy megnyissa a https oldalakat,

a 2. esetben nem.
Igen, az első eset az SSL-BUMPING, akkor mindenképpen kell tanúsítvány a 
kliens gépekre.
Nálam ez a whitelist dolog NEM AKART működni, ide a fórumra is írtam, de 
sajnos nem kaptam választ. ( gondolom nem sokan használják a pfsense-t)


Végül egy linuxakadémiás videót megvásároltam és az alapján + skf 
összekalapáltam a saját squid-et clamav-al és squidguard-al. Host os a 
16.04 ubuntu szerver lett. (vm ként fut proxmox-on)

Mai napig szüperül működik, javaslom neked is ezt a módszert.
//Az ssl filterezésnél a windows update-el és víruskeresők online 
frissítésével lehet gondod, de elviekben van ezekre is megoldás. //





2018. 02. 28. 9:17 keltezéssel, Horváth Péter írta:

Sziasztok!

A tárgybelivel kísérletezek, próbálom elkerülni a squid3 fordításával 
kapcsolatos macerát.
Ezek mind elérhetők a pfsense package managerben, és viszonylag 
működik is elsőre.
(Kivéve ha bekapcsolom a "Enable Squid antivirus check using ClamAV." 
funkciót, de ez most nem lényeges.)

Egy youtube-os video alapján beállítottam ezt blacklist url-nek:
http://www.shallalist.de/Downloads/shallalist.tar.gz így ezzzel működik.
És nem mellékes, hogy  a freeradius is működik első próbálkozásra WPA 
Enterprise-hez.


Van amit nem értek:

Az "SSL Man In the Middle Filtering" "SSL/MITM Mode" résznél van ilyen 
beállítás hogy:


"Splice Whitelist, Bump Otherwise"
vagy
"Splice All"

Az első estben kell saját készítésű CA tanusítványt telepíteni a 
kliensekre, hogy megnyissa a https oldalakat,

a 2. esetben nem.
Squidguard esetén a 2.-at kell választani a megjelenő help szöveg 
szerint.
A squidguard mindkét esetben ugyanúgy megakadályozza a tiltott https 
oldalak megnyitását csak a hibaüzenet máshogy néz ki.
egyik estben sem normális hibaüzenet, hanem valami névfeloldással vagy 
SSL problémával kapcsolatos.


De a kérdésem az, hogy ha nem kell tanusítvány a kliensekre, mert a 
"splice all" -t választottam,

akkor nem is cache-eli a https weboldalakat? Vagy mi a hátránya ennek?
vagy azt sehogy sem csinálja?




Kösz,
Péter



___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/


___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/