[Techinfo] pfsense squid3 squidguard
Fehér Sándor
fehersandor at madach-starjan.sulinet.hu
2018. Feb. 28., Sze, 12:52:02 CET
>Csak még mindíg azt nem tudom hogy squid3 cacheeli is a https
veblapokat, vagy csak szűrni tudja?
MITM (ssl bump) esetén cachelni is tudja mert teljesen rálát a forgalomra.
Splice esetén NEM. Akkor az ssl tunnel miatt a squid nem látja a
forgalmat és nem tud cachelni sem. Ez úgy kell felfogni, hogy mintha ott
sem lenne a proxy, csak átmegy rajta minden ssl forgalom szűrés és cache
nélkül.
>Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán
bejelentkezek a netbankba, miközben "man in the middle" van:)
Normális működés, ugyanis te kivételt adtál a rendszeredhez, hogy
elfogadod a hibás tanusítványt + importáltad root CA ként a proxy
tanúsítványt. A böngésző szót fogad ennyi:
A bank és a proxy között teljesen megbízható ssl kapcsolat van>>>
"ennyit lát a bank"
A proxy meg röptében generál egy tanúsítványt és azzal titkosítja a
banktól jövő forgalmat, amit elküld neked.
A böngésző meg először hisztizik, de ha kivételt adsz hozzá + a proxy
hitelesítő tanúsítványt is importálod a rendszerbe mint "megbízható
legfelső szintű hitelesítési szolgáltató" akkor miért nem kéne működjön
a bank oldal??
SSL proxynak véleményem szerint nincs értelme, ha mindent "splice" olni
akarsz. Ez arra van, hogy kivételeket adj a proxydhoz: banki oldalakat,
paypal stb nem akarod MITM-elni, de a többit igen.
Vagy a rendszergazdának minden ssl háborítatlan, a többieknek meg BUMP.
stb.
Ezeket a kivételeket sokkal rugalmasabban lehet kezelni saját fordítású
squid-en és nem kell agyon kalapálni a pfsense-t. ( egy szövegszerkesztő
kell hozzá meg egy kis logika :) )
A pfsense white list rendszere nekem nem működött rendesen és nem
szórakoztam vele.
A saját rendszeren jóval bonyolultabb/rugalmasabb listarendszert
csináltam bele:
Beletettem a csengetési rendet és pl szünetben van facebook, órán nincs stb.
Tanároknak splice
Diákoknak bump kivételekkel
Tanfolyamokon speciális splice lista ( join.me, stb. )
2018. 02. 28. 11:26 keltezéssel, Horváth Péter írta:
> Első ránézésre nem rossz a PFSense. Főleg ha nem szeretnék VI
> editorral konfig fájlokat matatni,
> pl amikor egy wifi usert hozzáadok a radiushoz.
> Nyilván én csak a tantermi tanulói gépeket szeretném ezzel proxyzni,
> és csak ismerkedek a témával.
> A squidguard tartalomszűrés csak ráadás. Csak azért telepítettem mert
> szembejött a lehetőség.
> A tartalom szűrésre a DNS alapú ingyenes megoldás is elég lenne, mivel
> nincs semmi előírva.
> A tanulói gépeken tiltva van a windows update, és a vírusirtó
> frissítés, mert Radix vagy deepfreeze van a gépeken.
>
> Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán
> bejelentkezek a netbankba, miközben "man in the middle" van:)
> és közben zölden virít a lakat a firefoxban. Így mi értelme van az
> egész SSL dolognak.?
>
> Csak még mindíg azt nem tudom hogy squid3 cacheeli is a https
> veblapokat, vagy csak szűrni tudja?
>
>
>
> 2018.02.28. 9:28 keltezéssel, Fehér Sándor írta:
>> Üdv!
>>
>> >A tárgybelivel kísérletezek, próbálom elkerülni a squid3
>> fordításával kapcsolatos macerát.
>> Elsőre én is így próbálkoztam, saját fordítás lett a vége :)
>>
>> >Az első estben kell saját készítésű CA tanusítványt telepíteni a
>> kliensekre, hogy megnyissa a https oldalakat,
>> a 2. esetben nem.
>> Igen, az első eset az SSL-BUMPING, akkor mindenképpen kell
>> tanúsítvány a kliens gépekre.
>> Nálam ez a whitelist dolog NEM AKART működni, ide a fórumra is írtam,
>> de sajnos nem kaptam választ. ( gondolom nem sokan használják a
>> pfsense-t)
>>
>> Végül egy linuxakadémiás videót megvásároltam és az alapján + skf
>> összekalapáltam a saját squid-et clamav-al és squidguard-al. Host os
>> a 16.04 ubuntu szerver lett. (vm ként fut proxmox-on)
>> Mai napig szüperül működik, javaslom neked is ezt a módszert.
>> //Az ssl filterezésnél a windows update-el és víruskeresők online
>> frissítésével lehet gondod, de elviekben van ezekre is megoldás. //
>>
>>
>>
>>
>> 2018. 02. 28. 9:17 keltezéssel, Horváth Péter írta:
>>> Sziasztok!
>>>
>>> A tárgybelivel kísérletezek, próbálom elkerülni a squid3
>>> fordításával kapcsolatos macerát.
>>> Ezek mind elérhetők a pfsense package managerben, és viszonylag
>>> működik is elsőre.
>>> (Kivéve ha bekapcsolom a "Enable Squid antivirus check using
>>> ClamAV." funkciót, de ez most nem lényeges.)
>>> Egy youtube-os video alapján beállítottam ezt blacklist url-nek:
>>> http://www.shallalist.de/Downloads/shallalist.tar.gz így ezzzel
>>> működik.
>>> És nem mellékes, hogy a freeradius is működik első próbálkozásra
>>> WPA Enterprise-hez.
>>>
>>> Van amit nem értek:
>>>
>>> Az "SSL Man In the Middle Filtering" "SSL/MITM Mode" résznél van
>>> ilyen beállítás hogy:
>>>
>>> "Splice Whitelist, Bump Otherwise"
>>> vagy
>>> "Splice All"
>>>
>>> Az első estben kell saját készítésű CA tanusítványt telepíteni a
>>> kliensekre, hogy megnyissa a https oldalakat,
>>> a 2. esetben nem.
>>> Squidguard esetén a 2.-at kell választani a megjelenő help szöveg
>>> szerint.
>>> A squidguard mindkét esetben ugyanúgy megakadályozza a tiltott https
>>> oldalak megnyitását csak a hibaüzenet máshogy néz ki.
>>> egyik estben sem normális hibaüzenet, hanem valami névfeloldással
>>> vagy SSL problémával kapcsolatos.
>>>
>>> De a kérdésem az, hogy ha nem kell tanusítvány a kliensekre, mert a
>>> "splice all" -t választottam,
>>> akkor nem is cache-eli a https weboldalakat? Vagy mi a hátránya ennek?
>>> vagy azt sehogy sem csinálja?
>>>
>>>
>>>
>>>
>>> Kösz,
>>> Péter
>>>
>>>
>>>
>>> _______________________________________________
>>> Techinfo mailing list
>>> Techinfo at lista.sulinet.hu
>>> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>>> Illemtan: http://www.szag.hu/illemtan.html
>>> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>>
>> _______________________________________________
>> Techinfo mailing list
>> Techinfo at lista.sulinet.hu
>> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan: http://www.szag.hu/illemtan.html
>> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
További információk a(z) Techinfo levelezőlistáról