[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Squid3 y Dominios https

Así es, los navegadores no permiten el uso de proxy transparente con
https debido a que puede ser usado para ataques Men-in-midle, por tanto
rechazan las conexiones.

Por eso el cliente debe estar notificado de que su gateway para https
está en X puerto y servidor, ya sea configurandolo manualmente en el
navegador o distribuido a través de un wpad.

Además Squid deberá tener un certificado intermedio para validar el
encriptado entre el cliente y el sitio web.

Por eso lo más sencillo es un periódico enrollado con el cual golpear a
los usuarios que ingresen a páginas prohibidas jajajja.

-- 
----
 _________________________________________
/ Amor se llama el juego en el que un par \
| de ciegos juegan a hacerse daño.        |
|                                         |
\ -- Joaquin Sabina. Cantautor español.   /
 -----------------------------------------
        \   ^__^
         \  (oo)\_______
            (__)\       )\/\
                ||----w |
                ||     ||


El jue, 08-09-2016 a las 15:27 -0300, OddieX escribió:
> Oswaldo, fijate la documentacion de Squid... Por ahi lei que no lo
> configuras en los clientes no podes manejar https...
> 
> 
> El 8 de septiembre de 2016, 10:52, Matias Mucciolo
> <mmucciolo@suteba.org.ar> escribió:
>         
>         claro si denegas el dominio con un acl
>         deberia bloquearlo el squid ya sea http o
>         https(si es que el https pasa por el squid).
>         
>         ejemplo del log que deberias encontrar:
>         
>         TCP_DENIED/403 1454 CONNECT webmessenger.msn.com:443 - NONE/-
>         text/html
>         
>         ese dominio(que ya no existe mas en si) lo tengo bloqueado en
>         una acl.
>         
>         saludos
>         
>         
>         --
>         
>         Matias Mucciolo
>         
>         Area de Infraestructura.
>         Piedras 737 C.A.B.A
>         SUTEBA
>         
>         On Thursday 08 September 2016 08:55:12 Oswaldo Franco wrote:
>         > No lo tengo transparente por ese mismo caso.
>         > Osea mientras no deniego el dominio de la página https
>         siempre podrán
>         > acceder a ella?
>         > Porque si la deniego no pueden abrirla.
>         >
>         >
>         >
>         >
>         > El 8 de septiembre de 2016, 8:48, Matias Mucciolo
>         <mmucciolo@suteba.org.ar>
>         > escribió:
>         >
>         > >
>         > > No hay problema
>         > > creo que lo que esta pasando(o me imagino)
>         > > es que el https sale directamente sin pasar
>         > > por el proxy por eso no lo filtra.
>         > >
>         > > no se si usas un proxy trasparente pero
>         > > https no funciona con proxy transparete,
>         > >
>         > > suerte
>         > >
>         > >
>         > > --
>         > >
>         > > Matias Mucciolo
>         > >
>         > > Area de Infraestructura.
>         > > Piedras 737 C.A.B.A
>         > > SUTEBA
>         > >
>         > > On Thursday 08 September 2016 08:43:13 Oswaldo Franco
>         wrote:
>         > > > Gracias por tu recomendación Matias Mucciolo, pero tengo
>         configurado un
>         > > > firewall sencillo con Firestarter y los servicios de
>         DHCP y DNS en
>         > > Windows.
>         > > > Estoy migrando poco a poco los servicios
>         > > >
>         > > >
>         > > >
>         > > >
>         > > > El 8 de septiembre de 2016, 8:13, Matias Mucciolo <
>         > > mmucciolo@suteba.org.ar>
>         > > > escribió:
>         > > >
>         > > > >
>         > > > > Buenas
>         > > > >
>         > > > > lo que yo haría en este caso
>         > > > > es bloquear el puerto 443 en el firewall
>         > > > > y configurar el proxy en cada maquina.
>         > > > > Tambien te recomiendo el "auto-detect proxy"(wpad)
>         > > > >
>         > > > > saludos
>         > > > >
>         > > > >
>         > > > > --
>         > > > >
>         > > > > Matias Mucciolo
>         > > > >
>         > > > > Area de Infraestructura.
>         > > > > Piedras 737 C.A.B.A
>         > > > > SUTEBA
>         > > > >
>         > > > > On Thursday 08 September 2016 07:33:22 Oswaldo Franco
>         wrote:
>         > > > > > Hola listeros, saludos.
>         > > > > >
>         > > > > > Utilizo squid3 (3.1.6-1.2+squeeze3) en una máquina
>         con Debian
>         > > GNU/Linux
>         > > > > > 6.0.8 (squeeze).
>         > > > > >
>         > > > > > Tengo el squid configurado para bloquear TODO y
>         permitir lo que le
>         > > diga
>         > > > > > mediante las ACL. Pero los dominios con https se
>         pueden abrir
>         > > > > normalmente a
>         > > > > > menos que las deniegue específicamente.
>         > > > > >
>         > > > > > Quiero saber si podrían darme una ayuda para que
>         esto no suceda.
>         > > > > >
>         > > > > > Qué es lo que quiero, que deniegue todo (inclyendo
>         https) y yo poder
>         > > > > > permitir mediante ACL's los dominios que desee.
>         > > > > >
>         > > > > > Gracias de antemano.
>         > > > > >
>         > > > > >
>         > > > > > --
>         > > > > > OSWALDO FRANCO
>         > > > > > Cumaná, Sucre -Venezuela
>         > > > > > GNU/Linux User # 508524
>         > > > >
>         > > >
>         > > >
>         > > >
>         > > > --
>         > > > OSWALDO FRANCO
>         > > > Cumaná, Sucre -Venezuela
>         > > > GNU/Linux User # 508524
>         > > >
>         > > >
>         > > >
>         > > > Enviado con Mailtrack
>         > > > <https://mailtrack.io/install?source=signature&lang=es&;
>         > > referral=franco.oswaldo@gmail.com&idSignature=23>
>         > >
>         >
>         >
>         >
>         > --
>         > OSWALDO FRANCO
>         > Cumaná, Sucre -Venezuela
>         > GNU/Linux User # 508524
>         
>         
> 
>
Reply to: