Configurando Squid3-Dev Com Filtro SSL-https Pfsense
9
Configurando squid 3.3.10 para Pfsense com filtro de SSL/HTTPS Esta versão foi compilada pelo Marcelloc moderador do fórum Pfsense (português brasil), tem a função de filtrar acessos SSL/https. Foi testado na versão 2.1.3 Release do Pfsense, i386. Se for utilizaro filtro ssl, é necessário criar uma CA (certificado) no pfsense e instalar o certificado em cada estação de trabalho para evitar mensagens de erro de ssl para os clientes. Também é necessário que a opção Allow IPv6 esteja ativa em: Sytem -> advanced -> Networking -> Allow IPv6. Obs: Sites na whitelist não passam pelo filtro de SSL. Criando certificado No Pfsense clique em: System -> Certificate manager, em CAs -> botão (+) para adicionar um certificado. Descritive name: PROXY-CA Method/create na internal certificate autority Key lenght: 2048 bits Digest algorithm: SHA256 Lifetime: 3650 País: brasil Estado: são Paulo Cidade: Guarulhos Organização: Empresa Email: [email protected]
-
Upload
arthur-bustamante-zurita -
Category
Documents
-
view
184 -
download
1
description
ES UNA GUIA PARA RESTRINGIR ALGUNAS PAGINAS WEB QUE PUEDEN DAÑAR A LOS CLIENTES
Transcript of Configurando Squid3-Dev Com Filtro SSL-https Pfsense
Configurando squid 3.3.10 para Pfsense com filtro de SSL/HTTPS
Esta versão foi compilada pelo Marcelloc moderador do fórum Pfsense (português brasil), tem a função de filtrar acessos SSL/https.
Foi testado na versão 2.1.3 Release do Pfsense, i386.
Se for utilizaro filtro ssl, é necessário criar uma CA (certificado) no pfsense e instalar o certificado em cada estação de trabalho para evitar mensagens de erro de ssl para os clientes.
Também é necessário que a opção Allow IPv6 esteja ativa em: Sytem -> advanced -> Networking -> Allow IPv6.
Obs: Sites na whitelist não passam pelo filtro de SSL.
Criando certificado
No Pfsense clique em: System -> Certificate manager, em CAs -> botão (+) para adicionar um certificado.
Descritive name: PROXY-CA
Method/create na internal certificate autority
Key lenght: 2048 bits
Digest algorithm: SHA256
Lifetime: 3650
País: brasil
Estado: são Paulo
Cidade: Guarulhos
Organização: Empresa
Email: [email protected]
Common name: PROXY-CA
Salve, e será criado o certificado CA.
Agora instale o pacote squid3-dev em System -> packages -> available packages.
Após realizar a instalação abra o putty e acesse o servidor via ssh.
Logado no terminal basta instalar e copiar as bibliotecas faltantes de acordocom a versão utilizada do Pfsense (i386/amd64).
Download das bibliotecas:
versão i386
Code: [Select]
fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libasn1.so.10
fetch -o /usr/local/lib/libgssapi.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libgssapi.so.10
fetch -o /usr/local/lib/libheimntlm.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libheimntlm.so.10
fetch -o /usr/local/lib/libhx509.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libhx509.so.10
fetch -o /usr/local/lib/libkrb5.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libkrb5.so.10
fetch -o /usr/local/lib/libroken.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libroken.so.10
versão amd64
Code: [Select]
fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libasn1.so.10
fetch -o /usr/local/lib/libgssapi.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libgssapi.so.10
fetch -o /usr/local/lib/libheimntlm.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libheimntlm.so.10
fetch -o /usr/local/lib/libhx509.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libhx509.so.10
fetch -o /usr/local/lib/libkrb5.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libkrb5.so.10
fetch -o /usr/local/lib/libroken.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libroken.so.10
Após realizar a instalação e inserir as bibliotecas, configure o squid.
Em services -> proxy server, Aba Geral deixe da seguinte forma:
Após configurar todos campos necessários, salve e vá até a Aba -> ACL:
Em Allowed subnets, insira sua rede como:
Salve!
Lembrando que é necessário que a opção Allow IPv6 esteja ativa em: Sytem -> advanced -> Networking -> Allow IPv6.
Agora vamos realizar alguns bloqueios, em Service -> proxy server -> ACL -> Blacklist, insira os domínios dos sites bloqueados, exemplo: youtube.com, facebook.com.
Para realizar o teste, pegue algum computador que esteja no mesmo range e com o Pfsense como gateway e teste acessando alguns sites.
Você vai perceber que ao acessar algum site bloqueado na blacklist com https, vai aparecer uma mensagem estranha, é necessário adicionar o certificado que criamos no inicio nos navegadores.
Primeiro baixe o certificado em System -> cert manager -> no certificado criado clique o botão “export CA cert” será feito o download.
Feito download vamos instalar, clique em abrir:
Instalar certificado, Avançar:
Selecione colocr todos os certificados no armazenamento.. -> Autoridade de certificação raiz confiável.
Avançar e concluir.
Para você ter certeza que está tudo certo, deverá aparecer a seguinte mensagem no final da instalação:
Aparecendo clique em Sim para finalizar.
Para ter certeza que o certificado instalou corretamente verifique no navegador, exemplo Internet explorer se o certificado se encontra em:
Ferramentas -> opções da internet -> Conteúdo -> Certificado -> Autoridades de certificação de raiz confiável, tem que estar aqui.
No Firefox é preciso adicionar manualmente em: Ferramentas -> opções -> Avançado -> Certificados -> Certificados -> Autoridades -> Importar, selecione o certificado CA do Pfsense.
Vai aparecer a seguinte mensagem:
Marque todas as opções e clique em OK.
Para testarmos o bloqueio, faça um acesso a algum site Https bloqueado na blacklist, deverá aparecer a mensagem de bloqueio do squid3.
Obs: O único site que tive problema para abrir foi o gmail.com, para solucionar, insira o domínio na whitelist do squid.
