Configurando Squid3-Dev Com Filtro SSL-https Pfsense

9
Configurando squid 3.3.10 para Pfsense com filtro de SSL/HTTPS Esta versão foi compilada pelo Marcelloc moderador do fórum Pfsense (português brasil), tem a função de filtrar acessos SSL/https. Foi testado na versão 2.1.3 Release do Pfsense, i386. Se for utilizaro filtro ssl, é necessário criar uma CA (certificado) no pfsense e instalar o certificado em cada estação de trabalho para evitar mensagens de erro de ssl para os clientes. Também é necessário que a opção Allow IPv6 esteja ativa em: Sytem -> advanced -> Networking -> Allow IPv6. Obs: Sites na whitelist não passam pelo filtro de SSL. Criando certificado No Pfsense clique em: System -> Certificate manager, em CAs -> botão (+) para adicionar um certificado. Descritive name: PROXY-CA Method/create na internal certificate autority Key lenght: 2048 bits Digest algorithm: SHA256 Lifetime: 3650 País: brasil Estado: são Paulo Cidade: Guarulhos Organização: Empresa Email: [email protected]

description

ES UNA GUIA PARA RESTRINGIR ALGUNAS PAGINAS WEB QUE PUEDEN DAÑAR A LOS CLIENTES

Transcript of Configurando Squid3-Dev Com Filtro SSL-https Pfsense

Page 1: Configurando Squid3-Dev Com Filtro SSL-https Pfsense

Configurando squid 3.3.10 para Pfsense com filtro de SSL/HTTPS

Esta versão foi compilada pelo Marcelloc moderador do fórum Pfsense (português brasil), tem a função de filtrar acessos SSL/https.

Foi testado na versão 2.1.3 Release do Pfsense, i386.

Se for utilizaro filtro ssl, é necessário criar uma CA (certificado) no pfsense e instalar o certificado em cada estação de trabalho para evitar mensagens de erro de ssl para os clientes.

Também é necessário que a opção Allow IPv6 esteja ativa em: Sytem -> advanced -> Networking -> Allow IPv6.

Obs: Sites na whitelist não passam pelo filtro de SSL.

Criando certificado

No Pfsense clique em: System -> Certificate manager, em CAs -> botão (+) para adicionar um certificado.

Descritive name: PROXY-CA

Method/create na internal certificate autority

Key lenght: 2048 bits

Digest algorithm: SHA256

Lifetime: 3650

País: brasil

Estado: são Paulo

Cidade: Guarulhos

Organização: Empresa

Email: [email protected]

Common name: PROXY-CA

Salve, e será criado o certificado CA.

Agora instale o pacote squid3-dev em System -> packages -> available packages.

Após realizar a instalação abra o putty e acesse o servidor via ssh.

Page 2: Configurando Squid3-Dev Com Filtro SSL-https Pfsense

Logado no terminal basta instalar e copiar as bibliotecas faltantes de acordocom a versão utilizada do Pfsense (i386/amd64).

Download das bibliotecas:

versão i386

Code: [Select]

fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libasn1.so.10

fetch -o /usr/local/lib/libgssapi.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libgssapi.so.10

fetch -o /usr/local/lib/libheimntlm.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libheimntlm.so.10

fetch -o /usr/local/lib/libhx509.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libhx509.so.10

fetch -o /usr/local/lib/libkrb5.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libkrb5.so.10

fetch -o /usr/local/lib/libroken.so.10 http://e-sac.siteseguro.ws/pfsense/8/All/ldd/libroken.so.10

versão amd64

Code: [Select]

fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libasn1.so.10

fetch -o /usr/local/lib/libgssapi.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libgssapi.so.10

fetch -o /usr/local/lib/libheimntlm.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libheimntlm.so.10

fetch -o /usr/local/lib/libhx509.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libhx509.so.10

fetch -o /usr/local/lib/libkrb5.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libkrb5.so.10

fetch -o /usr/local/lib/libroken.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libroken.so.10

Page 3: Configurando Squid3-Dev Com Filtro SSL-https Pfsense

Após realizar a instalação e inserir as bibliotecas, configure o squid.

Em services -> proxy server, Aba Geral deixe da seguinte forma:

Page 4: Configurando Squid3-Dev Com Filtro SSL-https Pfsense
Page 5: Configurando Squid3-Dev Com Filtro SSL-https Pfsense

Após configurar todos campos necessários, salve e vá até a Aba -> ACL:

Em Allowed subnets, insira sua rede como:

Page 6: Configurando Squid3-Dev Com Filtro SSL-https Pfsense

Salve!

Lembrando que é necessário que a opção Allow IPv6 esteja ativa em: Sytem -> advanced -> Networking -> Allow IPv6.

Agora vamos realizar alguns bloqueios, em Service -> proxy server -> ACL -> Blacklist, insira os domínios dos sites bloqueados, exemplo: youtube.com, facebook.com.

Para realizar o teste, pegue algum computador que esteja no mesmo range e com o Pfsense como gateway e teste acessando alguns sites.

Você vai perceber que ao acessar algum site bloqueado na blacklist com https, vai aparecer uma mensagem estranha, é necessário adicionar o certificado que criamos no inicio nos navegadores.

Primeiro baixe o certificado em System -> cert manager -> no certificado criado clique o botão “export CA cert” será feito o download.

Feito download vamos instalar, clique em abrir:

Page 7: Configurando Squid3-Dev Com Filtro SSL-https Pfsense

Instalar certificado, Avançar:

Selecione colocr todos os certificados no armazenamento.. -> Autoridade de certificação raiz confiável.

Page 8: Configurando Squid3-Dev Com Filtro SSL-https Pfsense

Avançar e concluir.

Para você ter certeza que está tudo certo, deverá aparecer a seguinte mensagem no final da instalação:

Aparecendo clique em Sim para finalizar.

Para ter certeza que o certificado instalou corretamente verifique no navegador, exemplo Internet explorer se o certificado se encontra em:

Ferramentas -> opções da internet -> Conteúdo -> Certificado -> Autoridades de certificação de raiz confiável, tem que estar aqui.

No Firefox é preciso adicionar manualmente em: Ferramentas -> opções -> Avançado -> Certificados -> Certificados -> Autoridades -> Importar, selecione o certificado CA do Pfsense.

Vai aparecer a seguinte mensagem:

Marque todas as opções e clique em OK.

Page 9: Configurando Squid3-Dev Com Filtro SSL-https Pfsense

Para testarmos o bloqueio, faça um acesso a algum site Https bloqueado na blacklist, deverá aparecer a mensagem de bloqueio do squid3.

Obs: O único site que tive problema para abrir foi o gmail.com, para solucionar, insira o domínio na whitelist do squid.