>Csak még mindíg azt nem tudom hogy squid3 cacheeli is a https
veblapokat, vagy csak szűrni tudja?
MITM (ssl bump) esetén cachelni is tudja mert teljesen rálát a forgalomra.
Splice esetén NEM. Akkor az ssl tunnel miatt a squid nem látja a
forgalmat és nem tud cachelni sem. Ez úgy kell felfogni, hogy mintha ott
sem lenne a proxy, csak átmegy rajta minden ssl forgalom szűrés és cache
nélkül.
>Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán
bejelentkezek a netbankba, miközben "man in the middle" van:)
Normális működés, ugyanis te kivételt adtál a rendszeredhez, hogy
elfogadod a hibás tanusítványt + importáltad root CA ként a proxy
tanúsítványt. A böngésző szót fogad ennyi:
A bank és a proxy között teljesen megbízható ssl kapcsolat van>>>
"ennyit lát a bank"
A proxy meg röptében generál egy tanúsítványt és azzal titkosítja a
banktól jövő forgalmat, amit elküld neked.
A böngésző meg először hisztizik, de ha kivételt adsz hozzá + a proxy
hitelesítő tanúsítványt is importálod a rendszerbe mint "megbízható
legfelső szintű hitelesítési szolgáltató" akkor miért nem kéne működjön
a bank oldal??
SSL proxynak véleményem szerint nincs értelme, ha mindent "splice" olni
akarsz. Ez arra van, hogy kivételeket adj a proxydhoz: banki oldalakat,
paypal stb nem akarod MITM-elni, de a többit igen.
Vagy a rendszergazdának minden ssl háborítatlan, a többieknek meg BUMP.
stb.
Ezeket a kivételeket sokkal rugalmasabban lehet kezelni saját fordítású
squid-en és nem kell agyon kalapálni a pfsense-t. ( egy szövegszerkesztő
kell hozzá meg egy kis logika :) )
A pfsense white list rendszere nekem nem működött rendesen és nem
szórakoztam vele.
A saját rendszeren jóval bonyolultabb/rugalmasabb listarendszert
csináltam bele:
Beletettem a csengetési rendet és pl szünetben van facebook, órán nincs stb.
Tanároknak splice
Diákoknak bump kivételekkel
Tanfolyamokon speciális splice lista ( join.me, stb. )
2018. 02. 28. 11:26 keltezéssel, Horváth Péter írta:
Első ránézésre nem rossz a PFSense. Főleg ha nem szeretnék VI
editorral konfig fájlokat matatni,
pl amikor egy wifi usert hozzáadok a radiushoz.
Nyilván én csak a tantermi tanulói gépeket szeretném ezzel proxyzni,
és csak ismerkedek a témával.
A squidguard tartalomszűrés csak ráadás. Csak azért telepítettem mert
szembejött a lehetőség.
A tartalom szűrésre a DNS alapú ingyenes megoldás is elég lenne, mivel
nincs semmi előírva.
A tanulói gépeken tiltva van a windows update, és a vírusirtó
frissítés, mert Radix vagy deepfreeze van a gépeken.
Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán
bejelentkezek a netbankba, miközben "man in the middle" van:)
és közben zölden virít a lakat a firefoxban. Így mi értelme van az
egész SSL dolognak.?
Csak még mindíg azt nem tudom hogy squid3 cacheeli is a https
veblapokat, vagy csak szűrni tudja?
2018.02.28. 9:28 keltezéssel, Fehér Sándor írta:
Üdv!
>A tárgybelivel kísérletezek, próbálom elkerülni a squid3
fordításával kapcsolatos macerát.
Elsőre én is így próbálkoztam, saját fordítás lett a vége :)
>Az első estben kell saját készítésű CA tanusítványt telepíteni a
kliensekre, hogy megnyissa a https oldalakat,
a 2. esetben nem.
Igen, az első eset az SSL-BUMPING, akkor mindenképpen kell
tanúsítvány a kliens gépekre.
Nálam ez a whitelist dolog NEM AKART működni, ide a fórumra is írtam,
de sajnos nem kaptam választ. ( gondolom nem sokan használják a
pfsense-t)
Végül egy linuxakadémiás videót megvásároltam és az alapján + skf
összekalapáltam a saját squid-et clamav-al és squidguard-al. Host os
a 16.04 ubuntu szerver lett. (vm ként fut proxmox-on)
Mai napig szüperül működik, javaslom neked is ezt a módszert.
//Az ssl filterezésnél a windows update-el és víruskeresők online
frissítésével lehet gondod, de elviekben van ezekre is megoldás. //
2018. 02. 28. 9:17 keltezéssel, Horváth Péter írta:
Sziasztok!
A tárgybelivel kísérletezek, próbálom elkerülni a squid3
fordításával kapcsolatos macerát.
Ezek mind elérhetők a pfsense package managerben, és viszonylag
működik is elsőre.
(Kivéve ha bekapcsolom a "Enable Squid antivirus check using
ClamAV." funkciót, de ez most nem lényeges.)
Egy youtube-os video alapján beállítottam ezt blacklist url-nek:
http://www.shallalist.de/Downloads/shallalist.tar.gz így ezzzel
működik.
És nem mellékes, hogy a freeradius is működik első próbálkozásra
WPA Enterprise-hez.
Van amit nem értek:
Az "SSL Man In the Middle Filtering" "SSL/MITM Mode" résznél van
ilyen beállítás hogy:
"Splice Whitelist, Bump Otherwise"
vagy
"Splice All"
Az első estben kell saját készítésű CA tanusítványt telepíteni a
kliensekre, hogy megnyissa a https oldalakat,
a 2. esetben nem.
Squidguard esetén a 2.-at kell választani a megjelenő help szöveg
szerint.
A squidguard mindkét esetben ugyanúgy megakadályozza a tiltott https
oldalak megnyitását csak a hibaüzenet máshogy néz ki.
egyik estben sem normális hibaüzenet, hanem valami névfeloldással
vagy SSL problémával kapcsolatos.
De a kérdésem az, hogy ha nem kell tanusítvány a kliensekre, mert a
"splice all" -t választottam,
akkor nem is cache-eli a https weboldalakat? Vagy mi a hátránya ennek?
vagy azt sehogy sem csinálja?
Kösz,
Péter
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/