[MASOCH-L] Proxy para HTTPS
Leonardo Rodrigues
leolistas at solutti.com.br
Mon Jun 29 15:21:12 -03 2009
Alexandro Corrêa - SulSoft escreveu:
> Caros colegas,
>
> Utilizo squid como proxy transparente em minha rede. Na configuração
> atual não consigo estabelecer conexões HTTPS (443) pelo proxy, pois ao
> redirecionar a porta 443 para 3128 ocorre erro quando tento acessar
> qualquer site HTTPS. Por enquanto as solicitações de conexão HTTPS
> estão passando diretamente para a web (sem controle e sem registros -
> apenas registro no log de iptables).
>
> Gostaria de uma dica de como registrar e controlar os acessos a sites
> em HTTPS (porta 443) de preferência de forma transparente?
>
resposta curta: impossível.
resposta mais elaborada: a interceptação de uma conexão HTTPS é
identificada, pelo navegador, como um ataque do tipo man-in-the-middle.
Afinal de contas, a interceptação é exatamente isso. A criptografia
HTTPS é prevista pra ser feita fim-a-fim, ou seja, pelas 2 pontas
envolvidas e não por alguma coisa no meio do caminho.
Para que as conexões HTTPS passem pelo squid, os navegadores terão
que saber da existência do mesmo e encaminhar as conexões pra ele.
Faça isso:
1) configurando manualmente os navegadores;
2) configurando a detecção automática através dos WPADs da vida e
certifique-se que a opção 'detectar configurações automaticamente' está
marcada nos navegadores;
3) publique a configuração do proxy através da GPO, caso estejamos
falando de uma rede corporativa. Isso servirá somente para os clientes
Windows que logam-se no dominio e não afeta os demais.
Depois de feito tudo isso, bloqueie o tráfego HTTPS no iptables,
obrigando assim que ele passe exclusivamente pelo squid. Quem reclamar,
oriente à configurar o navegador.
Não existe forma de interceptar completamente transparente HTTPS
assim como existe para o HTTP. E se mexer na configuração dos
navegadores não for opção, então desencane e deixe passar pelo iptables.
Não existe outra opção.
--
Atenciosamente / Sincerily,
Leonardo Rodrigues
Solutti Tecnologia
http://www.solutti.com.br
Minha armadilha de SPAM, NÃO mandem email
gertrudes at solutti.com.br
My SPAMTRAP, do not email it
More information about the masoch-l
mailing list