[MASOCH-L] Proxy para HTTPS

Leonardo Rodrigues leolistas at solutti.com.br
Mon Jun 29 15:21:12 -03 2009


Alexandro Corrêa - SulSoft escreveu:
> Caros colegas,
>
> Utilizo squid como proxy transparente em minha rede. Na configuração 
> atual não consigo estabelecer conexões HTTPS (443) pelo proxy, pois ao 
> redirecionar a porta 443 para 3128 ocorre erro quando tento acessar 
> qualquer site HTTPS. Por enquanto as solicitações de conexão HTTPS 
> estão passando diretamente para a web (sem controle e sem registros - 
> apenas registro no log de iptables).
>
> Gostaria de uma dica de como registrar e controlar os acessos a sites 
> em HTTPS (porta 443) de preferência de forma transparente?
>

    resposta curta: impossível.

    resposta mais elaborada: a interceptação de uma conexão HTTPS é 
identificada, pelo navegador, como um ataque do tipo man-in-the-middle. 
Afinal de contas, a interceptação é exatamente isso. A criptografia 
HTTPS é prevista pra ser feita fim-a-fim, ou seja, pelas 2 pontas 
envolvidas e não por alguma coisa no meio do caminho.

    Para que as conexões HTTPS passem pelo squid, os navegadores terão 
que saber da existência do mesmo e encaminhar as conexões pra ele.

    Faça isso:

1) configurando manualmente os navegadores;
2) configurando a detecção automática através dos WPADs da vida e 
certifique-se que a opção 'detectar configurações automaticamente' está 
marcada nos navegadores;
3) publique a configuração do proxy através da GPO, caso estejamos 
falando de uma rede corporativa. Isso servirá somente para os clientes 
Windows que logam-se no dominio e não afeta os demais.

    Depois de feito tudo isso, bloqueie o tráfego HTTPS no iptables, 
obrigando assim que ele passe exclusivamente pelo squid. Quem reclamar, 
oriente à configurar o navegador.

    Não existe forma de interceptar completamente transparente HTTPS 
assim como existe para o HTTP. E se mexer na configuração dos 
navegadores não for opção, então desencane e deixe passar pelo iptables. 
Não existe outra opção.



-- 


	Atenciosamente / Sincerily,
	Leonardo Rodrigues
	Solutti Tecnologia
	http://www.solutti.com.br

	Minha armadilha de SPAM, NÃO mandem email
	gertrudes at solutti.com.br
	My SPAMTRAP, do not email it







More information about the masoch-l mailing list