[MASOCH-L] RES: Proxy para HTTPS

Renato Frederick frederick at dahype.org
Mon Jun 29 20:30:58 BRT 2009 

Já discutimos isto na FUG(ou foi GTER?) tem produtos comerciais que fazem um man in the middle e você consente, ou seja, aplica uma Police ao AD ou configura manualmente o navegador para aceitar a disparidade de certificados.

Creio que com o squid isto possa funcionar(já que as soluções comerciais tem muita coisa herdada do squid), mas SEMPRE seu cliente, para qq conexão segura será informado que o certificado que ele está recebendo não é o original.


Dá uma procurada no histórico da FUG ou da GTER, foi em uma das duas que estas soluções foram discutidas.

Abraços


> -----Mensagem original-----
> De: masoch-l-bounces at eng.registro.br [mailto:masoch-l-
> bounces at eng.registro.br] Em nome de Leonardo Rodrigues
> Enviada em: segunda-feira, 29 de junho de 2009 15:21
> Para: Mail Aid and Succor, On-line Comfort and Help
> Assunto: Re: [MASOCH-L] Proxy para HTTPS
> 
> Alexandro Corrêa - SulSoft escreveu:
> > Caros colegas,
> >
> > Utilizo squid como proxy transparente em minha rede. Na configuração
> > atual não consigo estabelecer conexões HTTPS (443) pelo proxy, pois
> ao
> > redirecionar a porta 443 para 3128 ocorre erro quando tento acessar
> > qualquer site HTTPS. Por enquanto as solicitações de conexão HTTPS
> > estão passando diretamente para a web (sem controle e sem registros -
> > apenas registro no log de iptables).
> >
> > Gostaria de uma dica de como registrar e controlar os acessos a sites
> > em HTTPS (porta 443) de preferência de forma transparente?
> >
> 
>     resposta curta: impossível.
> 
>     resposta mais elaborada: a interceptação de uma conexão HTTPS é
> identificada, pelo navegador, como um ataque do tipo man-in-the-middle.
> Afinal de contas, a interceptação é exatamente isso. A criptografia
> HTTPS é prevista pra ser feita fim-a-fim, ou seja, pelas 2 pontas
> envolvidas e não por alguma coisa no meio do caminho.
> 
>     Para que as conexões HTTPS passem pelo squid, os navegadores terão
> que saber da existência do mesmo e encaminhar as conexões pra ele.
> 
>     Faça isso:
> 
> 1) configurando manualmente os navegadores;
> 2) configurando a detecção automática através dos WPADs da vida e
> certifique-se que a opção 'detectar configurações automaticamente' está
> marcada nos navegadores;
> 3) publique a configuração do proxy através da GPO, caso estejamos
> falando de uma rede corporativa. Isso servirá somente para os clientes
> Windows que logam-se no dominio e não afeta os demais.
> 
>     Depois de feito tudo isso, bloqueie o tráfego HTTPS no iptables,
> obrigando assim que ele passe exclusivamente pelo squid. Quem reclamar,
> oriente à configurar o navegador.
> 
>     Não existe forma de interceptar completamente transparente HTTPS
> assim como existe para o HTTP. E se mexer na configuração dos
> navegadores não for opção, então desencane e deixe passar pelo
> iptables.
> Não existe outra opção.
> 
> 
> 
> --
> 
> 
> 	Atenciosamente / Sincerily,
> 	Leonardo Rodrigues
> 	Solutti Tecnologia
> 	http://www.solutti.com.br
> 
> 	Minha armadilha de SPAM, NÃO mandem email
> 	gertrudes at solutti.com.br
> 	My SPAMTRAP, do not email it
> 
> 
> 
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list