The pfSense Store

Author Topic: [SOLUCIONADO] PROBLEMAS CON FILTRO WEB  (Read 200 times)

0 Members and 1 Guest are viewing this topic.

Offline klausneil

  • Full Member
  • ***
  • Posts: 258
  • Karma: +4/-2
    • View Profile
[SOLUCIONADO] PROBLEMAS CON FILTRO WEB
« on: September 12, 2017, 05:52:04 pm »
Saludos, actualmente acabo de implementar el filtrado web en https con proxy transparente, todo abda bien y respecta las reglas, el problema es que cuando accedo a cualquier pagina de una entidad bancaria me aparece este error:

ERROR

The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: https://148.244.45.125/*

Failed to establish a secure connection to 148.244.45.125

The system returned:

(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.

Your cache administrator is admin@localhost.


Cree una lista blanca en el Squid y nada, cree una lista de exclusion para el Squidguard pero nada, alguien podra darme una mano.
« Last Edit: September 13, 2017, 10:03:05 pm by klausneil »

Offline j.sejo1

  • Full Member
  • ***
  • Posts: 240
  • Karma: +30/-2
    • View Profile
Re: PROBLEMAS CON FILTRO WEB
« Reply #1 on: September 12, 2017, 07:14:04 pm »
Al ser lista Blanca.

Que tal si te creas un alias con esas IP por ejemplo llamada: Bancos

Y luego la colocas en la configuración del proxy transparente en la sección:

"Bypass Proxy for These Destination IPs"

Y te quitas el lío de los certificados con la técnica "SSL Man In the Middle Filtering" que aveces hecha broma, sobretodo en las paginas bancarias que tienen opciones de seguridad en la mayoría de los casos avanzadas.






 

Offline klausneil

  • Full Member
  • ***
  • Posts: 258
  • Karma: +4/-2
    • View Profile
Re: PROBLEMAS CON FILTRO WEB
« Reply #2 on: September 12, 2017, 09:20:47 pm »
Excelente amigo muchas gracias me sirvio, una consulta es normal que los certificados validados con icono verde sean ahora rojos? esto mejoraría o fuera mas transparente si trabajara con un active directory y el proxy de manera autenticada? y por ultimo sabes mas o menos que tipo de filtrado manejan los bancos para que ocurran estas incidencias?

P.D= Todo trabaja ok sobre Chrome pero tengo problemas con firefox, se tiene que cargar el certificado en cada navegador?

« Last Edit: September 12, 2017, 09:36:04 pm by klausneil »

Offline j.sejo1

  • Full Member
  • ***
  • Posts: 240
  • Karma: +30/-2
    • View Profile
Re: PROBLEMAS CON FILTRO WEB
« Reply #3 on: September 13, 2017, 07:50:08 am »
1) Respecto a lo de los certificados, con iconos verdes o rojos, la advertencia que te da el navegador es que tienes un certificado por delante que no es el original del servidor destino, esto es por la técnica de "Hombre en el Medio", por eso instalar un certificado en cada navegador que te da el proxy para la cadena de confianza.

2) Para autenticar, sea por AD u OpenLdap,  el proxy deja de ser transparente, en resumen:  Proxy Transparente= No Autentica.    Proxy NO transparente= Si autentica.

Con el Proxy No transparente, solventas el lio del https:  si vas a bloquear loquesea.com  sea mediante http o https.  La desventaja?  El despliegue:  si son 500 usuarios son 500 maquinas que debes configurar proxy, al menos que tengas un AD y despliegues una GPO o con WPAD,  Yo en mi experiencia prefiero ir a lo lento pero seguro, y planifico un despliegue progresivo y luego cuando todos estan migrados, cierro el chorro.  Quien no navegue, es por que no tiene proxy configurado.  Tambien esto ayuda a mejorar el uso de tu enlace.

Cuando un proxy es Transparente,  todo pasa por la Red buscando internet (windows update, antivirus, dns, skype, programas etc etc etc) Cuando cierras ese chorro, la unica salida es por el proxy. 

3) Los bancos implementan seguridad "porl o general" avanzadas en sus servidores Web con HTTPS,  eso lo hacen con Apache, IIS, Ngix, Webshpere, tomcat, jboss, etc etc etc).

Ellos pueden colocar reglas para evitar técnicas de "hombre en el medio" a nivel de SSL. 

Tanto asi: que por ej a nivel de Apache tu puedes crear una regla: que el acceso a tu pagina Web. debe ser única y exclusivamente escribiendo la url directa en el navegador,  es decir que si la buscar por google al darle click al link, no vas a entrar (paranoia).

Pero bueno ya son temas fuera de pfsense.

Saludos.


Offline klausneil

  • Full Member
  • ***
  • Posts: 258
  • Karma: +4/-2
    • View Profile
Re: PROBLEMAS CON FILTRO WEB
« Reply #4 on: September 13, 2017, 07:42:28 pm »
Listo doc muchas gracias por el aporte nos vemos suerte.