Proxy transparente e HTTPS com squid

1

É possível usar um proxy transparente para filtrar alguns domínios sem uma abordagem man-in-the-middle? Eu gostaria de garantir a verificação do certificado e a privacidade do usuário, por outro lado, eu quero negar a conexão com algum domínio.

É possibile com um proxy transparente? É possibile com o squid3?

    
por Tobia 11.11.2014 / 12:54

3 respostas

1

Um proxy transparente, por definição, fica man-in-the-middle. O cliente não sabe que o proxy existe e envia suas solicitações para sites baseados em SSL como TCP SYNs para a porta de destino 443.

Se você especificar o proxy explicitamente, o cliente usará o verbo CONNECT (já que sabe que há um proxy sendo usado), no qual as ACLs (listas de controle de acesso) do Squid podem agir.

Nenhum proxy transparente pode aplicar de maneira confiável o controle de acesso sem executar o intermediário. O melhor que você pode esperar seria atuar sobre o endereço IP de destino que, francamente, só vai lhe dar dores de cabeça, porque você precisará manter constantemente a lista de IPs.

    
por 11.11.2014 / 13:06
2

Como Evan Anderson disse em sua resposta, se você definir manualmente o proxy nos navegadores, eles farão os HTTPs passarem pelo proxy (usando as solicitações CONNECT) e, como o nome do host nessas solicitações é enviado sem criptografia, você poderá aplique ACLs a ele.

No entanto, atualmente não há nada que force os clientes a usar seu proxy; portanto, embora você não possa torná-lo transparente, você pode bloquear todas as conexões HTTP / HTTPS diretas e informar aos usuários que eles devem usar o proxy navegue na web.

    
por 21.11.2014 / 22:03
1

Nós implementamos a filtragem HTTPS com o cache do squid usando o SNI. Funciona bem no modo SSL transparente. As ACLs também são implementadas. Nós integramos o squid box com o Cisco ASA como servidor WCCP e o seu em produção.

    
por 29.08.2017 / 08:41