[CLOS] Problème PfSense/SquidProxy/SSL

Avatar de l’utilisateur
Ryu_wm
Messages : 5851
Inscription : ven. 12 janv. 2018 17:44
Localisation : Pont l'Abbé d'Arnoult (17)

[CLOS] Problème PfSense/SquidProxy/SSL

Message par Ryu_wm »

Bonjour.

J'utilise PfSense 2.4.5 à jour.
En package j'utilise Squid Proxy Server.
Quand je je regarde /services/SquidProxy Server/Real time je vois à quoi sont connectés les appareils de mon réseau domestique.
Cependant, en real time et en LightSquid Report ceci ne capture que le HTTP.
Pour capturer HTTPS j'ai suivi ce tuto : https://notamax.be/proxy-transparent-sous-pfsense/

ça fonctionne très bien, je peux monitorer tout traffic https

OUI MAIS

au fur et à mesure de notre navigation, on se rend compte que google.com, Gmail, Facebook, messagerie Bouygues, et la liste s'allonge, ne répondent plus.

Selon le navigateur j'ai un message de SSL invalide ou trop long !
vider le cache du navigateur n'y fait rien, générer un nouveau CA pour Squid à la taille minimum de 1024 en SHA256 non plus.

J'ai lu une astuce qui semble fonctionner pour certains sites : transformer l'adresse url httpS://truc.com en http://truc.com:443
cela semble générer une sorte d'apprentissage de Squid ou des navigateurs, et au bout d'un moment httpS://truc.com fonctionne.
Sauf que 1° ce n'est pas systématique 2° pas user friendly

Qui utilise cette solution et pourrait me conseiller SVP ?
:jap:
Dernière modification par Ryu_wm le lun. 4 janv. 2021 10:40, modifié 1 fois.
Avatar de l’utilisateur
Ryu_wm
Messages : 5851
Inscription : ven. 12 janv. 2018 17:44
Localisation : Pont l'Abbé d'Arnoult (17)

Re: Problème PfSense/SquidProxy/SSL

Message par Ryu_wm »

Albat!
Messages : 110
Inscription : mar. 2 juil. 2019 13:30

Re: Problème PfSense/SquidProxy/SSL

Message par Albat! »

Sur du Fortinet tu ferais du certificate inspection seulement (levée du certificat pour consulter l'autorité émettrice et autoriser ou non le trafic), je pense que squid sait le faire, et que ton article source n'est pas bon (puisqu'il suggère de faire du Deep Packet Inspection, que la plupart des sites HSTS n'apprécient pas, et bloquent la connexion).
Avatar de l’utilisateur
Ryu_wm
Messages : 5851
Inscription : ven. 12 janv. 2018 17:44
Localisation : Pont l'Abbé d'Arnoult (17)

Re: Problème PfSense/SquidProxy/SSL

Message par Ryu_wm »

:jap:
L'interlocuteur que j'ai sur le forum Netgate n'apprécie pas non plus cette méthode.
Il m'a conseillé le package Ntop, oui c'est pas mal mais le gros défaut c'est que c'est du temps réel uniquement, contrairement à Squid qui faire du rapport a posteriori, ce qui est mieux pour l'analyse.
Albat!
Messages : 110
Inscription : mar. 2 juil. 2019 13:30

Re: Problème PfSense/SquidProxy/SSL

Message par Albat! »

Il a pas fondamentalement tort quand il évoque les inconvénients du cassage HTTPS, c'est à cause de ça que HSTS a été inventé (parce que c'est typiquement une interception mitm).

Mais pour faire de l'analyse sur des requêtes applicatives (en 443 ou non), tu es obligé, la plupart des équipements UTM du marché te disent que "gneu ça marche pas, ya pas de DPI, on peut pas sécuriser correctement (en mode NSA / on voit tout)" ce qui va devenir de moins en moins possible, le HSTS va forcément reporter (de nouveau) la sécurité au niveau du poste de travail, et il va falloir œuvrer avec des outils H-IDS/IPS, qui ne sont pas (ou difficilement), pour une solution sur étagère, accessible au particulier - dont on voudrait qu'il se soucie de sa sécurité, mais avec une box et Avast.
Avatar de l’utilisateur
Ryu_wm
Messages : 5851
Inscription : ven. 12 janv. 2018 17:44
Localisation : Pont l'Abbé d'Arnoult (17)

Re: Problème PfSense/SquidProxy/SSL

Message par Ryu_wm »

Et pendant ce temps là SolarWinds se fait hacker ^^.
Avatar de l’utilisateur
Dodo29
Messages : 727
Inscription : mer. 24 janv. 2018 19:10
Localisation : Toulouse

Re: Problème PfSense/SquidProxy/SSL

Message par Dodo29 »

J’ai vécu le DPI dans les sessions RDP qui foutait la merde et le service sécurité de mon client (opéré par ma boîte mais un service différent) qui me tenait tête que non, c’est pas ça qui pose problème.
Au bout d’un an de bataille et en faisant jouer le client directement à un (très) haut niveau (je le connais bien et au bout d’un moment j’en ai eu marre de me battre avec ma propre boite, que j’ai demandé au client d’aller très haut pour m’appuyer) j’ai fini par avoir le dernier mot et en n’activant pas le dpi et ben ... ça marche.

Mais par contre pour les sessions HTTP c’est bluffant comment ça marche bien. Après on voit la manip car tous les sites portent le certificat air*** donc on se doute qu’ils ont ouvert pour voir ce qui passait et ré encapsulé avec leur certificat
Répondre