Page 1 sur 1

[CLOS] Problème PfSense/SquidProxy/SSL

Publié : ven. 25 déc. 2020 14:12
par Ryu_wm
Bonjour.

J'utilise PfSense 2.4.5 à jour.
En package j'utilise Squid Proxy Server.
Quand je je regarde /services/SquidProxy Server/Real time je vois à quoi sont connectés les appareils de mon réseau domestique.
Cependant, en real time et en LightSquid Report ceci ne capture que le HTTP.
Pour capturer HTTPS j'ai suivi ce tuto : https://notamax.be/proxy-transparent-sous-pfsense/

ça fonctionne très bien, je peux monitorer tout traffic https

OUI MAIS

au fur et à mesure de notre navigation, on se rend compte que google.com, Gmail, Facebook, messagerie Bouygues, et la liste s'allonge, ne répondent plus.

Selon le navigateur j'ai un message de SSL invalide ou trop long !
vider le cache du navigateur n'y fait rien, générer un nouveau CA pour Squid à la taille minimum de 1024 en SHA256 non plus.

J'ai lu une astuce qui semble fonctionner pour certains sites : transformer l'adresse url httpS://truc.com en http://truc.com:443
cela semble générer une sorte d'apprentissage de Squid ou des navigateurs, et au bout d'un moment httpS://truc.com fonctionne.
Sauf que 1° ce n'est pas systématique 2° pas user friendly

Qui utilise cette solution et pourrait me conseiller SVP ?
:jap:

Re: Problème PfSense/SquidProxy/SSL

Publié : mar. 29 déc. 2020 10:29
par Ryu_wm

Re: Problème PfSense/SquidProxy/SSL

Publié : jeu. 31 déc. 2020 01:46
par Albat!
Sur du Fortinet tu ferais du certificate inspection seulement (levée du certificat pour consulter l'autorité émettrice et autoriser ou non le trafic), je pense que squid sait le faire, et que ton article source n'est pas bon (puisqu'il suggère de faire du Deep Packet Inspection, que la plupart des sites HSTS n'apprécient pas, et bloquent la connexion).

Re: Problème PfSense/SquidProxy/SSL

Publié : ven. 1 janv. 2021 11:25
par Ryu_wm
:jap:
L'interlocuteur que j'ai sur le forum Netgate n'apprécie pas non plus cette méthode.
Il m'a conseillé le package Ntop, oui c'est pas mal mais le gros défaut c'est que c'est du temps réel uniquement, contrairement à Squid qui faire du rapport a posteriori, ce qui est mieux pour l'analyse.

Re: Problème PfSense/SquidProxy/SSL

Publié : sam. 2 janv. 2021 00:25
par Albat!
Il a pas fondamentalement tort quand il évoque les inconvénients du cassage HTTPS, c'est à cause de ça que HSTS a été inventé (parce que c'est typiquement une interception mitm).

Mais pour faire de l'analyse sur des requêtes applicatives (en 443 ou non), tu es obligé, la plupart des équipements UTM du marché te disent que "gneu ça marche pas, ya pas de DPI, on peut pas sécuriser correctement (en mode NSA / on voit tout)" ce qui va devenir de moins en moins possible, le HSTS va forcément reporter (de nouveau) la sécurité au niveau du poste de travail, et il va falloir œuvrer avec des outils H-IDS/IPS, qui ne sont pas (ou difficilement), pour une solution sur étagère, accessible au particulier - dont on voudrait qu'il se soucie de sa sécurité, mais avec une box et Avast.

Re: Problème PfSense/SquidProxy/SSL

Publié : sam. 2 janv. 2021 17:39
par Ryu_wm
Et pendant ce temps là SolarWinds se fait hacker ^^.

Re: Problème PfSense/SquidProxy/SSL

Publié : sam. 2 janv. 2021 21:16
par Dodo29
J’ai vécu le DPI dans les sessions RDP qui foutait la merde et le service sécurité de mon client (opéré par ma boîte mais un service différent) qui me tenait tête que non, c’est pas ça qui pose problème.
Au bout d’un an de bataille et en faisant jouer le client directement à un (très) haut niveau (je le connais bien et au bout d’un moment j’en ai eu marre de me battre avec ma propre boite, que j’ai demandé au client d’aller très haut pour m’appuyer) j’ai fini par avoir le dernier mot et en n’activant pas le dpi et ben ... ça marche.

Mais par contre pour les sessions HTTP c’est bluffant comment ça marche bien. Après on voit la manip car tous les sites portent le certificat air*** donc on se doute qu’ils ont ouvert pour voir ce qui passait et ré encapsulé avec leur certificat