[CentOS-es] Pregunta bloqueo sitios https

Ricardo J. Barberis ricardo en palmtx.com.ar
Mar Mayo 15 20:48:30 UTC 2018 

El Martes 15/05/2018 a las 16:01, angel jauregui escribió:
> @Ricardo de hecho no necesitaban hacer eso en tu caso, podrian redirigir
> ese trafico y evitar configurar cada equipo.

No, si rediriges HTTPS al proxy se rompe el protocolo SSL, y no tenemos CA 
propia para interceptar tráfico HTTPS (e igual tendríamos que instalar el 
certificado raiz de nuestra CA en todos los navegadores).

Para HTTP plano sí interceptamos todo el tráfico y lo pasamos a squid de forma 
transparente.

> @Cesar la verdad seria paranoico configurar cada navegador, en ambiente
> corporativo o de Mediana/Grande Empresa lo mas coherente es buscar una
> alternativa, ademas colocarlo como intermediatio (es un MITM), y tendrias
> un 2do vector de ataque. Yo te recomendaria sacar el CIDR y hacer ese
> proceso manual la primera vez.
>
> Saludos
>
> El 15 de mayo de 2018, 10:22, Ricardo J. Barberis <ricardo en palmtx.com.ar>
>
> escribió:
> > En $TRABAJO directamente bloqueamos el puerto 443 y configuramos el proxy
> > HTTPS en los navegadores, de esta forma el filtrado en squid sigue
> > funcionando igual que para HTTP (que sigue pasando por squid pero de
> > forma transparente).
> >
> > El Martes 15/05/2018 a las 10:14, César Martinez M. escribió:
> > > Buen día amigos espero todos se encuentren bien, como saben varios
> > > sitios han implementado ya certificados ssl para sus sitios gratuitos o
> > > pagados para dar mejor seo a los mismos, esto a perjudicado el bloqueo
> > > que se realizaba con squid ya que squid no filtra este tipo de sitios.
> > >
> > > He estado usando iptables para bloquear ciertos sitios https pero se
> > > vuelve una tarea complicada filtrar todos los sitios de pornografía,
> > > descargas y más ya que antes con squid solo al crear una acl con
> > > palabras filtraba esto.
> > >
> > > La pregunta es alguien tiene alguna sugerencia o solución para este
> > > cambio drástico de filtrado.
> >
> > --
> > Ricardo J. Barberis
> > Usuario Linux Nº 250625: http://counter.li.org/
> > Usuario LFS Nº 5121: http://www.linuxfromscratch.org/
> > Senior SysAdmin / IT Architect - www.DonWeb.com
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > https://lists.centos.org/mailman/listinfo/centos-es



-- 
Ricardo J. Barberis
Usuario Linux Nº 250625: http://counter.li.org/
Usuario LFS Nº 5121: http://www.linuxfromscratch.org/
Senior SysAdmin / IT Architect - www.DonWeb.com

Más información sobre la lista de distribución CentOS-es