Vlákno názorů k článku Firewall pfSense: webová proxy se Squid od me - Otazka je, jak velky vyznam ma dnes web...
-
me (neregistrovaný)
Otazka je, jak velky vyznam ma dnes web proxy, kdyz se vsechny web servery prepinaji do SSL modu (HTTPS). Nemam nic proti web proxy na domacim fiirewalu, mam takovou proxy uz leta. Jen chci naznacit, ze stale vice komunikace dnes probiha sifrovane pres SSL a v tom pripade je web proxy mimo hru. Nebo ne?
Leda ze by se to zkombinovalo treba s mitmproxy, ktera sifrovane spojeni ukonci jiz na firewalu; nevim, zda je to mozne, pripadne jak je takove reseni slozite a zda vubec takove reseni chceme...
-
Smysl to stále má. V podnicích nastavíte využívání proxy pomocí politik domény. Proxy pak umí filtrovat i HTTPS, protože cílovou adresu zná ze SNI (ta jde nešifrovně). Proxy sice neumí do provozu zasáhnout, ale může ho zablokovat.
Kromě firem, je typické použití např. na prodejnách. Tam mají prodavačky přístup do internetu např. kvůli poště, firemnímu webu či produktovým webům. Veškerou ostatní komunikaci mají zamezenou.
-
Mitm je prave dost casto pouzivana vec, i treba ESET antivir stejne zkouma https provoz. Ono moc jinych moznosti neni. Navod treba zde:
https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense -
Lol Phirae (neregistrovaný)
Ten návod je poněkud obstarožní, hlavně proboha netahejte do pfSense žádné PBI balíčky, ten zmetek už se dávno nepoužívá (horší nápad než ty PBI dlouho nikdo nevymyslel, příšerná zabugovaná věc, naprostý omyl...)
Krom toho, pokud si v GUI vyberete "Splice All", tak není třeba nikde importovat žádné certifikáty - pokud se vám jedná jen o blokování domén apod. a ne o vrtání se v obsahu, tak to funguje transparentně.
-
dizzy (neregistrovaný)
Ono to v korporatnych prostrediach, pokial viem, funguje tak, ze sa cez centralnu spravu kazdej stanici naimportuje nova certifikacna autorita a tympadom proxy vidi aj do ssl komunikacie bez toho, aby to beznych uzivatelov nejako vyraznejsie vyrusovalo.
Neviem, ci by si take riesenie chcel...
ČLÁNKY DO MAILU