Controle de banda por usuário filtrando https sem instalar certificado

marsiba
(usa Debian)

Enviado em 17/09/2018 - 00:37h

Boa noite, já procurei em vários sites sobre Linux e não achei uma forma de fazer o controle de banda do tráfego https, sem a necessidade de instalar certificado em cada máquina cliente.
Uso dhcp e não sei quem vai se conectar na minha rede, pode ser qualquer pessoa que esteja no local naquele momento.
Vi algumas soluções que falam para instalarmos certificados nas máquinas clientes, mas isso não é possível de ser feito, como já expliquei anteriormente.
Não existe alguma solução que consiga fazer o controle de banda por usuário desta forma, sem certificados ?
E que logicamente consiga limitar todo o tráfego, inclusive https.

renato_pacheco
(usa Debian)

Enviado em 17/09/2018 - 10:21h

Não tem como. Pra vc entender q não é possível, entenda primeiro como funciona cadeia de certificado digital. É impossível vc descriptografar um dado sem a chave privada, entende (criptografia, chaves assimétricas). Mas há diversas formas de vc entregar o certificado para o cliente sem q vc precise ir manualmente nas máquinas dos mesmos. Se esses usuários estiverem no domínio, por exemplo, vc pode forçar o AD a instalar o certificado nas máquinas sem a intervenção dos usuários.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

marsiba
(usa Debian)

Enviado em 17/09/2018 - 14:31h

O problema é que os meus usuários usam celular. Não sei se funciona da mesma forma "forçar" a instalação dos certificados em pcs e celulares.
Não gostaria de pedir para instalar nada no celular do cliente, apenas limitar sua conexão quando estiver conectado em minha rede.
Nem limitando toda a rede eu consigo fazer o controle, limito toda a rede para 500kbps e mesmo assim os sites https passam do limite, usando toda a banda disponível.
Como os provedores fazem isso? Qual recurso posso usar? O provedores conseguem limitar individualmente seus clientes, não podemos fazer igual?

renato_pacheco
(usa Debian)

Enviado em 17/09/2018 - 17:52h

Vamos lá! Primeiramente, se os dispositivos são celulares, pode esquecer o lance de instalar o certificado no celular. É até possível, porém muitos aplicativos, mesmo vc querendo forçar o seu certificado, eles não aceitam (veja Certificate Pinning no Google).
Sobre restringir a banda, não use squid para tal. Use o famoso tc.

https://netbeez.net/blog/how-to-use-the-linux-traffic-control/
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

marsiba
(usa Debian)

Enviado em 17/09/2018 - 21:00h

Em relação ao squid como cache, ele armazena os arquivos de sites acessados via https normalmente como acontece com sites http?
Resumindo, como cache ele funciona normalmente em http e https?

renato_pacheco
(usa Debian)

Enviado em 18/09/2018 - 09:49h

Vamos raciocinar aqui: se a conexão está criptografada (o squid não sabe o conteúdo) como ele vai fazer cache? Então o cache só funciona em sites http e mais em conteúdo estático (CDN, por exemplo).

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

marsiba
(usa Debian)

Enviado em 19/09/2018 - 00:59h

Sinceramente, acho que nem compensa usar o squid hoje em dia.
As navegações pesadas, que contém vídeo, são feitas em sites como youtube, instagram ... e todos eles são https.
Sites de jornalismo e conteúdo como globo.com, uol.com.br ... são https.
Não vejo qualquer vantagem em utilizar o squid, já que quase não haverá arquivos em cache e o controle de banda com delay pool não funciona em https.
Hoje em dia o squid serve pra quê?

renato_pacheco
(usa Debian)

Enviado em 19/09/2018 - 13:25h

Hiuheuihaiueh! Eu ri, mas vc tem total razão. A gente está tentando se livrar do cache (ou diminuí-lo drasticamente), mas usamos o squid para realizar a autenticação no LDAP e restringir alguns acessos à nossa rede. No seu caso, não vejo necessidade de usar squid, apenas de restringir a banda com o tc, já mencionado acima.

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh