Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 18
«Береги корневые сертификаты смолоду» © народная мудрость
нет возможности проверить ssl трафик антивирусной программой
какие мы заботливые…
p.s.
./chrome --no-running-insecure-content --no-displaying-insecure-content
Десктопным браузерам можно подсунуть корневой сертификат, а как быть с другим П.О., Айосами и Андроидами?
Например, Dropbox при таком варианте не работает.
Например, Dropbox при таком варианте не работает.
Для iOS есть iPhone Configuration Utility, которая умеет добавлять корневые CA, настраивать профили VPN и делать подобные вещи. Для Android должно быть что-то похожее.
А небезопасный софт можно запретить либо использовать более навороченный DPI.
А небезопасный софт можно запретить либо использовать более навороченный DPI.
Это ключи для VPN, доступ к корневым сертификатам получить сложнее, для android надо потрошить прошивку и менять там 1 файл.
Тут пишут, что в 4.0 появился мастер импорта сертификатов.
У меня при таком варианте не работает Dropbox, qip — icq и есть проблема с фесбуком на Mozilla (на хроме работает нормально), а на планшете под Android почему-то не открывается gmail.com, но работает фейсбук.
Я так понимаю Dropbox нужно пускать мимо squid?
Я так понимаю Dropbox нужно пускать мимо squid?
Подскажите, Squid умеет проверять https-трафик в прозрачном режиме, а не только в режиме прокси?
Я не далал такой настройки, но по идее squid должен уметь это делать через iptables.
Похоже не умеет:
serverfault.com/questions/369829/setting-up-a-transparent-ssl-proxy
serverfault.com/questions/369829/setting-up-a-transparent-ssl-proxy
Хорошая статья.
Порты в прокси лучше разнести, т.к были замечены глюки/ошибки загрузок страниц, и сквидовские сообщения loop-detected, например так:
Ещё добавлю — проксирование без подмены сертификата (и соответственно заморочки с установкой пользователям
самописного сертификата) можно избежать, если прописать
ssl_bump none
В этом случае генерация сертификата и его подмена производится не будет, и сквид просто пропустить HTTPS-соединение.
Для сгенерированных сертификатов актуальная опция:
ssl_bump server-first all # Для того, чтобы в CN был домен, а не IP
Прозрачное проксирование работает нормально, к примеру, для freebsd остаточно строк:
А вот с фильтрацией https-трафика в этом году возникла новая неприятная ситуация. Оригинал:
=== выдержка из документации сквида ===
Примерный перевод:
Некоторые браузеры отправляют IP-адреса в запросы на подключение, даже если пользователь ввел имя сервера (url — не ip) в адресной строке. Ничего не можем с этим поделать, т.к мы не отвечаем за исходный код браузеров.
Оригинал:
Some browsers (e.g., Rekonq browser v0.7.x) send IP addresses in CONNECT requests even when the user typed a host name in the address bar. Squid cannot handle both such browsers and URLs with IP addresses instead of host names because Squid cannot distinguish one case from another. There is nothing we can do about it until somebody contributes code to reliably detect CONNECT requests from those «unusual» browsers.
=== выдержка из документации сквида ===
И эти «некоторые браузеры» — это все современные (хром, ie11 и прочие) просто перестали обращатся в сайтам по доменному имени, передавая в строке не URL, а исключительно IP :(
Соответственно, если мы хотим запретить, например, вход на mail.ru по домену — то мы можем это сделать только для пользователей с Win XP, и максимально IE8.
Пример из лога сквида (вырезка 1 строчки из входа на mail.ru):
=== https-запрос от пользователя на XP с IE8 ===
1409725807.296 317 192.168.21.6 TCP_MISS/200 341 CONNECT rs.mail.ru:443 — HIER_DIRECT/94.100.181.196 — === https-запрос от пользователя на XP с IE8 ===
=== https-запрос от пользователя на XP с IE11 ===
1409733165.939 2034 192.168.21.77 TCP_MISS/200 1392 CONNECT 94.100.181.196:443 — HIER_DIRECT/94.100.181.196 — === https-запрос от пользователя на XP с IE11 ===
Возможно здесь кто подскажет, как выкрутится из ситуации?
Порты в прокси лучше разнести, т.к были замечены глюки/ошибки загрузок страниц, и сквидовские сообщения loop-detected, например так:
http_port local_ip:3128
http_port local_ip:3129 intercept
https_port local_ip:3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/tmp/squid.pem key=/tmp/squid.pem
Ещё добавлю — проксирование без подмены сертификата (и соответственно заморочки с установкой пользователям
самописного сертификата) можно избежать, если прописать
ssl_bump none
В этом случае генерация сертификата и его подмена производится не будет, и сквид просто пропустить HTTPS-соединение.
Для сгенерированных сертификатов актуальная опция:
ssl_bump server-first all # Для того, чтобы в CN был домен, а не IP
Прозрачное проксирование работает нормально, к примеру, для freebsd остаточно строк:
#
ipfw add 50 allow tcp from me to any 80,443 out via ${extif} keep-state uid squid
#http
ipfw add 51 fwd local_ip,3129 tcp from ${lan} to any 80 out via ${extif}
#https
ipfw add 52 fwd local_ip,3130 tcp from ${lan} to any 443 out via ${extif}
А вот с фильтрацией https-трафика в этом году возникла новая неприятная ситуация. Оригинал:
=== выдержка из документации сквида ===
Примерный перевод:
Некоторые браузеры отправляют IP-адреса в запросы на подключение, даже если пользователь ввел имя сервера (url — не ip) в адресной строке. Ничего не можем с этим поделать, т.к мы не отвечаем за исходный код браузеров.
Оригинал:
Some browsers (e.g., Rekonq browser v0.7.x) send IP addresses in CONNECT requests even when the user typed a host name in the address bar. Squid cannot handle both such browsers and URLs with IP addresses instead of host names because Squid cannot distinguish one case from another. There is nothing we can do about it until somebody contributes code to reliably detect CONNECT requests from those «unusual» browsers.
=== выдержка из документации сквида ===
И эти «некоторые браузеры» — это все современные (хром, ie11 и прочие) просто перестали обращатся в сайтам по доменному имени, передавая в строке не URL, а исключительно IP :(
Соответственно, если мы хотим запретить, например, вход на mail.ru по домену — то мы можем это сделать только для пользователей с Win XP, и максимально IE8.
Пример из лога сквида (вырезка 1 строчки из входа на mail.ru):
=== https-запрос от пользователя на XP с IE8 ===
1409725807.296 317 192.168.21.6 TCP_MISS/200 341 CONNECT rs.mail.ru:443 — HIER_DIRECT/94.100.181.196 — === https-запрос от пользователя на XP с IE8 ===
=== https-запрос от пользователя на XP с IE11 ===
1409733165.939 2034 192.168.21.77 TCP_MISS/200 1392 CONNECT 94.100.181.196:443 — HIER_DIRECT/94.100.181.196 — === https-запрос от пользователя на XP с IE11 ===
Возможно здесь кто подскажет, как выкрутится из ситуации?
Подскажите есть ли возможность логировать POST запросы(целиком) в сквиде, особенно в режиме ssl_bumping'a?
К сожалению сертификат приходится менять по сроку его истечения.
Стоит заметить, что если по какой-то причине вы поменяли ваш сертификат для squid'а, то надо полностью очистить каталог /opt/squid/var/lib/ssl_db и заново инициализировать сертификатную базу данных.
Каким образом заново инициализировать сертификатную базу данных?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Squid3 в режиме SSLBump с динамической генерацией сертификатов