https://wiki.ixheim.de/index.php?action=history&feed=atom&title=LAB_Linux_in_heterogenen_Netzen_Squid_https_aufbrechen 2026-05-15T20:16:58Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=LAB_Linux_in_heterogenen_Netzen_Squid_https_aufbrechen&diff=57642&oldid=prev 2024-10-14T16:21:36Z

<p><span dir="auto"><span class="autocomment">Die squid.conf</span></span></p> <table class="diff diff-contentalign-left diff-editfont-monospace" data-mw="interface"> <col class="diff-marker" /> <col class="diff-content" /> <col class="diff-marker" /> <col class="diff-content" /> <tr class="diff-title" lang="de"> <td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td> <td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version vom 14. Oktober 2024, 16:21 Uhr</td> </tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l83" >Zeile 83:</td> <td colspan="2" class="diff-lineno">Zeile 83:</td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>http_port 3128 ssl-bump cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE</div></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>http_port 3128 ssl-bump cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE</div></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>#transparenter Zugriff unverschlüsselt</div></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>#transparenter Zugriff unverschlüsselt</div></td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>http_port 3129 intercept</div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">#</ins>http_port 3129 intercept</div></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>#transparenter Zugriff verschlüsselt '''wichtig https_port'''</div></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>#transparenter Zugriff verschlüsselt '''wichtig https_port'''</div></td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>https_port 3130 ssl-bump intercept cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE</div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">#</ins>https_port 3130 ssl-bump intercept cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE</div></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>ssl_bump bump all</div></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>ssl_bump bump all</div></td></tr> </table>

Thomas.will https://wiki.ixheim.de/index.php?title=LAB_Linux_in_heterogenen_Netzen_Squid_https_aufbrechen&diff=57641&oldid=prev 2024-10-14T16:21:11Z

<p>Die Seite wurde neu angelegt: „=Content Scan= *Auf dem Client muss das CA Zertifikat des Proxy installiert sein. *Proxy generiert für jede Anfrage ein neues Zertifikat und schickt es dem Cl…“</p> <p><b>Neue Seite</b></p><div>=Content Scan=<br /> *Auf dem Client muss das CA Zertifikat des Proxy installiert sein.<br /> *Proxy generiert für jede Anfrage ein neues Zertifikat und schickt es dem Client.<br /> *Client denkt er kommuniziert mit dem Original Server<br /> *Virenscan ist möglich<br /> *Webserver denkt die Anfrage kommt von einem normalen Client<br /> *Prinzip der Man in the Middle Attacke<br /> {{#drawio:proxy-4}}<br /> =Installation von squid=<br /> ;Wir brauchen eine angepasste Version von squid<br /> ;Diese können wir selbst komplilieren oder das squid-openssl Paket von nutzen<br /> *apt install squid-openssl<br /> =Erstellen eines Selbstsignierten Zertifikates=<br /> ;Verzeichnis anlegen<br /> *mkdir /etc/squid/certs<br /> *cd /etc/squid/certs<br /> ;Generieren Sie ein lokales selbstsigniertes CA-Zertifikat und geheimen Schlüssel (in derselben Datei))<br /> *openssl req -new -newkey rsa:4096 -sha256 -days 365 -nodes -x509 -keyout squid_proxyCA.pem -out squid_proxyCA.pem<br /> *chown -R proxy:proxy squid_proxyCA.pem<br /> *chmod 0400 squid_proxyCA.pem<br /> ;Wir extrahieren das ca.crt aus dem Container<br /> *openssl x509 -inform PEM -in squid_proxyCA.pem -out squid_proxyCA.crt<br /> ;füge das squid_proxyCA-Zertifikat zum System hinzu, damit es standardmäßig vertrauenswürdig ist<br /> *cp squid_proxyCA.crt /usr/local/share/ca-certificates<br /> *update-ca-certificates<br /> <br /> =Zertifikat auf den Clients installieren=<br /> !!!'''Wichtig Wichtig Wichtig'''!!!<br /> *squid_proxyCA.crt auf die Clients kopieren.<br /> ;Firefox<br /> *Burgermenu<br /> **Einstellungen<br /> ***Nach Zertifikaten suchen<br /> ****Zertifikate anzeigen<br /> *****Zertifizierungsstellen importieren<br /> ;füge das squid_proxyCA-Zertifikat zum System hinzu, damit es standardmäßig vertrauenswürdig ist<br /> <br /> cp squid_proxyCA.crt /usr/local/share/ca-certificates<br /> update-ca-certificates<br /> <br /> =Zertifikats Cache anlegen=<br /> ;security_file_certgen — SSL certificate generator for Squid.<br /> *Das Generieren und Signieren von SSL-Zertifikaten nimmt Zeit in Anspruch.<br /> *Squid kann diesen Helfer als externen Prozess verwenden, um die Arbeit zu erledigen.<br /> *Die Kommunikation erfolgt über TCP-Sockets, die an die Loopback-Schnittstelle gebunden sind.<br /> *Dieser Helfer kann einen Festplattencache mit Zertifikaten verwenden, um die Antwortzeiten bei wiederholten Anforderungen zu verbessern.<br /> *Es kann auch ohne Cache arbeiten und generiert bei jeder Anfrage neue Zertifikate.<br /> <br /> <br /> <br /> */usr/lib/squid/security_file_certgen -c -s /var/spool/squid/ssl_db -M 4MB<br /> *chown -R proxy:proxy /var/spool/squid<br /> <br /> =Die squid.conf=<br /> &lt;pre&gt;<br /> acl SSL_ports port 443<br /> <br /> acl Safe_ports port 80 # http<br /> acl Safe_ports port 21 # ftp<br /> acl Safe_ports port 443 # https<br /> acl Safe_ports port 1025-65535 # unregistered ports<br /> <br /> acl purge method PURGE<br /> acl CONNECT method CONNECT<br /> #Anpassen<br /> acl lan src 192.168.10.0/24<br /> <br /> http_access allow manager localhost<br /> http_access deny manager<br /> <br /> http_access allow purge localhost<br /> http_access deny purge<br /> <br /> http_access deny !Safe_ports<br /> http_access deny CONNECT !SSL_ports<br /> <br /> http_access allow lan<br /> http_access allow localhost<br /> http_access deny all<br /> <br /> <br /> #nativer Zugriff<br /> http_port 3128 ssl-bump cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE<br /> #transparenter Zugriff unverschlüsselt<br /> http_port 3129 intercept<br /> #transparenter Zugriff verschlüsselt '''wichtig https_port'''<br /> https_port 3130 ssl-bump intercept cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE<br /> <br /> ssl_bump bump all<br /> <br /> coredump_dir /var/spool/squid<br /> logfile_rotate 0<br /> <br /> refresh_pattern -i (/cgi-bin/|\?) 0 0% 0<br /> refresh_pattern . 0 20% 4320<br /> <br /> cache_dir ufs /var/spool/squid 200 16 256<br /> <br /> &lt;/pre&gt;<br /> <br /> =Restart von Squid=<br /> *systemctl restart squid<br /> =Misc=<br /> ;Hier ist ein Befehl, um die am häufigsten zwischengespeicherten Domänen anzuzeigen. <br /> *awk 'BEGIN {FS=&quot;[ ]+&quot;}; {print $7}' &lt; /var/log/squid/access.log | awk 'BEGIN {FS=&quot;/&quot;}; {print $3}' | sort | uniq -c |sort -k1,1nr -k2,2 | head<br /> =Firewall Regeln für den Transparenten Proxy=<br /> {{#drawio:proxy-2}}<br /> *iptables -t nat -A PREROUTING -j REDIRECT -s 192.168.10.0/24 -p tcp --dport 80 --to-port 3129<br /> *iptables -t nat -A PREROUTING -j REDIRECT -s 192.168.10.0/24 -p tcp --dport 443 --to-port 3130<br /> <br /> =Links=<br /> *https://unix.stackexchange.com/questions/613359/setting-up-squid-transparent-proxy-with-ssl-bumping-on-debian-10<br /> *https://wiki.squid-cache.org/Features/SslBump</div>

Thomas.will