Squid-Kit-2: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(35 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=Content Scan=
+
=Beispielkonzept=
*Auf dem Client muss das CA Zertifikat des Proxy installiert sein.
+
==Erstellen der Dateien==
*Proxy generiert für jede Anfrage ein neues Zertifikat und schickt es dem Client.
+
;Ein Teil der Clients bekommt vollen Zugriff.
*Client denkt er kommuniziert mit dem Original Server
+
;Alle anderen dürfen nur eingeschränkt auf bestimmte Webseiten zugreifen.
*Virenscan ist möglich
 
*Webserver denkt die Anfrage kommt von einem normalen Client
 
*Prinzip der Man in the Middle Attacke
 
{{#drawio:proxy-4}}
 
=Installation von squid=
 
;Wir brauchen eine angepasste Version von squid
 
;Diese können wir selbst komplilieren oder das squid-openssl Paket von nutzen
 
*apt install squid-openssl
 
=Erstellen eines Selbstsignierten Zertifikates=
 
;Verzeichnis anlegen
 
*mkdir /etc/squid/certs
 
*cd /etc/squid/certs
 
;Generieren Sie ein lokales selbstsigniertes CA-Zertifikat und geheimen Schlüssel (in derselben Datei))
 
*openssl req -new -newkey rsa:4096 -sha256 -days 365 -nodes -x509 -keyout squid_proxyCA.pem -out squid_proxyCA.pem -subj "/CN=proxy-ca"
 
*chown -R proxy:proxy squid_proxyCA.pem
 
*chmod 0400 squid_proxyCA.pem
 
;Wir extrahieren das ca.crt aus dem Container
 
*openssl x509 -inform PEM -in squid_proxyCA.pem -out squid_proxyCA.crt
 
;füge das squid_proxyCA-Zertifikat zum System hinzu, damit es standardmäßig vertrauenswürdig ist
 
*cp squid_proxyCA.crt /usr/local/share/ca-certificates
 
*update-ca-certificates
 
  
=Zertifikat auf den Clients installieren=
+
;Liste von IP-Adressen, die uneingeschränkt surfen dürfen.
!!!'''Wichtig Wichtig Wichtig'''!!!
+
;Diese Datei wird später als ACL eingebunden.
*squid_proxyCA.crt auf die Clients kopieren.
+
*vi /etc/squid/teamleitung.txt
;Firefox
+
172.26.2XX.10 
*Burgermenu
+
172.26.2XX.33
**Einstellungen
+
172.26.2XX.49 
***Nach Zertifikaten suchen
 
****Zertifikate anzeigen
 
*****Zertifizierungsstellen importieren
 
;füge das squid_proxyCA-Zertifikat zum System hinzu, damit es standardmäßig vertrauenswürdig ist
 
  
    cp squid_proxyCA.crt /usr/local/share/ca-certificates
+
;Liste von gesperrten Webseiten oder Begriffen.
    update-ca-certificates
+
;url_regex prüft URLs auf diese Einträge.
 +
*vi /etc/squid/badsites.txt
 +
bild\.de
 +
sex
 +
www\.faz\.net
 +
facebook
  
=Zertifikats Cache anlegen=
+
==Einbinden in die /etc/squid.conf==
;security_file_certgen — SSL certificate generator for Squid.
+
;Einbinden der Dateien als ACL in Squid.
*Das Generieren und Signieren von SSL-Zertifikaten nimmt Zeit in Anspruch.
+
;src = IP-Filter, url_regex = URL-Filter.
*Squid kann diesen Helfer als externen Prozess verwenden, um die Arbeit zu erledigen.
+
Die doppelten Hochkommas bedeuten das die Regel in einer Datei ausgelagert wird-
*Die Kommunikation erfolgt über TCP-Sockets, die an die Loopback-Schnittstelle gebunden sind.
+
acl teamleitung src "/etc/squid/teamleitung.txt"
*Dieser Helfer kann einen Festplattencache mit Zertifikaten verwenden, um die Antwortzeiten bei wiederholten Anforderungen zu verbessern.
+
acl badsites url_regex "/etc/squid/badsites.txt"
*Es kann auch ohne Cache arbeiten und generiert bei jeder Anfrage neue Zertifikate.
 
  
 +
;Regeln werden von oben nach unten abgearbeitet.
 +
;Erst erlauben, dann verbieten, dann Standardregeln.
 +
http_access allow teamleitung
 +
http_access deny badsites
 +
http_access allow it-dmz
 +
http_access allow it-lan
  
 +
'''Hinweis Rocky Linux:''' SELinux-Kontext für externe Dateien setzen:
 +
<pre>
 +
chcon -t squid_conf_t /etc/squid/teamleitung.txt
 +
chcon -t squid_conf_t /etc/squid/badsites.txt
 +
</pre>
 +
==Squid reloaden==
 +
*systemctl reload squid
 +
==Kontrolle==
 +
*tail -f /var/log/squid/access.log
  
*/usr/lib/squid/security_file_certgen -c -s /var/spool/squid/ssl_db -M 4MB
+
=Authentifizierung=
*chown -R proxy:proxy /var/spool/squid
+
;Zusätzliche Absicherung des Proxys durch Benutzeranmeldung.
 +
;Verhindert Nutzung durch nicht autorisierte Clients.
  
=Die squid.conf=
+
=Installation von htpasswd=
<pre>
+
;Werkzeug zur Erstellung von Benutzer/Passwort-Dateien.
acl SSL_ports port 443
+
;Wird für Basic Authentication verwendet.
  
acl Safe_ports port 80          # http
+
{| class="wikitable"
acl Safe_ports port 21          # ftp
+
! Distribution !! Befehl
acl Safe_ports port 443        # https
+
|-
acl Safe_ports port 1025-65535  # unregistered ports
+
| Debian / Ubuntu || <code>apt install apache2-utils</code>
 +
|-
 +
| Rocky Linux || <code>dnf install httpd-tools</code>
 +
|}
  
acl purge method PURGE
+
==Erstellen einer Passwort Datei==
acl CONNECT method CONNECT
+
;Erstellt eine neue Passwortdatei mit dem ersten Benutzer.
#Anpassen
+
;-c darf nur beim ersten Aufruf verwendet werden.
acl lan src 192.168.10.0/24
+
*htpasswd -c /etc/squid/password martha
  
http_access allow manager localhost
+
;Fügt einen weiteren Benutzer zur bestehenden Datei hinzu.
http_access deny manager
+
;Die Datei wird nicht überschrieben.
 +
*htpasswd /etc/squid/password leroy
  
http_access allow purge localhost
+
{| class="wikitable"
http_access deny purge
+
! Option !! Bedeutung
 +
|-
 +
| <code>htpasswd</code> || Programm zur Verwaltung von Benutzerdateien
 +
|-
 +
| <code>-c</code> || Erstellt neue Datei (überschreibt bestehende!)
 +
|-
 +
| <code>passwordfile</code> || Speicherort der Benutzerdatei
 +
|-
 +
| <code>username</code> || Benutzername
 +
|}
  
http_access deny !Safe_ports
+
==Änderungen an der squid.conf==
http_access deny CONNECT !SSL_ports
+
;Aktiviert Basic Authentication in Squid.
 +
;Benutzer müssen sich am Proxy anmelden.
  
http_access allow lan
+
Folgende Einträge werden am Anfang der squid.conf eingefügt:
http_access allow localhost
 
http_access deny all
 
  
 +
{| class="wikitable"
 +
! Distribution !! Pfad
 +
|-
 +
| Debian / Ubuntu || <code>/usr/lib/squid/basic_ncsa_auth</code>
 +
|-
 +
| Rocky Linux || <code>/usr/lib64/squid/basic_ncsa_auth</code>
 +
|}
  
#nativer Zugriff
+
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/password
http_port 3128 ssl-bump cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE
+
auth_param basic children 20 startup=0 idle=1
#transparenter Zugriff unverschlüsselt
+
auth_param basic concurrency 0
http_port 3129 intercept
+
auth_param basic credentialsttl 500 seconds
#transparenter Zugriff verschlüsselt '''wichtig https_port'''
+
auth_param basic realm it2XX proxy server
https_port 3130 ssl-bump intercept cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE
+
auth_param basic casesensitive off
 +
acl ncsa_users proxy_auth REQUIRED
 +
http_access allow ncsa_users
  
ssl_bump bump all
+
'''Hinweis Rocky Linux:''' SELinux-Kontext für die Passwortdatei setzen:
 +
<pre>
 +
chcon -t squid_conf_t /etc/squid/password
 +
</pre>
  
coredump_dir /var/spool/squid
+
{| class="wikitable"
logfile_rotate 0
+
! Option || Bedeutung
 +
|-
 +
| <code>auth_param</code> || Definiert Authentifizierungsparameter
 +
|-
 +
| <code>basic</code> || Verwendet HTTP Basic Authentication
 +
|-
 +
| <code>program</code> || Externes Authentifizierungsprogramm
 +
|-
 +
| <code>/usr/lib/squid/basic_ncsa_auth</code> || Prüft Benutzer/Passwort
 +
|-
 +
| <code>/etc/squid/password</code> || Datei mit Zugangsdaten
 +
|-
 +
| <code>children</code> || Anzahl paralleler Auth-Prozesse
 +
|-
 +
| <code>concurrency</code> || Gleichzeitige Anfragen pro Prozess
 +
|-
 +
| <code>credentialsttl</code> || Gültigkeitsdauer Login (Cache)
 +
|-
 +
| <code>realm</code> || Name der Login-Anzeige im Browser
 +
|-
 +
| <code>casesensitive</code> || Groß-/Kleinschreibung beachten oder nicht
 +
|}
  
refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
+
;Reload damit die Regel zieht.
refresh_pattern .      0  20% 4320
+
*systemctl reload squid
  
cache_dir ufs /var/spool/squid 200 16 256
+
=Time=
 +
;Zeitbasierte Steuerung von Zugriffen.
 +
;Erlaubt Regeln nur zu bestimmten Uhrzeiten.
  
</pre>
+
==erstellen der acl==
 +
;Definiert ein Zeitfenster.
 +
;Format ist HH:MM-HH:MM.
 +
acl break-time time 12:00-13:00
  
=Restart von Squid=
+
==erstellen der http_access==
*systemctl restart squid
+
;Verknüpft Zeitregel mit Zugriff.
=Misc=
+
;Nur im Zeitfenster wird Zugriff erlaubt.
;Hier ist ein Befehl, um die am häufigsten zwischengespeicherten Domänen anzuzeigen.  
+
http_access allow badsites break-time
*awk 'BEGIN {FS="[ ]+"}; {print $7}' < /var/log/squid/access.log | awk 'BEGIN {FS="/"}; {print $3}' | sort | uniq -c |sort -k1,1nr -k2,2 | head
 
=Firewall Regeln für den Transparenten Proxy=
 
{{#drawio:proxy-2}}
 
*iptables -t nat -A PREROUTING -j REDIRECT -s 192.168.10.0/24 -p tcp --dport 80 --to-port 3129
 
*iptables -t nat -A PREROUTING -j REDIRECT -s 192.168.10.0/24 -p tcp --dport 443 --to-port 3130
 
  
=Links=
+
;In diesem Beispiel werden die bad-sites um <nowiki>12:00-13:00</nowiki> freigeschaltet.
*https://unix.stackexchange.com/questions/613359/setting-up-squid-transparent-proxy-with-ssl-bumping-on-debian-10
 
*https://wiki.squid-cache.org/Features/SslBump
 

Aktuelle Version vom 23. April 2026, 11:49 Uhr

Beispielkonzept

Erstellen der Dateien

Ein Teil der Clients bekommt vollen Zugriff.
Alle anderen dürfen nur eingeschränkt auf bestimmte Webseiten zugreifen.
Liste von IP-Adressen, die uneingeschränkt surfen dürfen.
Diese Datei wird später als ACL eingebunden.
  • vi /etc/squid/teamleitung.txt
172.26.2XX.10  
172.26.2XX.33
172.26.2XX.49
Liste von gesperrten Webseiten oder Begriffen.
url_regex prüft URLs auf diese Einträge.
  • vi /etc/squid/badsites.txt
bild\.de
sex
www\.faz\.net
facebook

Einbinden in die /etc/squid.conf

Einbinden der Dateien als ACL in Squid.
src = IP-Filter, url_regex = URL-Filter.

Die doppelten Hochkommas bedeuten das die Regel in einer Datei ausgelagert wird- 

acl teamleitung src "/etc/squid/teamleitung.txt"
acl badsites url_regex "/etc/squid/badsites.txt"
Regeln werden von oben nach unten abgearbeitet.
Erst erlauben, dann verbieten, dann Standardregeln.
http_access allow teamleitung
http_access deny badsites
http_access allow it-dmz
http_access allow it-lan

Hinweis Rocky Linux: SELinux-Kontext für externe Dateien setzen: 

chcon -t squid_conf_t /etc/squid/teamleitung.txt
chcon -t squid_conf_t /etc/squid/badsites.txt

Squid reloaden

  • systemctl reload squid

Kontrolle

  • tail -f /var/log/squid/access.log

Authentifizierung

Zusätzliche Absicherung des Proxys durch Benutzeranmeldung.
Verhindert Nutzung durch nicht autorisierte Clients.

Installation von htpasswd

Werkzeug zur Erstellung von Benutzer/Passwort-Dateien.
Wird für Basic Authentication verwendet.
Distribution Befehl
Debian / Ubuntu apt install apache2-utils
Rocky Linux dnf install httpd-tools

Erstellen einer Passwort Datei

Erstellt eine neue Passwortdatei mit dem ersten Benutzer.
-c darf nur beim ersten Aufruf verwendet werden.
  • htpasswd -c /etc/squid/password martha
Fügt einen weiteren Benutzer zur bestehenden Datei hinzu.
Die Datei wird nicht überschrieben.
  • htpasswd /etc/squid/password leroy
Option Bedeutung
htpasswd Programm zur Verwaltung von Benutzerdateien
-c Erstellt neue Datei (überschreibt bestehende!)
passwordfile Speicherort der Benutzerdatei
username Benutzername

Änderungen an der squid.conf

Aktiviert Basic Authentication in Squid.
Benutzer müssen sich am Proxy anmelden.

Folgende Einträge werden am Anfang der squid.conf eingefügt:

Distribution Pfad
Debian / Ubuntu /usr/lib/squid/basic_ncsa_auth
Rocky Linux /usr/lib64/squid/basic_ncsa_auth 
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/password
auth_param basic children 20 startup=0 idle=1
auth_param basic concurrency 0
auth_param basic credentialsttl 500 seconds
auth_param basic realm it2XX proxy server
auth_param basic casesensitive off
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users

Hinweis Rocky Linux: SELinux-Kontext für die Passwortdatei setzen: 

chcon -t squid_conf_t /etc/squid/password
Option Bedeutung
auth_param Definiert Authentifizierungsparameter
basic Verwendet HTTP Basic Authentication
program Externes Authentifizierungsprogramm
/usr/lib/squid/basic_ncsa_auth Prüft Benutzer/Passwort
/etc/squid/password Datei mit Zugangsdaten
children Anzahl paralleler Auth-Prozesse
concurrency Gleichzeitige Anfragen pro Prozess
credentialsttl Gültigkeitsdauer Login (Cache)
realm Name der Login-Anzeige im Browser
casesensitive Groß-/Kleinschreibung beachten oder nicht
Reload damit die Regel zieht.
  • systemctl reload squid

Time

Zeitbasierte Steuerung von Zugriffen.
Erlaubt Regeln nur zu bestimmten Uhrzeiten.

erstellen der acl

Definiert ein Zeitfenster.
Format ist HH
MM-HH:MM.
acl break-time time 12:00-13:00

erstellen der http_access

Verknüpft Zeitregel mit Zugriff.
Nur im Zeitfenster wird Zugriff erlaubt.
http_access allow badsites break-time
In diesem Beispiel werden die bad-sites um 12:00-13:00 freigeschaltet.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Squid-Kit-2&oldid=68955