Squid-Kit-2: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(33 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=Content Scan=
+
=Beispielkonzept=
*Auf dem Client muss das CA Zertifikat des Proxy installiert sein.
+
==Erstellen der Dateien==
*Proxy generiert für jede Anfrage ein neues Zertifikat und schickt es dem Client.
+
;Ein Teil der Clients bekommt vollen Zugriff.
*Client denkt er kommuniziert mit dem Original Server
+
;Alle anderen dürfen nur eingeschränkt auf bestimmte Webseiten zugreifen.
*Virenscan ist möglich
 
*Webserver denkt die Anfrage kommt von einem normalen Client
 
*Prinzip der Man in the Middle Attacke
 
{{#drawio:proxy-4}}
 
=Installation von squid=
 
;Wir brauchen eine angepasste Version von squid
 
;Diese können wir selbst komplilieren oder das squid-openssl Paket von nutzen
 
*apt install squid-openssl
 
=Erstellen eines Selbstsignierten Zertifikates=
 
;Verzeichnis anlegen
 
*mkdir /etc/squid/certs
 
*cd /etc/squid/certs
 
;Generieren Sie ein lokales selbstsigniertes CA-Zertifikat und geheimen Schlüssel (in derselben Datei))
 
*openssl req -new -newkey rsa:4096 -sha256 -days 365 -nodes -x509 -keyout squid_proxyCA.pem -out squid_proxyCA.pem -subj "/CN=proxy-ca"
 
*chown -R proxy:proxy squid_proxyCA.pem
 
*chmod 0400 squid_proxyCA.pem
 
;Wir extrahieren das ca.crt aus dem Container
 
*openssl x509 -inform PEM -in squid_proxyCA.pem -out squid_proxyCA.crt
 
;füge das squid_proxyCA-Zertifikat zum System hinzu, damit es standardmäßig vertrauenswürdig ist
 
*cp squid_proxyCA.crt /usr/local/share/ca-certificates
 
*update-ca-certificates
 
  
=Zertifikat auf den Clients installieren=
+
;Liste von IP-Adressen, die uneingeschränkt surfen dürfen.
!!!'''Wichtig Wichtig Wichtig'''!!!
+
;Diese Datei wird später als ACL eingebunden.
*squid_proxyCA.crt auf die Clients kopieren.
+
*vi /etc/squid/teamleitung.txt
;Firefox
+
172.26.2XX.10 
*Burgermenu
+
172.26.2XX.33
**Einstellungen
+
172.26.2XX.49 
***Nach Zertifikaten suchen
 
****Zertifikate anzeigen
 
*****Zertifizierungsstellen importieren
 
;füge das squid_proxyCA-Zertifikat zum System hinzu, damit es standardmäßig vertrauenswürdig ist
 
  
    cp squid_proxyCA.crt /usr/local/share/ca-certificates
+
;Liste von gesperrten Webseiten oder Begriffen.
    update-ca-certificates
+
;url_regex prüft URLs auf diese Einträge.
 +
*vi /etc/squid/badsites.txt
 +
bild\.de
 +
sex
 +
www\.faz\.net
 +
facebook
  
=Zertifikats Cache anlegen=
+
==Einbinden in die /etc/squid.conf==
;security_file_certgen — SSL certificate generator for Squid.
+
;Einbinden der Dateien als ACL in Squid.
*Das Generieren und Signieren von SSL-Zertifikaten nimmt Zeit in Anspruch.
+
;src = IP-Filter, url_regex = URL-Filter.
*Squid kann diesen Helfer als externen Prozess verwenden, um die Arbeit zu erledigen.
+
Die doppelten Hochkommas bedeuten das die Regel in einer Datei ausgelagert wird-
*Die Kommunikation erfolgt über TCP-Sockets, die an die Loopback-Schnittstelle gebunden sind.
+
acl teamleitung src "/etc/squid/teamleitung.txt"
*Dieser Helfer kann einen Festplattencache mit Zertifikaten verwenden, um die Antwortzeiten bei wiederholten Anforderungen zu verbessern.
+
acl badsites url_regex "/etc/squid/badsites.txt"
*Es kann auch ohne Cache arbeiten und generiert bei jeder Anfrage neue Zertifikate.
 
  
 +
;Regeln werden von oben nach unten abgearbeitet.
 +
;Erst erlauben, dann verbieten, dann Standardregeln.
 +
http_access allow teamleitung
 +
http_access deny badsites
 +
http_access allow it-dmz
 +
http_access allow it-lan
  
 +
'''Hinweis Rocky Linux:''' SELinux-Kontext für externe Dateien setzen:
 +
<pre>
 +
chcon -t squid_conf_t /etc/squid/teamleitung.txt
 +
chcon -t squid_conf_t /etc/squid/badsites.txt
 +
</pre>
 +
==Squid reloaden==
 +
*systemctl reload squid
 +
==Kontrolle==
 +
*tail -f /var/log/squid/access.log
  
*/usr/lib/squid/security_file_certgen -c -s /var/spool/squid/ssl_db -M 4MB
+
=Authentifizierung=
*chown -R proxy:proxy /var/spool/squid
+
;Zusätzliche Absicherung des Proxys durch Benutzeranmeldung.
 +
;Verhindert Nutzung durch nicht autorisierte Clients.
  
=Einfügen in der  squid.conf=
+
=Installation von htpasswd=
;unter die  http_access rules
+
;Werkzeug zur Erstellung von Benutzer/Passwort-Dateien.
#nativer Zugriff
+
;Wird für Basic Authentication verwendet.
http_port 3128 ssl-bump cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE
 
#transparenter Zugriff unverschlüsselt
 
ssl_bump bump all
 
  
=Restart von Squid=
+
{| class="wikitable"
*systemctl restart squid
+
! Distribution !! Befehl
=Misc=
+
|-
;Hier ist ein Befehl, um die am häufigsten zwischengespeicherten Domänen anzuzeigen.  
+
| Debian / Ubuntu || <code>apt install apache2-utils</code>
*awk 'BEGIN {FS="[ ]+"}; {print $7}' < /var/log/squid/access.log | awk 'BEGIN {FS="/"}; {print $3}' | sort | uniq -c |sort -k1,1nr -k2,2 | head
+
|-
 +
| Rocky Linux || <code>dnf install httpd-tools</code>
 +
|}
 +
 
 +
==Erstellen einer Passwort Datei==
 +
;Erstellt eine neue Passwortdatei mit dem ersten Benutzer.
 +
;-c darf nur beim ersten Aufruf verwendet werden.
 +
*htpasswd -c /etc/squid/password martha
 +
 
 +
;Fügt einen weiteren Benutzer zur bestehenden Datei hinzu.
 +
;Die Datei wird nicht überschrieben.
 +
*htpasswd /etc/squid/password leroy
 +
 
 +
{| class="wikitable"
 +
! Option !! Bedeutung
 +
|-
 +
| <code>htpasswd</code> || Programm zur Verwaltung von Benutzerdateien
 +
|-
 +
| <code>-c</code> || Erstellt neue Datei (überschreibt bestehende!)
 +
|-
 +
| <code>passwordfile</code> || Speicherort der Benutzerdatei
 +
|-
 +
| <code>username</code> || Benutzername
 +
|}
 +
 
 +
==Änderungen an der squid.conf==
 +
;Aktiviert Basic Authentication in Squid.
 +
;Benutzer müssen sich am Proxy anmelden.
 +
 
 +
Folgende Einträge werden am Anfang der squid.conf eingefügt:
 +
 
 +
{| class="wikitable"
 +
! Distribution !! Pfad
 +
|-
 +
| Debian / Ubuntu || <code>/usr/lib/squid/basic_ncsa_auth</code>
 +
|-
 +
| Rocky Linux || <code>/usr/lib64/squid/basic_ncsa_auth</code>
 +
|}
 +
 
 +
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/password
 +
auth_param basic children 20 startup=0 idle=1
 +
auth_param basic concurrency 0
 +
auth_param basic credentialsttl 500 seconds
 +
auth_param basic realm it2XX proxy server
 +
auth_param basic casesensitive off
 +
acl ncsa_users proxy_auth REQUIRED
 +
http_access allow ncsa_users
 +
 
 +
'''Hinweis Rocky Linux:''' SELinux-Kontext für die Passwortdatei setzen:
 +
<pre>
 +
chcon -t squid_conf_t /etc/squid/password
 +
</pre>
 +
 
 +
{| class="wikitable"
 +
! Option || Bedeutung
 +
|-
 +
| <code>auth_param</code> || Definiert Authentifizierungsparameter
 +
|-
 +
| <code>basic</code> || Verwendet HTTP Basic Authentication
 +
|-
 +
| <code>program</code> || Externes Authentifizierungsprogramm
 +
|-
 +
| <code>/usr/lib/squid/basic_ncsa_auth</code> || Prüft Benutzer/Passwort
 +
|-
 +
| <code>/etc/squid/password</code> || Datei mit Zugangsdaten
 +
|-
 +
| <code>children</code> || Anzahl paralleler Auth-Prozesse
 +
|-
 +
| <code>concurrency</code> || Gleichzeitige Anfragen pro Prozess
 +
|-
 +
| <code>credentialsttl</code> || Gültigkeitsdauer Login (Cache)
 +
|-
 +
| <code>realm</code> || Name der Login-Anzeige im Browser
 +
|-
 +
| <code>casesensitive</code> || Groß-/Kleinschreibung beachten oder nicht
 +
|}
 +
 
 +
;Reload damit die Regel zieht.
 +
*systemctl reload squid
 +
 
 +
=Time=
 +
;Zeitbasierte Steuerung von Zugriffen.
 +
;Erlaubt Regeln nur zu bestimmten Uhrzeiten.
 +
 
 +
==erstellen der acl==
 +
;Definiert ein Zeitfenster.
 +
;Format ist HH:MM-HH:MM.
 +
acl break-time time 12:00-13:00
 +
 
 +
==erstellen der http_access==
 +
;Verknüpft Zeitregel mit Zugriff.
 +
;Nur im Zeitfenster wird Zugriff erlaubt.
 +
http_access allow badsites break-time
 +
 
 +
;In diesem Beispiel werden die bad-sites um <nowiki>12:00-13:00</nowiki> freigeschaltet.

Aktuelle Version vom 23. April 2026, 11:49 Uhr

Beispielkonzept

Erstellen der Dateien

Ein Teil der Clients bekommt vollen Zugriff.
Alle anderen dürfen nur eingeschränkt auf bestimmte Webseiten zugreifen.
Liste von IP-Adressen, die uneingeschränkt surfen dürfen.
Diese Datei wird später als ACL eingebunden.
  • vi /etc/squid/teamleitung.txt
172.26.2XX.10  
172.26.2XX.33
172.26.2XX.49
Liste von gesperrten Webseiten oder Begriffen.
url_regex prüft URLs auf diese Einträge.
  • vi /etc/squid/badsites.txt
bild\.de
sex
www\.faz\.net
facebook

Einbinden in die /etc/squid.conf

Einbinden der Dateien als ACL in Squid.
src = IP-Filter, url_regex = URL-Filter.

Die doppelten Hochkommas bedeuten das die Regel in einer Datei ausgelagert wird- 

acl teamleitung src "/etc/squid/teamleitung.txt"
acl badsites url_regex "/etc/squid/badsites.txt"
Regeln werden von oben nach unten abgearbeitet.
Erst erlauben, dann verbieten, dann Standardregeln.
http_access allow teamleitung
http_access deny badsites
http_access allow it-dmz
http_access allow it-lan

Hinweis Rocky Linux: SELinux-Kontext für externe Dateien setzen: 

chcon -t squid_conf_t /etc/squid/teamleitung.txt
chcon -t squid_conf_t /etc/squid/badsites.txt

Squid reloaden

  • systemctl reload squid

Kontrolle

  • tail -f /var/log/squid/access.log

Authentifizierung

Zusätzliche Absicherung des Proxys durch Benutzeranmeldung.
Verhindert Nutzung durch nicht autorisierte Clients.

Installation von htpasswd

Werkzeug zur Erstellung von Benutzer/Passwort-Dateien.
Wird für Basic Authentication verwendet.
Distribution Befehl
Debian / Ubuntu apt install apache2-utils
Rocky Linux dnf install httpd-tools

Erstellen einer Passwort Datei

Erstellt eine neue Passwortdatei mit dem ersten Benutzer.
-c darf nur beim ersten Aufruf verwendet werden.
  • htpasswd -c /etc/squid/password martha
Fügt einen weiteren Benutzer zur bestehenden Datei hinzu.
Die Datei wird nicht überschrieben.
  • htpasswd /etc/squid/password leroy
Option Bedeutung
htpasswd Programm zur Verwaltung von Benutzerdateien
-c Erstellt neue Datei (überschreibt bestehende!)
passwordfile Speicherort der Benutzerdatei
username Benutzername

Änderungen an der squid.conf

Aktiviert Basic Authentication in Squid.
Benutzer müssen sich am Proxy anmelden.

Folgende Einträge werden am Anfang der squid.conf eingefügt:

Distribution Pfad
Debian / Ubuntu /usr/lib/squid/basic_ncsa_auth
Rocky Linux /usr/lib64/squid/basic_ncsa_auth 
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/password
auth_param basic children 20 startup=0 idle=1
auth_param basic concurrency 0
auth_param basic credentialsttl 500 seconds
auth_param basic realm it2XX proxy server
auth_param basic casesensitive off
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users

Hinweis Rocky Linux: SELinux-Kontext für die Passwortdatei setzen: 

chcon -t squid_conf_t /etc/squid/password
Option Bedeutung
auth_param Definiert Authentifizierungsparameter
basic Verwendet HTTP Basic Authentication
program Externes Authentifizierungsprogramm
/usr/lib/squid/basic_ncsa_auth Prüft Benutzer/Passwort
/etc/squid/password Datei mit Zugangsdaten
children Anzahl paralleler Auth-Prozesse
concurrency Gleichzeitige Anfragen pro Prozess
credentialsttl Gültigkeitsdauer Login (Cache)
realm Name der Login-Anzeige im Browser
casesensitive Groß-/Kleinschreibung beachten oder nicht
Reload damit die Regel zieht.
  • systemctl reload squid

Time

Zeitbasierte Steuerung von Zugriffen.
Erlaubt Regeln nur zu bestimmten Uhrzeiten.

erstellen der acl

Definiert ein Zeitfenster.
Format ist HH
MM-HH:MM.
acl break-time time 12:00-13:00

erstellen der http_access

Verknüpft Zeitregel mit Zugriff.
Nur im Zeitfenster wird Zugriff erlaubt.
http_access allow badsites break-time
In diesem Beispiel werden die bad-sites um 12:00-13:00 freigeschaltet.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Squid-Kit-2&oldid=68955