Aktuelle Version vom 21. Mai 2026, 11:46 Uhr

Maschine Klonen

Parameter	Wert	Erläuterung
Netzwerk (NIC)	DMZ	Internes Netzwerk
IP	10.88.2XX.4	Statische IP
CIDR	24	Classless Inter-Domain Routing Präfixlänge
GW	10.88.2XX.1	GATEWAY
NS	10.88.2XX.21	Resolver
FQDN	proxy.it2XX.int	Fully Qualified Domain Name
SHORT	proxy	Short Name
DOM	it2XX.int	Domain Name

@@ Zeile 1: / Zeile 1: @@
-=Content Scan=
+=Maschine Klonen=
-*Auf dem Client muss das CA Zertifikat des Proxy installiert sein.
+{| class="wikitable" style="background-color: #f2f2f2;"
-*Proxy generiert für jede Anfrage ein neues Zertifikat und schickt es dem Client.
+! Parameter !! Wert !! Erläuterung
-*Client denkt er kommuniziert mit dem Original Server
+|-
-*Virenscan ist möglich
+| '''Netzwerk (NIC)''' || DMZ || Internes Netzwerk
-*Webserver denkt die Anfrage kommt von einem normalen Client
+|-
-*Prinzip der Man in the Middle Attacke
+| '''IP''' || 10.88.2XX.4 || Statische IP
-{{#drawio:proxy-4}}
+|-
-=Installation von squid=
+| '''CIDR''' || 24 || Classless Inter-Domain Routing Präfixlänge
-;Wir brauchen eine angepasste Version von squid
+|-
-;Diese können wir selbst komplilieren oder das squid-openssl Paket von nutzen
+| '''GW''' || 10.88.2XX.1 || GATEWAY
-*apt install squid-openssl
+|-
-=Erstellen eines Selbstsignierten Zertifikates=
+| '''NS''' || 10.88.2XX.21 || Resolver
-;Verzeichnis anlegen
+|-
-*mkdir /etc/squid/certs
+| '''FQDN''' || proxy.it2XX.int || Fully Qualified Domain Name
-*cd /etc/squid/certs
+|-
-;Generieren Sie ein lokales selbstsigniertes CA-Zertifikat und geheimen Schlüssel (in derselben Datei))
+| '''SHORT''' || proxy || Short Name
-*openssl req -new -newkey rsa:4096 -sha256 -days 365 -nodes -x509 -keyout squid_proxyCA.pem -out squid_proxyCA.pem -subj "/CN=proxy-ca"
+|-
-*chown -R proxy:proxy squid_proxyCA.pem
+| '''DOM''' || it2XX.int|| Domain Name
-*chmod 0400 squid_proxyCA.pem
+|}
-;Wir extrahieren das ca.crt aus dem Container
-*openssl x509 -inform PEM -in squid_proxyCA.pem -out squid_proxyCA.crt
-;füge das squid_proxyCA-Zertifikat zum System hinzu, damit es standardmäßig vertrauenswürdig ist
-*cp squid_proxyCA.crt /usr/local/share/ca-certificates
-*update-ca-certificates
-=Zertifikat auf den Clients installieren=
+=Umsetzung=
-!!!'''Wichtig Wichtig Wichtig'''!!!
+*[[Squid-Kit-TLS-CA Debian]]
-*squid_proxyCA.crt auf die Clients kopieren.
+*[[Squid-Kit-TLS-CA Rocky]]
-;Firefox
-*Burgermenu
-**Einstellungen
-***Nach Zertifikaten suchen
-****Zertifikate anzeigen
-*****Zertifizierungsstellen importieren
-;füge das squid_proxyCA-Zertifikat zum System hinzu, damit es standardmäßig vertrauenswürdig ist
-*sudo cp squid_proxyCA.crt /usr/local/share/ca-certificates
-*sudo update-ca-certificates
-=Zertifikats Cache anlegen=
-;security_file_certgen — SSL certificate generator for Squid.
-*Das Generieren und Signieren von SSL-Zertifikaten nimmt Zeit in Anspruch.
-*Squid kann diesen Helfer als externen Prozess verwenden, um die Arbeit zu erledigen.
-*Die Kommunikation erfolgt über TCP-Sockets, die an die Loopback-Schnittstelle gebunden sind.
-*Dieser Helfer kann einen Festplattencache mit Zertifikaten verwenden, um die Antwortzeiten bei wiederholten Anforderungen zu verbessern.
-*Es kann auch ohne Cache arbeiten und generiert bei jeder Anfrage neue Zertifikate.
-*/usr/lib/squid/security_file_certgen -c -s /var/spool/squid/ssl_db -M 4MB
-*chown -R proxy:proxy /var/spool/squid
-=Einfügen in der  squid.conf=
-;unter die  http_access rules
- #nativer Zugriff
- http_port 3128 ssl-bump cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1
- ssl_bump bump all
-=Restart von Squid=
-*systemctl restart squid
-=Misc=
-;Hier ist ein Befehl, um die am häufigsten zwischengespeicherten Domänen anzuzeigen.
-*awk 'BEGIN {FS="[ ]+"}; {print $7}' < /var/log/squid/access.log | awk 'BEGIN {FS="/"}; {print $3}' | sort | uniq -c |sort -k1,1nr -k2,2 | head

Squid-Kit-TLS-CA: Unterschied zwischen den Versionen

Aktuelle Version vom 21. Mai 2026, 11:46 Uhr

Maschine Klonen

Umsetzung

Navigationsmenü

Suche