Content Scan

• Auf dem Client muss das CA Zertifikat des Proxy installiert sein.
• Proxy generiert für jede Anfrage ein neues Zertifikat und schickt es dem Client.
• Client denkt er kommuniziert mit dem Original Server
• Virenscan ist möglich
• Webserver denkt die Anfrage kommt von einem normalen Client
• Prinzip der Man in the Middle Attacke

[Bearbeiten]

Installation von squid

Wir brauchen eine angepasste Version von squid

Diese können wir selbst komplilieren oder das squid-openssl Paket von nutzen

• apt install squid-openssl

Erstellen eines Selbstsignierten Zertifikates

Verzeichnis anlegen

• mkdir /etc/squid/certs
• cd /etc/squid/certs

Generieren Sie ein lokales selbstsigniertes CA-Zertifikat und geheimen Schlüssel (in derselben Datei))

• openssl req -new -newkey rsa:4096 -sha256 -days 365 -nodes -x509 -keyout squid_proxyCA.pem -out squid_proxyCA.pem
• chown -R proxy:proxy squid_proxyCA.pem
• chmod 0400 squid_proxyCA.pem

Wir extrahieren das ca.crt aus dem Container

• openssl x509 -inform PEM -in squid_proxyCA.pem -out squid_proxyCA.crt

füge das squid_proxyCA-Zertifikat zum System hinzu, damit es standardmäßig vertrauenswürdig ist

• cp squid_proxyCA.crt /usr/local/share/ca-certificates
• update-ca-certificates

Zertifikat auf den Clients installieren

!!!Wichtig Wichtig Wichtig!!!

• squid_proxyCA.crt auf die Clients kopieren.

Firefox

• Burgermenu
  • Einstellungen
    • Nach Zertifikaten suchen
      • Zertifikate anzeigen
        • Zertifizierungsstellen importieren

füge das squid_proxyCA-Zertifikat zum System hinzu, damit es standardmäßig vertrauenswürdig ist

   cp squid_proxyCA.crt /usr/local/share/ca-certificates
   update-ca-certificates

Zertifikats Cache anlegen

security_file_certgen — SSL certificate generator for Squid.

• Das Generieren und Signieren von SSL-Zertifikaten nimmt Zeit in Anspruch.
• Squid kann diesen Helfer als externen Prozess verwenden, um die Arbeit zu erledigen.
• Die Kommunikation erfolgt über TCP-Sockets, die an die Loopback-Schnittstelle gebunden sind.
• Dieser Helfer kann einen Festplattencache mit Zertifikaten verwenden, um die Antwortzeiten bei wiederholten Anforderungen zu verbessern.
• Es kann auch ohne Cache arbeiten und generiert bei jeder Anfrage neue Zertifikate.

• /usr/lib/squid/security_file_certgen -c -s /var/spool/squid/ssl_db -M 4MB
• chown -R proxy:proxy /var/spool/squid

Die squid.conf

acl SSL_ports port 443

acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 1025-65535  # unregistered ports

acl purge method PURGE
acl CONNECT method CONNECT
#Anpassen
acl lan src 192.168.10.0/24

http_access allow manager localhost
http_access deny manager

http_access allow purge localhost
http_access deny purge

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow lan
http_access allow localhost
http_access deny all


#nativer Zugriff
http_port 3128 ssl-bump cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE
#transparenter Zugriff unverschlüsselt
http_port 3129 intercept
#transparenter Zugriff verschlüsselt '''wichtig https_port'''
https_port 3130 ssl-bump intercept cert=/etc/squid/certs/squid_proxyCA.pem generate-host-certificates=on options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1,SINGLE_DH_USE,SINGLE_ECDH_USE

ssl_bump bump all

coredump_dir /var/spool/squid
logfile_rotate 0

refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
refresh_pattern .       0   20% 4320

cache_dir ufs /var/spool/squid 200 16 256

Restart von Squid

• systemctl restart squid

Misc

Hier ist ein Befehl, um die am häufigsten zwischengespeicherten Domänen anzuzeigen.

• awk 'BEGIN {FS="[ ]+"}; {print $7}' < /var/log/squid/access.log | awk 'BEGIN {FS="/"}; {print $3}' | sort | uniq -c |sort -k1,1nr -k2,2 | head

Links

• https://unix.stackexchange.com/questions/613359/setting-up-squid-transparent-proxy-with-ssl-bumping-on-debian-10
• https://wiki.squid-cache.org/Features/SslBump