Pull to refresh

Comments 18

«Береги корневые сертификаты смолоду» © народная мудрость
Корневой сертификат обычно уже в публичном доступе. Вот с приватными ключами да — надо беречь.
нет возможности проверить ssl трафик антивирусной программой

какие мы заботливые…

p.s.
./chrome --no-running-insecure-content --no-displaying-insecure-content
А как же без заботы в нашё время?

В добавок к антивирусу ещё можно DLP прикрутить. Что б не выносился «сор из избы».
Десктопным браузерам можно подсунуть корневой сертификат, а как быть с другим П.О., Айосами и Андроидами?

Например, Dropbox при таком варианте не работает.
Для iOS есть iPhone Configuration Utility, которая умеет добавлять корневые CA, настраивать профили VPN и делать подобные вещи. Для Android должно быть что-то похожее.
А небезопасный софт можно запретить либо использовать более навороченный DPI.
Это ключи для VPN, доступ к корневым сертификатам получить сложнее, для android надо потрошить прошивку и менять там 1 файл.
Тут пишут, что в 4.0 появился мастер импорта сертификатов.
Спасибо!
Как я понял, все равно надо рутованный андроид для этого.
Там специально выделено: NO root-access is required, а ниже уже идут инструкции по рутованию предыдущих версий.
У меня при таком варианте не работает Dropbox, qip — icq и есть проблема с фесбуком на Mozilla (на хроме работает нормально), а на планшете под Android почему-то не открывается gmail.com, но работает фейсбук.
Я так понимаю Dropbox нужно пускать мимо squid?
Подскажите, Squid умеет проверять https-трафик в прозрачном режиме, а не только в режиме прокси?
Я не далал такой настройки, но по идее squid должен уметь это делать через iptables.
Хорошая статья.

Порты в прокси лучше разнести, т.к были замечены глюки/ошибки загрузок страниц, и сквидовские сообщения loop-detected, например так:
http_port local_ip:3128
http_port local_ip:3129 intercept
https_port local_ip:3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/tmp/squid.pem key=/tmp/squid.pem


Ещё добавлю — проксирование без подмены сертификата (и соответственно заморочки с установкой пользователям
самописного сертификата) можно избежать, если прописать
ssl_bump none
В этом случае генерация сертификата и его подмена производится не будет, и сквид просто пропустить HTTPS-соединение.

Для сгенерированных сертификатов актуальная опция:
ssl_bump server-first all # Для того, чтобы в CN был домен, а не IP

Прозрачное проксирование работает нормально, к примеру, для freebsd остаточно строк:
#
ipfw add 50 allow tcp from me to any 80,443 out via ${extif} keep-state uid squid
#http
ipfw add 51 fwd local_ip,3129 tcp from ${lan} to any 80 out via ${extif}
#https
ipfw add 52 fwd local_ip,3130 tcp from ${lan} to any 443 out via ${extif}

А вот с фильтрацией https-трафика в этом году возникла новая неприятная ситуация. Оригинал:

=== выдержка из документации сквида ===
Примерный перевод:
Некоторые браузеры отправляют IP-адреса в запросы на подключение, даже если пользователь ввел имя сервера (url — не ip) в адресной строке. Ничего не можем с этим поделать, т.к мы не отвечаем за исходный код браузеров.

Оригинал:
Some browsers (e.g., Rekonq browser v0.7.x) send IP addresses in CONNECT requests even when the user typed a host name in the address bar. Squid cannot handle both such browsers and URLs with IP addresses instead of host names because Squid cannot distinguish one case from another. There is nothing we can do about it until somebody contributes code to reliably detect CONNECT requests from those «unusual» browsers.
=== выдержка из документации сквида ===

И эти «некоторые браузеры» — это все современные (хром, ie11 и прочие) просто перестали обращатся в сайтам по доменному имени, передавая в строке не URL, а исключительно IP :(

Соответственно, если мы хотим запретить, например, вход на mail.ru по домену — то мы можем это сделать только для пользователей с Win XP, и максимально IE8.

Пример из лога сквида (вырезка 1 строчки из входа на mail.ru):
=== https-запрос от пользователя на XP с IE8 ===
1409725807.296 317 192.168.21.6 TCP_MISS/200 341 CONNECT rs.mail.ru:443 — HIER_DIRECT/94.100.181.196 — === https-запрос от пользователя на XP с IE8 ===

=== https-запрос от пользователя на XP с IE11 ===
1409733165.939 2034 192.168.21.77 TCP_MISS/200 1392 CONNECT 94.100.181.196:443 — HIER_DIRECT/94.100.181.196 — === https-запрос от пользователя на XP с IE11 ===

Возможно здесь кто подскажет, как выкрутится из ситуации?
Вы уверены что есть проксирование без подмены сертификата?
Я ничего не нашел по этому поводу.
Просто в таком случае решится проблема с Android девайсами, не нужно будет устанавливать на них сертификаты и принудительно блокировать экран паролем.
Подскажите есть ли возможность логировать POST запросы(целиком) в сквиде, особенно в режиме ssl_bumping'a?

К сожалению сертификат приходится менять по сроку его истечения.

Стоит заметить, что если по какой-то причине вы поменяли ваш сертификат для squid'а, то надо полностью очистить каталог /opt/squid/var/lib/ssl_db и заново инициализировать сертификатную базу данных.

Каким образом заново инициализировать сертификатную базу данных?

Sign up to leave a comment.

Articles