Postagens

Mostrando postagens de junho, 2018

Squid + ssl-bump e as hierarquias tupiniquins

Imagem
Antes de assinar páginas com seu certificado, quando bump é feito (não aplica-se a splice [1] ), o Squid validará o certificado do servidor web. Em caso de falha, retornará uma página de erro ao cliente — a menos que liberemos com sslproxy_cert_error , que é perigoso. Precisamos instalar as autoridades certificadoras raiz brasileiras na máquina onde o Squid roda. Fedora/RHEL e derivados [2] : # wget http://acraiz.icpbrasil.gov.br/credenciadas/RAIZ/ICP-Brasilv2.crt -O /etc/pki/ca-trust/source/anchors/ICP-Brasilv2.pem # wget http://acraiz.icpbrasil.gov.br/credenciadas/RAIZ/ICP-Brasilv5.crt -O /etc/pki/ca-trust/source/anchors/ICP-Brasilv5.pem # update-ca-trust # systemctl reload squid.service (enquanto escrevo, V2 e V5 estão em uso) Ao servirem páginas assinadas por certificados intermediários (a maioria), servidores web bem configurados entregam a cadeia necessária, que é usada pelo Squid 4+. Para os raros casos de servidores que não o façam, dá para especificar manualment...

Modos de funcionamento do Squid

Considerando forward proxies, temos: Não transparente http_port 3128 Modo tradicional. Os clientes precisam ser configurados para usarem o proxy. NAT não é requerida no servidor — é desaconselhável inclusive [1] . Tráfego HTTP é filtrado e cacheado. Tráfego HTTPS é tunelado sem modificações; portanto, não é cacheado. Domínios HTTPS podem ser filtrados; URLs HTTPS (que incluem a parte interna dos endereços) não são visíveis, pois, após a conexão TLS [2] ser estabelecida, o proxy nada mais sabe a respeito. Transparente HTTP # sysctl -w net.ipv4.ip_forward=1 # iptables -t mangle -A PREROUTING -i int_interna -p tcp -m tcp --dport 3129 -j DROP # iptables -t nat -A PREROUTING -i int_interna -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129 # iptables -t nat -A POSTROUTING -o int_externa -j MASQUERADE http_port 3128 http_port 3129 intercept Dispensa configuração nos clientes. NAT é requerida. Tráfego da porta 80, proveniente da rede interna, é redirecionado para o próprio s...