Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
tachtler:squid_centos_7 [2017/10/19 13:04] – [Portal Splash Pages - Konfiguration] klaus | tachtler:squid_centos_7 [2017/10/19 16:45] (aktuell) – [ssl_bump-Konfiguration] klaus |
---|
# Tachtler - ssl_bump configuration - | # Tachtler - ssl_bump configuration - |
# default: http_port 3128 | # default: http_port 3128 |
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/pki/squid/private/squidCA.key cert=/etc/pki/squid/certs/squidCA.crt | http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/pki/proxy/private/proxyCA.key cert=/etc/pki/proxy/certs/proxyCA.crt |
always_direct allow all | |
ssl_bump server-first all | ssl_bump server-first all |
sslproxy_cert_error allow all | sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE |
sslproxy_flags DONT_VERIFY_PEER | |
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB | sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB |
sslcrtd_children 5 startup=1 idle=1 | sslcrtd_children 5 startup=1 idle=1 |
# Tachtler - ssl_bump configuration - | # Tachtler - ssl_bump configuration - |
# default: http_port 3128 | # default: http_port 3128 |
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/pki/squid/private/squidCA.key cert=/etc/pki/squid/certs/squidCA.crt | http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/pki/proxy/private/proxyCA.key cert=/etc/pki/proxy/certs/proxyCA.crt |
always_direct allow all | |
ssl_bump server-first all | ssl_bump server-first all |
sslproxy_cert_error allow all | sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE |
sslproxy_flags DONT_VERIFY_PEER | |
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB | sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB |
sslcrtd_children 5 startup=1 idle=1 | sslcrtd_children 5 startup=1 idle=1 |
* ''key=/etc/pki/squid/private/squidCA.key'' - Speicherort des Schlüssels (key) der verwendet werden soll | * ''key=/etc/pki/squid/private/squidCA.key'' - Speicherort des Schlüssels (key) der verwendet werden soll |
* ''cert=/etc/pki/squid/certs/squidCA.crt'' - Speicherort des Zertifikates (Root-CA) das verwendet werden soll | * ''cert=/etc/pki/squid/certs/squidCA.crt'' - Speicherort des Zertifikates (Root-CA) das verwendet werden soll |
| |
* <code>always_direct allow all</code> | |
Ermöglicht es dem [[http://www.squid-cache.org|Squid]] //Proxy//-Server, **direkt** mit dem Ziel-Server zu kommunizieren. | |
| |
* <code>ssl_bump server-first all</code> | * <code>ssl_bump server-first all</code> |
Ermöglicht es dem [[http://www.squid-cache.org|Squid]] //Proxy//-Server, im Modus ''server-first'' **zuerst** eine Verbindung zum Ziel-Server aufzubauen, um anschließend ein Zertifikat unter Zuhilfenahme der **eigenen CA** zu erstellen, oder ein bereits von der **eigenen CA** erstelltes Zertifikat zu verwenden, bevor die Kommunikation mit dem z.B. Browser des Endbenutzer statt findet. | Ermöglicht es dem [[http://www.squid-cache.org|Squid]] //Proxy//-Server, im Modus ''server-first'' **zuerst** eine Verbindung zum Ziel-Server aufzubauen, um anschließend ein Zertifikat unter Zuhilfenahme der **eigenen CA** zu erstellen, oder ein bereits von der **eigenen CA** erstelltes Zertifikat zu verwenden, bevor die Kommunikation mit dem z.B. Browser des Endbenutzer statt findet. |
| |
* <code>sslproxy_cert_error allow all</code> | |
Bestimmt das Verhalten des [[http://www.squid-cache.org|Squid]] //Proxy//-Servers, wenn ein **ungültiges** Zertifikat vom Ziel-Server präsentiert wird. | |
| |
:!: **HINWEIS** - **Aus Sicherheitsaspekten __sollte hier später__ ''deny all'' gesetzt werden !** | :!: **HINWEIS** - **Aus Sicherheitsaspekten __sollte hier später__ ''deny all'' gesetzt werden !** |
| |
* <code>sslproxy_flags DONT_VERIFY_PEE</code> | * <code>sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE</code> |
Weist den [[http://www.squid-cache.org|Squid]] //Proxy//-Server an, das Root-Zertifikat aus der **eigenen CA** nicht zu überprüfen, da dies hier ein **self-signed** Zertifikat ist und eine Prüfung dadurch fehlschlagen würde! | Weist den [[http://www.squid-cache.org|Squid]] //Proxy//-Server an, die angegebenen Cipher-Suiten nur zu verwenden. |
| |
* <code>sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB</code> | * <code>sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB</code> |
| |
# Squid normally listens to port 3128 | # Squid normally listens to port 3128 |
# Tachtler - ssl_bump configuration - | http_port 3128 |
# default: http_port 3128 | |
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/pki/squid/private/squidCA.key cert=/etc/pki/squid/certs/squidCA.crt | |
always_direct allow all | |
ssl_bump server-first all | |
sslproxy_cert_error allow all | |
sslproxy_flags DONT_VERIFY_PEER | |
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_squid -M 4MB | |
sslcrtd_children 5 startup=1 idle=1 | |
| |
# Uncomment and adjust the following to add a disk cache directory. | # Uncomment and adjust the following to add a disk cache directory. |
</code> | </code> |
| |
* <code>acl proxy url_regex -i http://squid.tachtler.net/*</code> | * <code bash>acl proxy url_regex -i http://squid.tachtler.net/*</code> |
Definition der der **ACL** ''proxy'' hinter der sich z.B die PHP-Seiten und ggf. Images für den Aufruf der ''splash.php'' befinden. | Definition der der **ACL** ''proxy'' hinter der sich z.B die PHP-Seiten und ggf. Images für den Aufruf der ''splash.php'' befinden. |
| |
* <code>external_acl_type session concurrency=100 ttl=3 %SRC /usr/lib64/squid/ext_session_acl -a -T 60 -b /var/lib/squid/sessions/</code> | * <code bash>external_acl_type session concurrency=100 ttl=3 %SRC /usr/lib64/squid/ext_session_acl -a -T 60 -b /var/lib/squid/sessions/</code> |
Erstellen eines **AKTIVEN-Session** mit einer **Anmeldungsdauer zum __TESTEN__** von **60 Sekunden** und unter Zuhilfenahme eines externen Programms ''/usr/lib64/squid/ext_session_acl'' ebenfalls mit einer **Session-Laufzeit zum __TESTEN__** von **60 Sekunden**, welche in einer **BerkelyDB** unter nachfolgendem Pfad ''/var/lib/squid/sessions/'' abgelegt wird. | Erstellen eines **AKTIVEN-Session** mit einer **Anmeldungsdauer zum __TESTEN__** von **60 Sekunden** und unter Zuhilfenahme eines externen Programms ''/usr/lib64/squid/ext_session_acl'' ebenfalls mit einer **Session-Laufzeit zum __TESTEN__** von **60 Sekunden**, welche in einer **BerkelyDB** unter nachfolgendem Pfad ''/var/lib/squid/sessions/'' abgelegt wird. |
| |
* <code>acl session_login external session LOGIN</code> | * <code bash>acl session_login external session LOGIN</code> |
ACL welche die **Anmeldeinformationen** aus dem **AKTIVEN-Session** Hilfsprogramm ebenfalls an die **Session** bindet. | ACL welche die **Anmeldeinformationen** aus dem **AKTIVEN-Session** Hilfsprogramm ebenfalls an die **Session** bindet. |
| |
* <code>acl clicked_login_url url_regex -i ^http://squid.tachtler.net/html/accept.php$</code> | * <code bash>acl clicked_login_url url_regex -i ^http://squid.tachtler.net/html/accept.php$</code> |
ACL welche zutrifft, wenn die definierte URL, hier **URL - ''http://squid.tachtler.net/html/accept.php''** aufgerufen wird, diese in der **Session** als **aufgerufen** zu kennzeichnen. | ACL welche zutrifft, wenn die definierte URL, hier **URL - ''http://squid.tachtler.net/html/accept.php''** aufgerufen wird, diese in der **Session** als **aufgerufen** zu kennzeichnen. |
| |
* <code>http_access allow clicked_login_url session_login</code> | * <code bash>http_access allow clicked_login_url session_login</code> |
Überprüfung, wenn die **URL - ''http://squid.tachtler.net/html/accept.php''** noch nicht aufgerufen wurde, den Zugriff auf die **ursprüngliche vom Browser/Benutzer angeforderte URL** zu verweigern! | Überprüfung, wenn die **URL - ''http://squid.tachtler.net/html/accept.php''** noch nicht aufgerufen wurde, den Zugriff auf die **ursprüngliche vom Browser/Benutzer angeforderte URL** zu verweigern! |
| |
* <code>http_access allow proxy</code> | * <code bash>http_access allow proxy</code> |
Zugriff auf die Ressource welche in der **ACL** ''proxy'' definiert wurde, auch **__ohne__** Aufrufzustimmung zulassen. | Zugriff auf die Ressource welche in der **ACL** ''proxy'' definiert wurde, auch **__ohne__** Aufrufzustimmung zulassen. |
| |
* <code>http_access deny !session_is_active</code> | * <code bash>http_access deny !session_is_active</code> |
Alle weiteren Zugriffe verweigern, bis die aktive Session mit der definierten URL, hier **URL - ''http://squid.tachtler.net/html/accept.php''** aufgerufen wurde, und diese in der **Session** als **aufgerufen** gekennzeichnet wurde. | Alle weiteren Zugriffe verweigern, bis die aktive Session mit der definierten URL, hier **URL - ''http://squid.tachtler.net/html/accept.php''** aufgerufen wurde, und diese in der **Session** als **aufgerufen** gekennzeichnet wurde. |
| |
* <code>deny_info 511:splash.php session_is_active</code> | * <code bash>deny_info 511:splash.php session_is_active</code> |
Anzeige der sogenannten **''deny_info''** - was der **Portal Splash Page** entspricht, **solange** die **URL - ''http://squid.tachtler.net/html/accept.php''** nicht aufgerufen wurde! | Anzeige der sogenannten **''deny_info''** - was der **Portal Splash Page** entspricht, **solange** die **URL - ''http://squid.tachtler.net/html/accept.php''** nicht aufgerufen wurde! |
| |