Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Squid3 SSL Transparent

    Enviado por

    Luís Felipe
    39 visualizações4 páginas
    squid3 bloqueio ssl transparent

    Título original

    Squid3 Ssl Transparent

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    squid3 bloqueio ssl transparent

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    39 visualizações4 páginas

    Squid3 SSL Transparent

    Enviado por

    Luís Felipe
    squid3 bloqueio ssl transparent

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 4

    FILTRAGEM DE PGINAS SSL (443) NO

    SQUID TRANSPARENTE

    INTRODUO E CONFIGURAES
    MOTIVAO
    H pouco tempo, precisei realizar a implantao de um proxy Squid transparente, que realizasse a
    filtragem da navegao em HTTP (80) e navegao segura SSL (443).Ao procurar literatura
    especializada, verifiquei um grande quantitativo de documentao para esta implementao do
    Squid, mas tambm observei que para a navegao segura (SSL- 443), os artigos e fontes de
    pesquisa, praticamente no existiam.
    Depois de muito garimpar e estudar o assunto, resolvi trazer minha experincia no formato de
    contribuio.
    Neste artigo, demonstro o passo a passo para a criao de certificados e chaves que sero utilizados
    no Squid, recompilao do Squid com suporte a SSL (em um Debian Squeeze) e implementao do
    redirecionamento de portas para direcionar o trfego de HTPS e HTTP, para o Squid.

    OPENSSL CRIANDO CERTIFICADOS E


    CHAVES PARA O SQUID
    Para a criao do certificado e gerao da chave pblica e chave privada, utilizaremos os comandos
    abaixo:
    # openssl genrsa -des3 -out empresa. Key 1024
    # openssl req -new key -out empresa.csr
    # openssl req -new -key server. Key -out server.csr
    Aps a criao das chaves, temos que remover a senha da chave:
    # cp empresa. Key empresa. Key.old
    # openssl rsa -in empresa. Key.old -out empresa. Key
    Criar certificado da empresa:
    # openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt

    Ao fim, copiaremos a chave e o certificado para pasta onde o Squid realizar a leitura:
    # cp empresa. Key /etc/squid/certificados/
    # cp empresa. csr /etc/squid/certificados/
    Obs.: A pasta certificados opcional, e a criao foi meramente para efeito de organizao.

    RECOMPILANDO O SQUID COM


    SUPORTE A CONEXES SSL
    Primeiro, devemos adicionar os repositrios abaixo na sources.list do seu Debian Squeeze, editando
    o arquivo: /etc/apt/sources.list:
    deb-src http://ftp.de.debian.org/debian/ squeeze main contrib non-free
    deb-src http://backports.debian.org/debian-backports squeeze-backports main contrib non-free
    deb http://security.debian.org/ squeeze/updates main contrib non-free
    deb-src http://security.debian.org/ squeeze/updates main contrib non-free
    Depois, execute o comando:
    # apt-get update
    Para atualizar a base de dados do APT, com base nos novos repositrios.

    PROCESSO DE RECOMPILAO DO
    SQUID
    Entre no diretrio /usr/src:
    # cd /usr/src
    Baixe os fontes do Squid:
    # apt-get source squid
    Baixe as dependncias de compilao do Squid:
    # apt-get build-dep squid
    Baixe as dependncias de compilao do OpenSSL:
    # apt-get build-dep openssl
    Baixe e instale dependncias necessrias para o recompilao:
    # apt-get install devscripts build-essential fakeroot
    Entre no diretrio dos fontes:
    # cd squid# cd debian/

    Acesse o arquivo rules, e adicione a linha de opo:


    enable-ssl
    No arquivo, para recompilarmos o Squid com suporte a SSL:
    # vim rules
    Configure a nova opo (no execute o make, ou make install):
    # ./configure
    Compile e gere os pacotes para instalao:
    # debuild -us -uc -b
    Instale os dois pacotes gerados:
    # dpkg i squid-(verso).deb squid-comon-(verso).deb

    CONFIGURAO DO SQUID.CONF PARA


    SUPORTE SSL + PROXY
    TRANSPARENTE
    O intuito do arquivo adicionar a funcionalidade de SSL proxy ao Squid, e neste, j pressuponho
    que seu Squid esteja funcional, sendo que adicionaremos apenas as novas funcionalidades.
    No squid.conf, adicione as linhas para ativar o funcionamento da filtragem do HTTP e HTTPS no
    proxy:
    http_port 3128 transparent
    https_port 3129 transparent cert=/etc/squid/certificados/empresa.crt
    Key=/etc/squid/certificados/empresa.key
    Obs.: Verifique que a adio da linha que faz referncia HTTPS_PORT, o momento que
    incorporamos a funcionalidade de suporte a SSL ao Squid. Assim, para o funcionamento pleno
    como argumentos, indicamos onde est localizado o certificado e a chave da empresa.

    IPTABLES REDIRECIONANDO OS
    PACOTES HTTP E HTTPS PARA O SQUID
    Adicione ao seu firewall, o redirecionamento de portas de acesso 80 (http navegao) e 443
    (https- navegao segura):
    Obs.: eth0 Interface de LAN
    # iptables -t nat -A PREROUTING -i eth0 -p tcp dport 80 -j REDIRECT to-port 3128
    # iptables -t nat -A PREROUTING -i eth0 -p tcp dport 443 -j REDIRECT to-port 3129

    CONCLUSO
    A utilizao de filtragem da navegao segura muito importante, e por desconhecimento, ou at
    mesmo por falta de literatura que indique os meios para esta implementao, muitos
    administradores de rede continuam a utilizar o NAT para estes acessos, de forma a no aproveitarem
    toda a potencialidade do seu proxy.

    Você também pode gostar