Filtragem de páginas SSL (443) no Squid transparente

Este artigo, visa solucionar o problema na utilização de HTTPS (443) no Squid transparente, o que muitos denotam como um problema sem solução. Para tanto, será apontado um passo a passo para implementação do Squid transparente com suporte a HTTPS (443) e HTTP (80).

[ Hits: 53.932 ]

Por: Edivaldo Cavalcante de ALbuquerque Junior em 31/08/2012


Introdução e Configurações



Motivação

Há pouco tempo, precisei realizar a implantação de um proxy Squid transparente, que realizasse a filtragem da navegação em HTTP (80) e navegação segura - SSL (443).

Ao procurar literatura especializada, verifiquei um grande quantitativo de documentação para esta implementação do Squid, mas também observei que para a navegação segura (SSL- 443), os artigos e fontes de pesquisa, praticamente não existiam.

Depois de muito garimpar e estudar o assunto, resolvi trazer minha experiência no formato de contribuição, para a comunidade GNU/Linux do VOL.

Neste artigo, demonstro o passo a passo para a criação de certificados e chaves que serão utilizados no Squid, recompilação do Squid com suporte a SSL (em um Debian Squeeze) e implementação do redirecionamento de portas para direcionar o tráfego de HTPS e HTTP, para o Squid.

OpenSSL - criando certificados e chaves para o Squid

Para a criação do certificado e geração da chave pública e chave privada, utilizaremos os comandos abaixo:

# openssl genrsa -des3 -out empresa. Key 1024
# openssl req -new –key -out empresa.csr
# openssl req -new -key server. Key -out server.csr


Após a criação das chaves, temos que remover a senha da chave:

# cp empresa. Key empresa. Key.old
# openssl rsa -in empresa. Key.old -out empresa. Key


Criar certificado da empresa:

# openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt

Ao fim, copiaremos a chave e o certificado para pasta onde o Squid realizará a leitura:

# cp empresa. Key /etc/squid/certificados/
# cp empresa. csr /etc/squid/certificados/


Obs.: A pasta "certificados" é opcional, e a criação foi meramente para efeito de organização.

Recompilando o Squid com suporte a conexões SSL

Primeiro, devemos adicionar os repositórios abaixo na sources.list do seu Debian Squeeze, editando o arquivo: /etc/apt/sources.list:

deb-src http://ftp.de.debian.org/debian/ squeeze main contrib non-free
deb-src http://backports.debian.org/debian-backports squeeze-backports main contrib non-free
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free


Depois, execute o comando:

# apt-get update

Para atualizar a base de dados do APT, com base nos novos repositórios.

Processo de recompilação do Squid

Entre no diretório /usr/src:

# cd /usr/src

Baixe os fontes do Squid:

# apt-get source squid

Baixe as dependências de compilação do Squid:

# apt-get build-dep squid

Baixe as dependências de compilação do OpenSSL:

# apt-get build-dep openssl

Baixe e instale dependências necessárias para o recompilação:

# apt-get install devscripts build-essential fakeroot

Entre no diretório dos fontes:

# cd squid-<versão>
# cd debian/


Acesse o arquivo “rules”, e adicione a linha de opção:

--enable-ssl


...No arquivo, para recompilarmos o Squid com suporte a SSL:

# vim rules

Configure a nova opção (não execute o make, ou make install):

# ./configure

Compile e gere os pacotes para instalação:

# debuild -us -uc -b

Instale os dois pacotes gerados:

# dpkg –i squid-(versão).deb squid-comon-(versão).deb

Configuração do squid.conf para suporte à SSL + proxy transparente

O intuito do arquivo é adicionar a funcionalidade de SSL proxy ao Squid, e neste, já pressuponho que seu Squid esteja funcional, sendo que adicionaremos apenas as novas funcionalidades.

No "squid.conf", adicione as linhas para ativar o funcionamento da filtragem do HTTP e HTTPS no proxy:

http_port 3128 transparent
https_port 3129 transparent cert=/etc/squid/certificados/empresa.crt Key=/etc/squid/certificados/empresa.key


Obs.: Verifique que a adição da linha que faz referência à "HTTPS_PORT", é o momento que incorporamos a funcionalidade de suporte a SSL ao Squid. Assim, para o funcionamento pleno como argumentos, indicamos onde está localizado o certificado e a chave da empresa.

Iptables - Redirecionando os pacotes HTTP e HTTPS para o Squid

Adicione ao seu firewall, o redirecionamento de portas de acesso 80 (http - navegação) e 443 (https- navegação segura):

Obs.: eth0 - Interface de LAN

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3129


Conclusão

A utilização de filtragem da navegação segura é muito importante, e por desconhecimento, ou até mesmo por falta de literatura que indique os meios para esta implementação, muitos administradores de rede continuam a utilizar o NAT para estes acessos, de forma a não aproveitarem toda a potencialidade do seu proxy.

Espero que este artigo contribua para toda comunidade do VOL, na busca por uma literatura mais coesa e direta sobre este assunto.

   

Páginas do artigo
   1. Introdução e Configurações
Outros artigos deste autor

Uma excelente ferramenta de monitoramento de rede

Leitura recomendada

Squid - Bloqueando definitivamente o MSN Messenger e Orkut

SQUID: Autenticação em banco de dados MySQL cruzando IP/MAC/USUÁRIO e SENHA

Squid autenticando com firewall x CNS e conexão segura da Caixa

Proxy em paralelo com o mikrotik

Configurar servidor proxy Squid (Ubuntu)

  
Comentários
[1] Comentário enviado por removido em 31/08/2012 - 14:05h

Primeiramente parabéns pelo artigo!
Configurando desta forma, simplifica-se bastante o controle de acesso para sites que também são acessados por https(SSL/TLS), como as redes sociais.

Fiz algo semelhante para um cliente, entretanto tive problemas ao acessar alguns sites (BB, Caixa, tribunal de justiça e sites de outros órgãos públicos ... ) acredito que seja devido ao certificado(do servidor) ser "auto assinado" e/ou requerer alguma configuração extra para sites com certificados gerados pelo ICP-Brasil.
Contornei o problema com ajuda do iptables, criando uma lista de sites que não precisam passar polo proxy(um "for" para o arquivo com a lista). Mas como o arquivo precisa ser eventualmente atualizado, estou a procura de uma forma de resolver isso direto no squid.

Também teve problemas com isso? Caso positivo, alguma dica de solução?




*A quem possa interessar, no CentOS não existe a necessidade de recompilação do squid, o pacote fornecido nos repositórios já suporta ssl.

[2] Comentário enviado por daleffe em 31/08/2012 - 16:31h

Boa tarde!

Parabéns pelo artigo. Já implementei solução semelhante e para não ocorrer o problema com os certificados, citado pelo @erisrjr, pode ser feito o registro do certificado nas máquinas clientes usando políticas de grupo ou um tal de Microsoft Certification Authority, que pelo que andei lendo, atua como autoridade certificadora em redes locais Microsoft.

Vale lembrar que é possível, também nesse procedimento de SSL transparente, fazer ajustes que peçam a permissão do usuário, via browser, para monitorar a conexão HTTPS dessa forma.

[3] Comentário enviado por fernandoborges em 31/08/2012 - 19:27h

Parabéns por essa grande contribuição à Comunidade. Excelente artigo!

[4] Comentário enviado por osmano807 em 31/08/2012 - 20:43h

Mas aí invalida toda a vantagem de se usar https, que é a garantia da autenticidade dos dados. Você vai poder limitar, mas o usuário final estará com sua liberdade ferida.

[5] Comentário enviado por removido em 31/08/2012 - 23:14h


[4] Comentário enviado por osmano807 em 31/08/2012 - 20:43h:

Mas aí invalida toda a vantagem de se usar https, que é a garantia da autenticidade dos dados. Você vai poder limitar, mas o usuário final estará com sua liberdade ferida.



Não invalida, apenas o certificado dos sites acessados passam a ser verificados pelo proxy(squid) e não pelo navegador(que "enxergara" apenas o certificado usado no squid). Daí os "problemas" que tive, pois não havia mais como o usuário adicionar a chave desses sites manualmente(Se pensarmos apenas na segurança, isso impede que os usuários adicionem "qualquer" certificado no navegador, como normalmente ocorre).

Quanto a liberdade do usuário, não acredito que seja alienada neste caso, esta medida visa apenas garantir que a politica de uso da rede seja cumprida. Ações como a configuração de proxy/filtros de conteúdo, se fazem necessárias principalmente pela falta de "bom senso" dos usuários quanto ao uso das redes corporativas, comprometendo a disponibilidade de recursos e segurança destas.

[6] Comentário enviado por removido em 31/08/2012 - 23:24h


[2] Comentário enviado por daleffe em 31/08/2012 - 16:31h:

Boa tarde!

Parabéns pelo artigo. Já implementei solução semelhante e para não ocorrer o problema com os certificados, citado pelo @erisrjr, pode ser feito o registro do certificado nas máquinas clientes usando políticas de grupo ou um tal de Microsoft Certification Authority, que pelo que andei lendo, atua como autoridade certificadora em redes locais Microsoft.
...


Vou pesquisar como fazer via GPO(indica alguma leitura?). Se não me engano, para usar o "Microsoft Certification Authority" é necessário uma maquina com o Windows Server na rede.


[2] Comentário enviado por daleffe em 31/08/2012 - 16:31h:
...

Vale lembrar que é possível, também nesse procedimento de SSL transparente, fazer ajustes que peçam a permissão do usuário, via browser, para monitorar a conexão HTTPS dessa forma.


Poderia dar um exemplo?

Obrigado.

[7] Comentário enviado por madtrek em 01/09/2012 - 11:12h

Bom dia .

Eu estava justamente pesquisando este assunto, e havia encontrado tutoriais parecidos em Inglês, mas nenhum tão conciso quanto o seu, parabens !

Só restou um detalhe a tratar, quando ocorrerem atualizações de segurança no Squid, será necessário atualizar os fontes e compilar novamente, correto ?

Qual seria a melhor maneira de se executar esta tarefa sem nenhum "downtime" ??


Fábio Rabelo

[8] Comentário enviado por edivaldocaj em 01/09/2012 - 12:02h


[1] Comentário enviado por erisrjr em 31/08/2012 - 14:05h:

Primeiramente parabéns pelo artigo!
Configurando desta forma, simplifica-se bastante o controle de acesso para sites que também são acessados por https(SSL/TLS), como as redes sociais.

Fiz algo semelhante para um cliente, entretanto tive problemas ao acessar alguns sites (BB, Caixa, tribunal de justiça e sites de outros órgãos públicos ... ) acredito que seja devido ao certificado(do servidor) ser "auto assinado" e/ou requerer alguma configuração extra para sites com certificados gerados pelo ICP-Brasil.
Contornei o problema com ajuda do iptables, criando uma lista de sites que não precisam passar polo proxy(um "for" para o arquivo com a lista). Mas como o arquivo precisa ser eventualmente atualizado, estou a procura de uma forma de resolver isso direto no squid.

Também teve problemas com isso? Caso positivo, alguma dica de solução?




*A quem possa interessar, no CentOS não existe a necessidade de recompilação do squid, o pacote fornecido nos repositórios já suporta ssl.


Caro erisrjr,

Desde já Agradeço peolo bom comentario sobre o artigo e em relação aos problemas citados por você, utilizo tambem o iptables para bypass os sites que não funcionam corretamente...

[9] Comentário enviado por edivaldocaj em 01/09/2012 - 12:05h


[2] Comentário enviado por daleffe em 31/08/2012 - 16:31h:

Boa tarde!

Parabéns pelo artigo. Já implementei solução semelhante e para não ocorrer o problema com os certificados, citado pelo @erisrjr, pode ser feito o registro do certificado nas máquinas clientes usando políticas de grupo ou um tal de Microsoft Certification Authority, que pelo que andei lendo, atua como autoridade certificadora em redes locais Microsoft.

Vale lembrar que é possível, também nesse procedimento de SSL transparente, fazer ajustes que peçam a permissão do usuário, via browser, para monitorar a conexão HTTPS dessa forma.


Caro daleffe,

obrigados pelos parabens, e desde já agradeço seu comentario, achei interessante sua solução e vou procurar literatura sobre o assunto. vejo realmente que estamos usando o espaço do VOL para a causa certa, disseminar o conhencimento...

[10] Comentário enviado por edivaldocaj em 01/09/2012 - 12:06h


[3] Comentário enviado por fernandoborges em 31/08/2012 - 19:27h:

Parabéns por essa grande contribuição à Comunidade. Excelente artigo!


Caro fernandoborges,

Como comentei antes, Uso muito este espaço como base para procurar artigos de qualidade na nossa area e nada mais justo de prestar alguma contribuição.
Obrigado ao fim pelo comentario de agradecimento..

[11] Comentário enviado por edivaldocaj em 01/09/2012 - 12:13h


[4] Comentário enviado por osmano807 em 31/08/2012 - 20:43h:

Mas aí invalida toda a vantagem de se usar https, que é a garantia da autenticidade dos dados. Você vai poder limitar, mas o usuário final estará com sua liberdade ferida.


Caro osmano807,

Li seu comentario e acho muito valido opinioes que contribuão para uma rodada de discursões. Sobre seu comentario tenho uma visão parecida com erisrjr, pois tenho em mim uma politica na Gerencia de Redes, de proteger o usuario dele propio é contribuir para segurança dele e da continuidade operacional da empresa...Assim prefiro restrigir algumas funçoes que ter em outros momentos um downtime causados por inobicievancia da segurança.

[12] Comentário enviado por edivaldocaj em 01/09/2012 - 12:17h


[7] Comentário enviado por madtrek em 01/09/2012 - 11:12h:

Bom dia .

Eu estava justamente pesquisando este assunto, e havia encontrado tutoriais parecidos em Inglês, mas nenhum tão conciso quanto o seu, parabens !

Só restou um detalhe a tratar, quando ocorrerem atualizações de segurança no Squid, será necessário atualizar os fontes e compilar novamente, correto ?

Qual seria a melhor maneira de se executar esta tarefa sem nenhum "downtime" ??


Fábio Rabelo


Caro Fábio Rabelo,

Igualmente a voce pesquisei muito e pouca literatura encontrei, e as que encontrei estavam incompletas e em inglês, mas após algum trabalho está o resultado em forma de contribuição para nosso espaço aqui no VOL. Em relação ao seu questionamento, não atentei para esta questão e de posse da duvida, vou procurar alguma informação ou ate mesmo tentar simular uma atualização de segurança para obter os resultados. Obrigado pelo comentario...




[13] Comentário enviado por diego_l88 em 03/09/2012 - 10:38h

Só acho sacanagem copiar a porr@ de outro lugar: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https não dar os devidos créditos e ainda por cima copiar os comandos errados:

Comandos corretos:

openssl genrsa -des3 -out empresa.Key 1024
openssl req -new –key empresa.Key -out empresa.csr
openssl req -new -key server.Key -out server.csr

[14] Comentário enviado por edivaldocaj em 03/09/2012 - 10:47h


[13] Comentário enviado por diego_l88 em 03/09/2012 - 10:38h:

Só acho sacanagem copiar a porr@ de outro lugar: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https não dar os devidos créditos e ainda por cima copiar os comandos errados:

Comandos corretos:

openssl genrsa -des3 -out empresa.Key 1024
openssl req -new –key empresa.Key -out empresa.csr
openssl req -new -key server.Key -out server.csr


Caro diego_l88,

Acho que voce sequer leu o Artigo todo, pois se tivesse lido todo verificaria que este artigo tem um conteudo bem superior ao apresentado no seu link.
Outrossim, se voce tivesse lido por completo o artigo, verificaria tambem que fiz uma busca por toda literatura sobre o assunto na internet e em outros meios e desta pesquisa nasceu, e assim não há que se dá credito se este artigo é original, se duvidas procure um artigo asism tão completo e o traga e assim poderá postar tais comentarios de outra forma voce esta sendo no minimo sem etica..sem mas...

[15] Comentário enviado por diego_l88 em 03/09/2012 - 10:55h

Cara, melhor tu revisar o teu post, tem muita coisa errada e sem pé nem cabeça.

[16] Comentário enviado por diego_l88 em 03/09/2012 - 11:46h

Amigo, você se quer se deu o trabalho de corrigir os comandos copiados do outro site. Você tentou executar os comandos que você colocou? Se sim, me passe a versão do seu openssl, pois no meu deu erro de sintaxe.


[14] Comentário enviado por edivaldocaj em 03/09/2012 - 10:47h:


[13] Comentário enviado por diego_l88 em 03/09/2012 - 10:38h:

Só acho sacanagem copiar a porr@ de outro lugar: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https não dar os devidos créditos e ainda por cima copiar os comandos errados:

Comandos corretos:

openssl genrsa -des3 -out empresa.Key 1024
openssl req -new –key empresa.Key -out empresa.csr
openssl req -new -key server.Key -out server.csr

Caro diego_l88,

Acho que voce sequer leu o Artigo todo, pois se tivesse lido todo verificaria que este artigo tem um conteudo bem superior ao apresentado no seu link.
Outrossim, se voce tivesse lido por completo o artigo, verificaria tambem que fiz uma busca por toda literatura sobre o assunto na internet e em outros meios e desta pesquisa nasceu, e assim não há que se dá credito se este artigo é original, se duvidas procure um artigo asism tão completo e o traga e assim poderá postar tais comentarios de outra forma voce esta sendo no minimo sem etica..sem mas...



[17] Comentário enviado por edivaldocaj em 03/09/2012 - 11:54h


[16] Comentário enviado por diego_l88 em 03/09/2012 - 11:46h:

Amigo, você se quer se deu o trabalho de corrigir os comandos copiados do outro site. Você tentou executar os comandos que você colocou? Se sim, me passe a versão do seu openssl, pois no meu deu erro de sintaxe.


[14] Comentário enviado por edivaldocaj em 03/09/2012 - 10:47h:


[13] Comentário enviado por diego_l88 em 03/09/2012 - 10:38h:

Só acho sacanagem copiar a porr@ de outro lugar: http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https não dar os devidos créditos e ainda por cima copiar os comandos errados:

Comandos corretos:

openssl genrsa -des3 -out empresa.Key 1024
openssl req -new –key empresa.Key -out empresa.csr
openssl req -new -key server.Key -out server.csr

Caro diego_l88,

Acho que voce sequer leu o Artigo todo, pois se tivesse lido todo verificaria que este artigo tem um conteudo bem superior ao apresentado no seu link.
Outrossim, se voce tivesse lido por completo o artigo, verificaria tambem que fiz uma busca por toda literatura sobre o assunto na internet e em outros meios e desta pesquisa nasceu, e assim não há que se dá credito se este artigo é original, se duvidas procure um artigo asism tão completo e o traga e assim poderá postar tais comentarios de outra forma voce esta sendo no minimo sem etica..sem mas...



Caro diego_l88,

EStou nesta comunidade desde 2007 sempre que posso contribuindo para ocrescimento da mesma, já voce sequer jamais publicou qualquer artigo que vise ajudar esta comunidade, acho que voce esta é querendo tumultuar um bom trabalho com comentaris de pouca relevancia e que denotam simplesmente seu pouco conhecimento.
Caso Voce realmente se interesse pelo assunto e precise realmente interagir de forma idonea estou realmente disposto a te ajudar, mas pelo que percebo isto não é realmente oque voce quer.
E se a acertiva é verdadeira faça um favor a esta comunidade, comece a contribuir com o VOL ou aprenda pelo menos a reconhcer bons artigos.

Obs, se estas com problemas na Sintaxe procure o HELP do Openssl, ele pode te ajudar e melhor ve se cria um artigo sobre tal para que possamos disfrutar do seu conhecimento.

[18] Comentário enviado por removido em 03/09/2012 - 13:37h

O fato do usuário diego_l88 não ter publicado artigos ou não contribuir de forma mais constante com o VOL, não o impede de fazer uma critica e não creio que seja correto, apenas por isso invalida-la.

Lendo com atenção os dois artigos, fica claro(ao menos para mim) que o publicado aqui NÃO é uma copia do outro, por fatores como:
Usarem distribuições diferentes(A forma de instalação do squid é diferente).
O texto base do artigo é diferente(No publicado aqui, não é abordado como essa implementação funciona de forma "teórica" por exemplo).

Entretendo os comandos usados são praticamente os mesmos(A principio não haveria problemas nisso, ja que essa é uma das formas para gerar as chaves no openssl). Mas o Erro de sintaxe (um espaço no primeiro Comando para gerar a chave) encontrado no outro artigo, se reproduz neste:

Artigo citado pelo diego_l88:
http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https

openssl genrsa -des3 -out server. Key 1024
openssl req -new –key -out server.csr
openssl req -new -key server. Key -out server.csr



Artigo publicado pelo edivaldocaj:

# openssl genrsa -des3 -out empresa. Key 1024
# openssl req -new –key -out empresa.csr
# openssl req -new -key server. Key -out server.csr


O que indica fortemente que o autor baseou esta parte, no artigo citado pelo diego_l88.

edivaldocaj, acredito que a inclusão do artigo citado pelo diego_l88, bem como outras possíveis fontes e bibliografias pesquisadas para a elaboração do seu artigo, alem de enriquece-lo (mais conteúdo para quem o ler aqui no VOL, mais credibilidade á seu artigo pela "qualidade" do material pesquisado). Alem de "dar credito" a outros autores, evitariam qualquer tipo de duvida sobre o artigo que publicou, que como ja disse, não me parece ser uma simples "copia".

[19] Comentário enviado por marlboro69 em 10/09/2012 - 12:01h

Boa tarde,

Eu gostaria de ajuda quanto a este artigo, pois estou tentando aplicar e não estou obtendo sucesso.

Os comandos do openssl eu corrigi conforme indicam os comentários, porém, no Processo de recompilação do Squid, não foi criado nenhuma pasta conforme está sendo indicado no artigo. Alguém poderia me ajudar?

[20] Comentário enviado por edivaldocaj em 10/09/2012 - 12:16h


[19] Comentário enviado por marlboro69 em 10/09/2012 - 12:01h:

Boa tarde,

Eu gostaria de ajuda quanto a este artigo, pois estou tentando aplicar e não estou obtendo sucesso.

Os comandos do openssl eu corrigi conforme indicam os comentários, porém, no Processo de recompilação do Squid, não foi criado nenhuma pasta conforme está sendo indicado no artigo. Alguém poderia me ajudar?



Caro marlboro69,

na parte da instalação do fontes do squid pelo APT , voce deveria seguir ate # cd /usr/src/

logo após voce vera que foi criado uma pasta "squid-2.7.STABLE9" #cd /usr/src/squid-2.7.STABLE9

dentro desta pasta há varias pasta entre elas a pasta "debian" #cd /usr/src/squid-2.7.STABLE9/debian

Ao fim localize o arquivo "rules" dentro da pasta "debian"

Coloque o --enable-ssl \ na posição onde ele se encontra nesta parte do arquivo rules. Boa sorte, espero tê-lo ajudado..

$(opt_ac_cv_func_setresuid) \
./configure \
--prefix=/usr \
--exec_prefix=/usr \
--bindir=/usr/sbin --sbindir=/usr/sbin \
--libexecdir=/usr/lib/squid \
--sysconfdir=$(sysconfdir) \
--localstatedir=/var/spool/squid \
--datadir=/usr/share/squid \
$(with_pthreads) \
$(with_netfilter) \
$(with_arp_acl) \
$(with_epoll) \
--enable-removal-policies=lru,heap \
--enable-snmp \
--enable-delay-pools \
--enable-htcp \
--enable-ssl \
--enable-cache-digests \
--enable-underscores \
--enable-referer-log \
--enable-useragent-log \
--enable-auth="basic,digest,ntlm,negotiate" \
--enable-negotiate-auth-helpers=squid_kerb_auth \
--enable-carp \
--enable-follow-x-forwarded-for \
--with-large-files \
--with-maxfd=65536 \
$(DEB_HOST_ARCH_CPU)-debian-$(DEB_HOST_ARCH_OS)

Atenciosamente,

Edivaldo Cavalcante
Analista de Redes Sênior
Pós Graduando em Forense Computacional

[21] Comentário enviado por marlboro69 em 10/09/2012 - 13:45h


[20] Comentário enviado por edivaldocaj em 10/09/2012 - 12:16h:


[19] Comentário enviado por marlboro69 em 10/09/2012 - 12:01h:

Boa tarde,

Eu gostaria de ajuda quanto a este artigo, pois estou tentando aplicar e não estou obtendo sucesso.

Os comandos do openssl eu corrigi conforme indicam os comentários, porém, no Processo de recompilação do Squid, não foi criado nenhuma pasta conforme está sendo indicado no artigo. Alguém poderia me ajudar?


Caro marlboro69,

na parte da instalação do fontes do squid pelo APT , voce deveria seguir ate # cd /usr/src/

logo após voce vera que foi criado uma pasta "squid-2.7.STABLE9" #cd /usr/src/squid-2.7.STABLE9

dentro desta pasta há varias pasta entre elas a pasta "debian" #cd /usr/src/squid-2.7.STABLE9/debian

Ao fim localize o arquivo "rules" dentro da pasta "debian"

Coloque o --enable-ssl \ na posição onde ele se encontra nesta parte do arquivo rules. Boa sorte, espero tê-lo ajudado..

$(opt_ac_cv_func_setresuid) \
./configure \
--prefix=/usr \
--exec_prefix=/usr \
--bindir=/usr/sbin --sbindir=/usr/sbin \
--libexecdir=/usr/lib/squid \
--sysconfdir=$(sysconfdir) \
--localstatedir=/var/spool/squid \
--datadir=/usr/share/squid \
$(with_pthreads) \
$(with_netfilter) \
$(with_arp_acl) \
$(with_epoll) \
--enable-removal-policies=lru,heap \
--enable-snmp \
--enable-delay-pools \
--enable-htcp \
--enable-ssl \
--enable-cache-digests \
--enable-underscores \
--enable-referer-log \
--enable-useragent-log \
--enable-auth="basic,digest,ntlm,negotiate" \
--enable-negotiate-auth-helpers=squid_kerb_auth \
--enable-carp \
--enable-follow-x-forwarded-for \
--with-large-files \
--with-maxfd=65536 \
$(DEB_HOST_ARCH_CPU)-debian-$(DEB_HOST_ARCH_OS)

Atenciosamente,

Edivaldo Cavalcante
Analista de Redes Sênior
Pós Graduando em Forense Computacional


Obrigado pela dica,

Eu consegui agora, mas estou enfrentando dificuldades por estar usando o squid 3.... assim que tiver exito eu posto aqui.

[22] Comentário enviado por removido em 14/09/2012 - 11:39h

Bom dia Amigo, já procurei uma solução para o meu problema em toda Internet e não encontrei nada..
E agora com as respostas positivas dos posts de nossos colegas aqui no seu artigo, estou muito empolgado pra fazer funcionar aqui na empresa, pois tem me dado muita dor de cabeça e não sei mais o que fazer..
Estou tentando usar seu método pra resolver meu problema mas quando vou criar certificados e chaves para o Squid, não consigo simplesmente diz que não existe o comando, uso Centos 6.2..
Por favor amigo, me ajude..

Grato desde já..

[23] Comentário enviado por geraldowc em 07/11/2012 - 10:59h

Já alopraram com este "pseudo autor" demais, nem vou aloprar.
Vou só acrecentar que devemos respeitar os AUTORES e os LEITORES que não são palhaços.
Existe uma outra solução para proxy transparente com ssl ou NAT com senha de liberação e o navegador não precisa estar marcado, chama-se NatACL.

versão 3.0
http://natacl.sourceforge.net/

versão 2.0 ( mais facil de compilar)
http://packetstormsecurity.org/files/36604/NatACL.20050311.tar.gz.html

[24] Comentário enviado por fabianounai em 28/11/2012 - 10:14h

Bom dia amigo, já fiz o teste diversas vezes na distro ubuntu com o squid3.1.19, fiz todos os passos o site http fucniona normal , porém quando acesso algum https da o seguinte erro

•Verifique se o endereço da Web https://get3.adobe.com está correto.
•Procure a página com seu mecanismo de pesquisa.
•Atualize a página em poucos minutos.
•Verifique se os protocolos TLS e SSL estão habilitados. Vá para Ferramentas > Opções da Internet > Avançadas > Configurações > Segurança

sabe o que pode ser?

[25] Comentário enviado por rsdamiao em 28/11/2012 - 14:49h

Gente, a solução mais segura que tive e que não meu deu nenhum problema foi usar o squid apenas como cache e o filtro eu usei o dansguardian. Assim independente ser for http ou https o filtro de conteúdo libero ou bloqueia a sua vontade, e quando bem configurado acaba com os falsos positivos.

[26] Comentário enviado por fabianounai em 28/11/2012 - 15:24h

obrigado rsdamiao, eu não sabia que o dansguardian fazia o bloqueio por https, mesmo sendo proxy transparante ele bloqueia?

[27] Comentário enviado por lucas peregrino em 06/02/2013 - 11:27h

bom dia estou com problema nessa regra esta certo deste modo

openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt

[28] Comentário enviado por edivaldocaj em 06/02/2013 - 11:40h


[27] Comentário enviado por lucas peregrino em 06/02/2013 - 11:27h:

bom dia estou com problema nessa regra esta certo deste modo

openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt


O comando esta Certo...qual erro é apresentado, pois pode se tratar de algum comando anterir que não funcionou na criação das chaves...

[29] Comentário enviado por lucas peregrino em 06/02/2013 - 20:35h

boa noite estou tendo problema em gerar o arquivo *deb ao compilar contudo estou usando o squid3 coloco --enable-ssl mais no final do arquivo esta dando erro.

squid3: possible-gpl-code-linked-with-openssl

[30] Comentário enviado por removido em 10/02/2013 - 15:00h


[28] Comentário enviado por edivaldocaj em 06/02/2013 - 11:40h:


[27] Comentário enviado por lucas peregrino em 06/02/2013 - 11:27h:

bom dia estou com problema nessa regra esta certo deste modo

openssl x509 -req -days 365 -in empresa.csr -sign.key -out empresa.crt

O comando esta Certo...qual erro é apresentado, pois pode se tratar de algum comando anterir que não funcionou na criação das chaves...


É -signkey. -sign.key é desconhecido.

Comando correto:

# openssl x509 -req -days 365 -in empresa.csr -signkey -out empresa.crt

[31] Comentário enviado por juno em 04/03/2013 - 17:12h

Olá amigos do VOL

Pelo que entendi aqui o squid com o proxy transparente irá fazer o filtro nas regras mesmo quando eles são enviados para o o HTPPS :

" iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3129 "

e que vou precisar de um certificado no meu proxy para dizer as páginas certificadas podem ser consultadas:

" https_port 3129 transparent cert=/etc/squid/certificados/empresa.crt Key=/etc/squid/certificados/empresa.key "


É isso mesmo? Alguém tem isso funcionando?

Aguardo os comentários dos amigos

abraços,



[32] Comentário enviado por mellofab em 08/05/2013 - 23:04h

Edivaldo,

Olá!

Estou com algum problema em seguir seu artigo. O caso é o seguinte. Esse comando de criar pacotes está dando erro: debuild -us -uc -b. E portanto não estou conseguindo criar os pacotes como voce sugere. Poderia me dizer como resolvo?
Agradeço a atenção.

[33] Comentário enviado por mellofab em 08/05/2013 - 23:11h

ww\ nmj wppew

[34] Comentário enviado por alansanto em 11/07/2013 - 16:35h

Boa tarde Srs,

Estou tendo o mesmo problema no momento final da compilação, quando eu executo o comando: "debuild -us -uc -b". O seguente erro e exibido.

make[2]: ** [md5.o] Erro 1
make[2]: Saindo do diretório `/usr/src/squid-2.7.STABLE9/lib'
make[1]: ** [all-recursive] Erro 1
make[1]: Saindo do diretório `/usr/src/squid-2.7.STABLE9'
make: ** [build] Erro 2
dpkg-buildpackage: error: debian/rules build gave error exit status 2
debuild: fatal error at line 1357:
dpkg-buildpackage -rfakeroot -D -us -uc -b failed

Minha distribuição e Debian 7 com Squid 2.7. Alguem conseguiu gerar os arquivos .deb, concluir o processo ?

Muito Obrigado pela atenção de todos do VOL.

[35] Comentário enviado por wellesfreire em 13/07/2013 - 14:16h

Amigo no meu tudo deu certo mas como faço com o certificado fica pedindo direto as exceções alguém saberia como resolver ?

[36] Comentário enviado por malacaia em 08/08/2013 - 16:50h

Abra o arquivo /usr/src/squid-versao/src/ssl_support.c e apenas remova as linhas (duas vezes):

case 2:
debug(83, 5) ("Using SSLv2.\n");
method = SSLv2_server_method();
break;

case 2:
debug(83, 5) ("Using SSLv2.\n");
method = SSLv2_client_method();
break;

fonte: http://dicassimplesubuntu.blogspot.com.br/2013/05/compilado-o-squid-27-no-ubuntu.html

[37] Comentário enviado por m4tri_x em 02/09/2013 - 09:38h

openssl x509 -req -days 365 -in empresa.csr -signkey empresa.Key -out empresa.crt

[38] Comentário enviado por kepas em 20/09/2013 - 21:49h

Olá!

o meu retorna o seguinte erro:

2013/09/20 21:47:45| FATAL: tproxy/intercept on https_port requires ssl-bump which is missing.
FATAL: Bungled squid.conf line 85: https_port 3129 intercept cert=/etc/squid/ssl/openssl.crt key=/etc/squid/ssl/openssl.key
Squid Cache (Version 3.3.3): Terminated abnormally.

[39] Comentário enviado por ninjabomba em 01/04/2014 - 17:20h

Pago um BlackLabel se isso funcionar com proxy Transparente..

[40] Comentário enviado por fernandord em 24/06/2014 - 15:40h

No Debian 7.5 só compilou após instalar o libssl-dev....

A única diferença e que estou utilizando o source do squid3...

[41] Comentário enviado por lucas peregrino em 07/12/2014 - 13:29h

Boa tarde depois de muito tempo ainda quebrando a cabeça hoje consigo funcionar os bloqueios no https so que tenho ainda problemas em relação certificado digital ao tentar acessar paginas da receita federal ou caixa economica não deixa aparecer para selecionar os certificados so isso que tenho a reclamar alguem mais ja conseguiu resolver.

[42] Comentário enviado por stremenx em 30/12/2015 - 16:51h

Boa tarde, como seria configurar no debian 8 pois não estou conseguindo.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts