squid com o sslbump bloqueando o Netflix

Navegue suas respostas
1

Eu instalei o Squid 3.15 no servidor Ubuntu 15.10. O Squid foi configurado com o sslbump para o tráfego https. A funcionalidade funciona sem nenhum problema, por exemplo: todo o tráfego de http e https passa pelo Squid e toda a Internet pode ser acessada em todos os dispositivos em que os certificados estão instalados.

Uma exceção é: 'Netflix APP' não funciona mais em dispositivos IOS (iPhone, iPad). Não importa o que eu faça. Todos os outros serviços de internet (Safari e outros aplicativos) funcionam corretamente nesses dispositivos.

Consegui executar o Netflix a partir do navegador em caixas Linux e até do OS X Safari. A única coisa que não está funcionando é o Netflix APP no IOS.

Claro que se eu desativasse o sslbump e permitisse apenas que o http passasse pelos trabalhos do Squid Netflix. Eu tentei ambos os modos transparente e proxy no iPhone, ainda não está funcionando.

Alguém conseguiu fazer o Netflix APP em dispositivos IOS funcionar com o squid com o sslbump ativado?

    
por user3381475 02.03.2016 / 02:51

1 resposta

1

O problema é que o aplicativo netflix usa a fixação de certificados.

"Fixação de certificado é onde você ignora tudo isso e diz confiar apenas neste certificado ou talvez confiar apenas em certificados assinados por este certificado."
link

Eu recomendo que você atualize para o Squid 3.17, porque você provavelmente vai querer usar o modo tranparent porque não há como o ipad configurar o aplicativo netflix para se conectar a outras portas. 3.17 agora permite espiar e emendar no modo transparente

"Nosso objetivo é permitir que nossos usuários naveguem em páginas importantes (como sistemas bancários ou de pagamentos) sem interceptação SSL (é chamado de Splice na terminologia do Squid), mas o restante do tráfego HTTPS deve ser interceptado (" colidido ") para verificar o conteúdo. " "Agora, graças à extensão TLS no padrão HTTPS (introdução do SNI) e ao recurso peek & splice do Squid, é possível determinar server_name, observando a solicitação do cliente (desde que o cliente seja compatível com TLS / SNI)."

link & lt; - awesome, obrigado Marek!

Isso é o que acabei fazendo 

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl nobumpSites ssl::server_name .netflix.com

# Peek at client's TLS-request in order to find the SNI
ssl_bump peek step1 all         
# don't bump the nobumpSites
ssl_bump splice step2 nobumpSites    

# bumping all other SSL connections
ssl_bump bump

Se você não sabe o que o SNI deve ser (.netflix.com) use o wireshark para ver o olá do cliente. Porque o tráfego do cliente do netflix é https, a única maneira de o squid saber qual é o domínio para dar uma olhada no cliente não criptografado hello que deve conter o SNI.

Devo observar que o aplicativo ipad netflix demora cerca de 60 segundos para começar a reproduzir o vídeo. Eu tenho uma ideia do porquê e atualizarei aqui mais tarde.

Nota importante (não implementada acima) "Pode o squid mitm as conexões SSL, mas deliberadamente gera certificados inválidos para conexões upstream que são auto-assinadas ou inválidas para que meu navegador as sinalize?" "O Squid atual faz isso desde que você faça a ação" Bump "do SSL-Bump step3 quando os detalhes do servidor são conhecidos. " link & lt; - Grandes agradecimentos a Amos por todo o conhecimento de lula que ele compartilha!

Outras fontes link

link

    
por user584583 02.05.2016 / 02:09
não pode excluir uma pasta vazia em “root” Ignorando seletivamente a VPN para determinados sites (especificamente NetFlix)