Usando o squid para capturar https - como fazer proxy não transparente?

1

A raiz do problema: preciso bloquear o acesso ao link ; mas permitir o acesso ao resto do site. Eu pensei que a melhor maneira de realizá-lo seria através de um proxy como o squid.

Como posso alcançar meu objetivo? Lembre-se de que estou executando o squid 2.7 em uma caixa do Windows 7 e todos os clientes também são máquinas windows às quais tenho acesso total.

Esta é minha primeira experiência com lula, então qualquer ajuda é apreciada.

    
por Mike Preble 22.05.2012 / 19:39

2 respostas

1

"Lembre-se de que estou executando o squid 2.7 em uma caixa do Windows 7 e todos os clientes também são máquinas windows às quais tenho acesso total."

Sim, você pode,

aqui estão os passos:  = > Instale nos clientes uma autoridade de certificação que você possui (para o Internet Explorer você só precisa instalá-lo no nível do sistema no windows, para o firefox e chrome você tem que instalá-lo em cada navegador)  = > Neste ponto, você já pode usar o recurso SslBump no squid para fazer o que quiser.

Como alternativa, você também pode usar um servidor apache com mod_proxy, IMHO, é mais fácil de configurar para fazer o que você quer.

A chave é conseguir gerar um certificado válido para o domínio de destino. Então, você é o proprietário do domínio e você pode gerar um certificado perfeitamente válido (via rapidssl ou outro) e instalá-lo onde quiser, ou se você não puder ter um certificado "padrão" para o domínio que precisa ter sua própria autoridade instalada no software cliente, e você só precisa gerar certificados com sua própria autoridade de certificação.

Então você só precisa direcionar o tráfego para um servidor habilitado para SSL com seu certificado - apache, squid, ... qualquer coisa - e você pode tratar o tráfego como http simples.

Atualização: o squid 2.7 não suporta o SslBump. Se você tem que ficar com o squid 2.7, você precisa configurar um https_port como um acelerador e configurar seu cliente para usar a porta diferente para conexões SSL para o site https que você deseja filtrar. Por exemplo, altere suas configurações de DNS e coloque em prática uma configuração de proxy dizendo-lhes para não usar o proxy para este site.

    
por 22.05.2012 / 20:09
0

Desculpe, mas você não pode fazer isso com o squid, ou qualquer outro proxy tradicional. O que você está pedindo exigiria que você realizasse um ataque man-in-the-middle contra os clientes.

Quando um navegador é configurado para usar o Squid como proxy, tudo o que você verá para conexões SSL é que o navegador está fazendo solicitações HTTP CONNECT para um determinado domínio / IP. Você não poderá ver o URL solicitado ou qualquer carga útil.

    
por 22.05.2012 / 19:43