La configuración de SSL Bumping en el servicio Squid
13 de diciembre de 2023
ID 166244
Estas instrucciones son aplicables si Kaspersky Web Traffic Security se instaló desde un paquete RPM o DEB a un sistema operativo listo para usar. Si Kaspersky Web Traffic Security se instaló desde un archivo ISO, los archivos de configuración para el servidor proxy integrado no se pueden cambiar manualmente.
Se recomienda configurar SSL Bumping en el servicio Squid para manejar conexiones cifradas. Si SSL Bumping no está configurado, el servidor proxy no puede intervenir en el proceso de establecer una conexión cifrada. En este caso, los módulos de protección de Kaspersky Web Traffic Security (Antivirus y Antiphishing) no pueden analizar los datos transmitidos dentro del canal de datos cifrados. Esto reduce el nivel de protección de la infraestructura de TI corporativa.
SSL Bumping requiere un certificado SSL y una clave privada en formato PEM. Puede crear un nuevo certificado SSL autofirmado o usar uno preparado (por ejemplo, un certificado SSL emitido por una Autoridad de certificación).
Si la clave privada está protegida por contraseña, debe descifrarse de antemano.
Para configurar SSL Bumping en el servicio Squid:
- Asegúrese de que el servicio Squid utilizado admita las opciones necesarias. Para hacerlo, ejecute el comando:
squid -v
El parámetro
configurar opciones
debe contener los valores--enable-ssl-crtd and --with-openssl
. - Copie el certificado SSL en formato PEM en el archivo /etc/squid/bump.crt.
- Copie la clave privada en formato PEM en el archivo /etc/squid/bump.key.
- Genere el archivo de configuración para el algoritmo Diffie-Hellman. Para hacerlo, ejecute el comando:
openssl dhparam -outform PEM -out /etc/squid/bump_dhparam.pem 2048
- Configure los permisos para usar un archivo de certificado SSL. Para hacerlo, ejecute los comandos siguientes según el sistema operativo utilizado:
- CentOS, Red Hat Enterprise Linux o SUSE Linux Enterprise Server:
chown squid:squid /etc/squid/bump*
chmod 400 /etc/squid/bump*
- Ubuntu, Debian o ALT Server:
chown proxy:proxy /etc/squid/bump*
chmod 400 /etc/squid/bump*
- CentOS, Red Hat Enterprise Linux o SUSE Linux Enterprise Server:
- Determine la versión del servicio Squid que se utiliza en su servidor. Para hacerlo, ejecute el comando:
squid -v
La información sobre la versión utilizada se muestra en el formato
Caché de Squid: Versión <versión>
. - Detenga el servicio Squid si se está ejecutando. Para hacerlo, ejecute el comando:
service squid stop
- Si está utilizando la versión 3.5.х del servicio Squid:
- Cree un directorio para la base de datos de certificados e inicialice la base de datos. Para hacerlo, ejecute los comandos siguientes según el sistema operativo utilizado:
- CentOS o Red Hat Enterprise Linux:
mkdir -p /var/lib/squid
rm -rf /var/lib/squid/ssl_db
/usr/lib64/squid/ssl_crtd -c -s /var/lib/squid/ssl_db
chown -R squid:squid /var/lib/squid
- SUSE Linux Enterprise Server:
mkdir -p /var/lib/squid
rm -rf /var/lib/squid/ssl_db
/usr/sbin/ssl_crtd -c -s /var/lib/squid/ssl_db
chown -R squid:squid /var/lib/squid
- Ubuntu o Debian:
mkdir -p /var/lib/squid
rm -rf /var/lib/squid/ssl_db
/usr/lib/squid/ssl_crtd -c -s /var/lib/squid/ssl_db
chown -R proxy:proxy:<grupo> /var/lib/squid
- CentOS o Red Hat Enterprise Linux:
- En el archivo de configuración /etc/squid/squid.conf, realice los siguientes cambios:
- Al final del archivo, agregue las siguientes directivas según el sistema operativo utilizado:
- CentOS o Red Hat Enterprise Linux:
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB
sslproxy_cert_error allow all
ssl_bump stare all
- SUSE Linux Enterprise Server:
sslcrtd_program /usr/sbin/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB
sslproxy_cert_error allow all
ssl_bump stare all
- Ubuntu o Debian:
sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB
sslproxy_cert_error allow all
ssl_bump stare all
- Reemplace la directiva http_port con lo siguiente:
http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/bump.crt key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,NO_SSLv2,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem
- Al final del archivo, agregue las siguientes directivas según el sistema operativo utilizado:
- Cree un directorio para la base de datos de certificados e inicialice la base de datos. Para hacerlo, ejecute los comandos siguientes según el sistema operativo utilizado:
- Si está utilizando la versión 4.х del servicio Squid:
- Cree un directorio para la base de datos de certificados e inicialice la base de datos. Para hacerlo, ejecute los comandos siguientes según el sistema operativo utilizado:
- CentOS o Red Hat Enterprise Linux:
mkdir -p /var/lib/squid
rm -rf /var/lib/squid/ssl_db
/usr/lib64/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB
chown -R squid:squid /var/lib/squid
- SUSE Linux Enterprise Server:
mkdir -p /var/lib/squid
rm -rf /var/lib/squid/ssl_db
/usr/sbin/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB
chown -R squid:squid /var/lib/squid
- Ubuntu, Debian o ALT Server:
mkdir -p /var/lib/squid
rm -rf /var/lib/squid/ssl_db
/usr/lib/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB
chown -R proxy:proxy /var/lib/squid
- CentOS o Red Hat Enterprise Linux:
- En el archivo de configuración /etc/squid/squid.conf, realice los siguientes cambios:
- Agregue las siguientes directivas al comienzo del archivo o antes de la primera directiva http_access:
acl intermediate_fetching transaction_initiator certificate-fetching
http_access allow intermediate_fetching
- Agregue las siguientes directivas al final del archivo según el sistema operativo utilizado:
- CentOS o Red Hat Enterprise Linux:
sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB
sslproxy_cert_error allow all
ssl_bump stare all
- SUSE Linux Enterprise Server:
sslcrtd_program /usr/sbin/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB
sslproxy_cert_error allow all
ssl_bump stare all
- Ubuntu, Debian o ALT Server:
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB
sslproxy_cert_error allow all
ssl_bump stare all
- Reemplace la directiva http_port con lo siguiente:
http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB tls-cert=/etc/squid/bump.crt tls-key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem
- Agregue las siguientes directivas al comienzo del archivo o antes de la primera directiva http_access:
- Cree un directorio para la base de datos de certificados e inicialice la base de datos. Para hacerlo, ejecute los comandos siguientes según el sistema operativo utilizado:
- Reiniciar el servicio Squid. Para hacerlo, ejecute el comando:
service squid restart
La configuración de SSL Bumping en el servicio Squid se habrá completado.