La configuración de SSL Bumping en el servicio Squid

Estas instrucciones son aplicables si Kaspersky Web Traffic Security se instaló desde un paquete RPM o DEB a un sistema operativo listo para usar. Si Kaspersky Web Traffic Security se instaló desde un archivo ISO, los archivos de configuración para el servidor proxy integrado no se pueden cambiar manualmente.

Se recomienda configurar SSL Bumping en el servicio Squid para manejar conexiones cifradas. Si SSL Bumping no está configurado, el servidor proxy no puede intervenir en el proceso de establecer una conexión cifrada. En este caso, los módulos de protección de Kaspersky Web Traffic Security (Antivirus y Antiphishing) no pueden analizar los datos transmitidos dentro del canal de datos cifrados. Esto reduce el nivel de protección de la infraestructura de TI corporativa.

SSL Bumping requiere un certificado SSL y una clave privada en formato PEM. Puede crear un nuevo certificado SSL autofirmado o usar uno preparado (por ejemplo, un certificado SSL emitido por una Autoridad de certificación).

Si la clave privada está protegida por contraseña, debe descifrarse de antemano.

Para configurar SSL Bumping en el servicio Squid:

  1. Asegúrese de que el servicio Squid utilizado admita las opciones necesarias. Para hacerlo, ejecute el comando:

    squid -v

    El parámetro configurar opciones debe contener los valores --enable-ssl-crtd and --with-openssl.

  2. Copie el certificado SSL en formato PEM en el archivo /etc/squid/bump.crt.
  3. Copie la clave privada en formato PEM en el archivo /etc/squid/bump.key.
  4. Genere el archivo de configuración para el algoritmo Diffie-Hellman. Para hacerlo, ejecute el comando:

    openssl dhparam -outform PEM -out /etc/squid/bump_dhparam.pem 2048

  5. Configure los permisos para usar un archivo de certificado SSL. Para hacerlo, ejecute los comandos siguientes según el sistema operativo utilizado:
    • CentOS, Red Hat Enterprise Linux o SUSE Linux Enterprise Server:

      chown squid:squid /etc/squid/bump*

      chmod 400 /etc/squid/bump*

    • Ubuntu, Debian o ALT Server:

      chown proxy:proxy /etc/squid/bump*

      chmod 400 /etc/squid/bump*

  6. Determine la versión del servicio Squid que se utiliza en su servidor. Para hacerlo, ejecute el comando:

    squid -v

    La información sobre la versión utilizada se muestra en el formato Caché de Squid: Versión <versión>.

  7. Detenga el servicio Squid si se está ejecutando. Para hacerlo, ejecute el comando:

    service squid stop

  8. Si está utilizando la versión 3.5.х del servicio Squid:
    1. Cree un directorio para la base de datos de certificados e inicialice la base de datos. Para hacerlo, ejecute los comandos siguientes según el sistema operativo utilizado:
      • CentOS o Red Hat Enterprise Linux:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/lib64/squid/ssl_crtd -c -s /var/lib/squid/ssl_db

        chown -R squid:squid /var/lib/squid

      • SUSE Linux Enterprise Server:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/sbin/ssl_crtd -c -s /var/lib/squid/ssl_db

        chown -R squid:squid /var/lib/squid

      • Ubuntu o Debian:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/lib/squid/ssl_crtd -c -s /var/lib/squid/ssl_db

        chown -R proxy:proxy:<grupo> /var/lib/squid

    2. En el archivo de configuración /etc/squid/squid.conf, realice los siguientes cambios:
      1. Al final del archivo, agregue las siguientes directivas según el sistema operativo utilizado:
        • CentOS o Red Hat Enterprise Linux:

        sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB

        sslproxy_cert_error allow all

        ssl_bump stare all

        • SUSE Linux Enterprise Server:

        sslcrtd_program /usr/sbin/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB

        sslproxy_cert_error allow all

        ssl_bump stare all

        • Ubuntu o Debian:

        sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB

        sslproxy_cert_error allow all

        ssl_bump stare all

      2. Reemplace la directiva http_port con lo siguiente:

        http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/bump.crt key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,NO_SSLv2,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem

  9. Si está utilizando la versión 4.х del servicio Squid:
    1. Cree un directorio para la base de datos de certificados e inicialice la base de datos. Para hacerlo, ejecute los comandos siguientes según el sistema operativo utilizado:
      • CentOS o Red Hat Enterprise Linux:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/lib64/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB

        chown -R squid:squid /var/lib/squid

      • SUSE Linux Enterprise Server:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/sbin/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB

        chown -R squid:squid /var/lib/squid

      • Ubuntu, Debian o ALT Server:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/lib/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB

        chown -R proxy:proxy /var/lib/squid

    2. En el archivo de configuración /etc/squid/squid.conf, realice los siguientes cambios:
      1. Agregue las siguientes directivas al comienzo del archivo o antes de la primera directiva http_access:

        acl intermediate_fetching transaction_initiator certificate-fetching

        http_access allow intermediate_fetching

      2. Agregue las siguientes directivas al final del archivo según el sistema operativo utilizado:
        • CentOS o Red Hat Enterprise Linux:

        sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

        sslproxy_cert_error allow all

        ssl_bump stare all

        • SUSE Linux Enterprise Server:

        sslcrtd_program /usr/sbin/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

        sslproxy_cert_error allow all

        ssl_bump stare all

        • Ubuntu, Debian o ALT Server:

        sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

        sslproxy_cert_error allow all

        ssl_bump stare all

      3. Reemplace la directiva http_port con lo siguiente:

        http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB tls-cert=/etc/squid/bump.crt tls-key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem

  10. Reiniciar el servicio Squid. Para hacerlo, ejecute el comando:

    service squid restart

La configuración de SSL Bumping en el servicio Squid se habrá completado.

Inicio de página