Configuração de SSL Bump no serviço Squid

Estas instruções são aplicáveis se o Kaspersky Web Traffic Security foi instalado a partir de um pacote RPM ou DEB em um sistema operacional pronto para uso. Se o Kaspersky Web Traffic Security foi instalado a partir de um arquivo ISO, os arquivos de configuração do servidor proxy integrado não poderão ser alterados manualmente.

É recomendável configurar o SSL Bump no serviço Squid para lidar com conexões criptografadas. Se o SSL Bump não estiver configurado, o servidor proxy não poderá intervir no processo de estabelecimento de uma conexão criptografada. Nesse caso, os módulos de proteção do Kaspersky Web Traffic Security (Antivírus e Antiphishing) não conseguem verificar dados transmitidos dentro do canal de dados criptografado. Isso reduz o nível de proteção da infraestrutura de TI corporativa.

O SSL Bump requer um certificado SSL e uma chave privada no formato PEM. É possível criar um novo certificado SSL autoassinado ou usar um certificado preparado (por exemplo, um certificado SSL emitido por uma Autoridade de Certificação).

Se a chave privada estiver protegida por senha, ela precisará ser descriptografada com antecedência.

Para configurar o SSL Bump no serviço Squid:

  1. Verifique se o serviço Squid utilizado suporta as opções necessárias. Para fazer isso, execute o comando:

    squid -v

    O parâmetro configure options deve conter os valores --enable-ssl-crtd and --with-openssl.

  2. Copie o certificado SSL no formato PEM para o arquivo /etc/squid/bump.crt.
  3. Copie a chave privada no formato PEM para o arquivo /etc/squid/bump.key.
  4. Gere o arquivo de configurações para o algoritmo Diffie-Hellman. Para fazer isso, execute o comando:

    openssl dhparam -outform PEM -out /etc/squid/bump_dhparam.pem 2048

  5. Configure as permissões para usar um arquivo de certificado SSL. Para fazer isso, execute os seguintes comandos, dependendo do sistema operacional utilizado:
    • CentOS, Red Hat Enterprise Linux ou SUSE Linux Enterprise Server:

      chown squid:squid /etc/squid/bump*

      chmod 400 /etc/squid/bump*

    • Ubuntu, Debian ou ALT Server:

      chown proxy:proxy /etc/squid/bump*

      chmod 400 /etc/squid/bump*

  6. Determine a versão do serviço Squid que está sendo usada no servidor. Para fazer isso, execute o comando:

    squid -v

    As informações sobre a versão utilizada são exibidas no formato Squid Cache: Version <versão>.

  7. Interrompa o serviço Squid se ele estiver em execução. Para fazer isso, execute o comando:

    service squid stop

  8. Se estiver usando a versão 3.5.х do serviço Squid:
    1. Crie um diretório para o banco de dados do certificado e inicialize o banco de dados. Para fazer isso, execute os seguintes comandos, dependendo do sistema operacional utilizado:
      • CentOS ou Red Hat Enterprise Linux:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/lib64/squid/ssl_crtd -c -s /var/lib/squid/ssl_db

        chown -R squid:squid /var/lib/squid

      • SUSE Linux Enterprise Server:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/sbin/ssl_crtd -c -s /var/lib/squid/ssl_db

        chown -R squid:squid /var/lib/squid

      • Ubuntu ou Debian:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/lib/squid/ssl_crtd -c -s /var/lib/squid/ssl_db

        chown -R proxy:proxy:<grupo> /var/lib/squid

    2. No arquivo de configuração /etc/squid/squid.conf, faça as seguintes alterações:
      1. No final do arquivo, adicione as seguintes diretrizes, dependendo do sistema operacional utilizado:
        • CentOS ou Red Hat Enterprise Linux:

        sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB

        sslproxy_cert_error allow all

        ssl_bump stare all

        • SUSE Linux Enterprise Server:

        sslcrtd_program /usr/sbin/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB

        sslproxy_cert_error allow all

        ssl_bump stare all

        • Ubuntu ou Debian:

        sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB

        sslproxy_cert_error allow all

        ssl_bump stare all

      2. Substitua a diretiva http_port pelo seguinte:

        http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/bump.crt key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,NO_SSLv2,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem

  9. Se estiver usando a versão 4.х do serviço Squid:
    1. Crie um diretório para o banco de dados do certificado e inicialize o banco de dados. Para fazer isso, execute os seguintes comandos, dependendo do sistema operacional utilizado:
      • CentOS ou Red Hat Enterprise Linux:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/lib64/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB

        chown -R squid:squid /var/lib/squid

      • SUSE Linux Enterprise Server:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/sbin/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB

        chown -R squid:squid /var/lib/squid

      • Ubuntu, Debian ou ALT Server:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/lib/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB

        chown -R proxy:proxy /var/lib/squid

    2. No arquivo de configuração /etc/squid/squid.conf, faça as seguintes alterações:
      1. Adicione as seguintes diretivas ao início do arquivo ou antes da primeira diretiva http_access:

        acl intermediate_fetching transaction_initiator certificate-fetching

        http_access allow intermediate_fetching

      2. Adicione as seguintes diretivas ao final do arquivo, dependendo do sistema operacional utilizado:
        • CentOS ou Red Hat Enterprise Linux:

        sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

        sslproxy_cert_error allow all

        ssl_bump stare all

        • SUSE Linux Enterprise Server:

        sslcrtd_program /usr/sbin/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

        sslproxy_cert_error allow all

        ssl_bump stare all

        • Ubuntu, Debian ou ALT Server:

        sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

        sslproxy_cert_error allow all

        ssl_bump stare all

      3. Substitua a diretiva http_port pelo seguinte:

        http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB tls-cert=/etc/squid/bump.crt tls-key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem

  10. Reiniciar o serviço Squid. Para fazer isso, execute o comando:

    service squid restart

A configuração de SSL Bump no serviço Squid será concluída.

Topo da página