Configuração de SSL Bump no serviço Squid
Estas instruções são aplicáveis se o Kaspersky Web Traffic Security foi instalado a partir de um pacote RPM ou DEB em um sistema operacional pronto para uso. Se o Kaspersky Web Traffic Security foi instalado a partir de um arquivo ISO, os arquivos de configuração do servidor proxy integrado não poderão ser alterados manualmente.
É recomendável configurar o
no serviço Squid para lidar com conexões criptografadas. Se o SSL Bump não estiver configurado, o servidor proxy não poderá intervir no processo de estabelecimento de uma conexão criptografada. Nesse caso, os módulos de proteção do Kaspersky Web Traffic Security (Antivírus e Antiphishing) não conseguem verificar dados transmitidos dentro do canal de dados criptografado. Isso reduz o nível de proteção da infraestrutura de TI corporativa.O SSL Bump requer um certificado SSL e uma chave privada no formato PEM. É possível criar um novo certificado SSL autoassinado ou usar um certificado preparado (por exemplo, um certificado SSL emitido por uma Autoridade de Certificação).
Se a chave privada estiver protegida por senha, ela precisará ser descriptografada com antecedência.
Para configurar o SSL Bump no serviço Squid:
- Verifique se o serviço Squid utilizado suporta as opções necessárias. Para fazer isso, execute o comando:
squid -v
O parâmetro
configure options
deve conter os valores--enable-ssl-crtd and --with-openssl
. - Copie o certificado SSL no formato PEM para o arquivo /etc/squid/bump.crt.
- Copie a chave privada no formato PEM para o arquivo /etc/squid/bump.key.
- Gere o arquivo de configurações para o algoritmo Diffie-Hellman. Para fazer isso, execute o comando:
openssl dhparam -outform PEM -out /etc/squid/bump_dhparam.pem 2048
- Configure as permissões para usar um arquivo de certificado SSL. Para fazer isso, execute os seguintes comandos, dependendo do sistema operacional utilizado:
- CentOS, Red Hat Enterprise Linux ou SUSE Linux Enterprise Server:
chown squid:squid /etc/squid/bump*
chmod 400 /etc/squid/bump*
- Ubuntu, Debian ou ALT Server:
chown proxy:proxy /etc/squid/bump*
chmod 400 /etc/squid/bump*
- CentOS, Red Hat Enterprise Linux ou SUSE Linux Enterprise Server:
- Determine a versão do serviço Squid que está sendo usada no servidor. Para fazer isso, execute o comando:
squid -v
As informações sobre a versão utilizada são exibidas no formato
Squid Cache: Version <versão>
. - Interrompa o serviço Squid se ele estiver em execução. Para fazer isso, execute o comando:
service squid stop
- Se estiver usando a versão 3.5.х do serviço Squid:
- Crie um diretório para o banco de dados do certificado e inicialize o banco de dados. Para fazer isso, execute os seguintes comandos, dependendo do sistema operacional utilizado:
- CentOS ou Red Hat Enterprise Linux:
mkdir -p /var/lib/squid
rm -rf /var/lib/squid/ssl_db
/usr/lib64/squid/ssl_crtd -c -s /var/lib/squid/ssl_db
chown -R squid:squid /var/lib/squid
- SUSE Linux Enterprise Server:
mkdir -p /var/lib/squid
rm -rf /var/lib/squid/ssl_db
/usr/sbin/ssl_crtd -c -s /var/lib/squid/ssl_db
chown -R squid:squid /var/lib/squid
- Ubuntu ou Debian:
mkdir -p /var/lib/squid
rm -rf /var/lib/squid/ssl_db
/usr/lib/squid/ssl_crtd -c -s /var/lib/squid/ssl_db
chown -R proxy:proxy:<grupo> /var/lib/squid
- CentOS ou Red Hat Enterprise Linux:
- No arquivo de configuração /etc/squid/squid.conf, faça as seguintes alterações:
- No final do arquivo, adicione as seguintes diretrizes, dependendo do sistema operacional utilizado:
- CentOS ou Red Hat Enterprise Linux:
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB
sslproxy_cert_error allow all
ssl_bump stare all
- SUSE Linux Enterprise Server:
sslcrtd_program /usr/sbin/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB
sslproxy_cert_error allow all
ssl_bump stare all
- Ubuntu ou Debian:
sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB
sslproxy_cert_error allow all
ssl_bump stare all
- Substitua a diretiva http_port pelo seguinte:
http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/bump.crt key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,NO_SSLv2,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem
- No final do arquivo, adicione as seguintes diretrizes, dependendo do sistema operacional utilizado:
- Crie um diretório para o banco de dados do certificado e inicialize o banco de dados. Para fazer isso, execute os seguintes comandos, dependendo do sistema operacional utilizado:
- Se estiver usando a versão 4.х do serviço Squid:
- Crie um diretório para o banco de dados do certificado e inicialize o banco de dados. Para fazer isso, execute os seguintes comandos, dependendo do sistema operacional utilizado:
- CentOS ou Red Hat Enterprise Linux:
mkdir -p /var/lib/squid
rm -rf /var/lib/squid/ssl_db
/usr/lib64/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB
chown -R squid:squid /var/lib/squid
- SUSE Linux Enterprise Server:
mkdir -p /var/lib/squid
rm -rf /var/lib/squid/ssl_db
/usr/sbin/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB
chown -R squid:squid /var/lib/squid
- Ubuntu, Debian ou ALT Server:
mkdir -p /var/lib/squid
rm -rf /var/lib/squid/ssl_db
/usr/lib/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB
chown -R proxy:proxy /var/lib/squid
- CentOS ou Red Hat Enterprise Linux:
- No arquivo de configuração /etc/squid/squid.conf, faça as seguintes alterações:
- Adicione as seguintes diretivas ao início do arquivo ou antes da primeira diretiva http_access:
acl intermediate_fetching transaction_initiator certificate-fetching
http_access allow intermediate_fetching
- Adicione as seguintes diretivas ao final do arquivo, dependendo do sistema operacional utilizado:
- CentOS ou Red Hat Enterprise Linux:
sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB
sslproxy_cert_error allow all
ssl_bump stare all
- SUSE Linux Enterprise Server:
sslcrtd_program /usr/sbin/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB
sslproxy_cert_error allow all
ssl_bump stare all
- Ubuntu, Debian ou ALT Server:
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB
sslproxy_cert_error allow all
ssl_bump stare all
- Substitua a diretiva http_port pelo seguinte:
http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB tls-cert=/etc/squid/bump.crt tls-key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem
- Adicione as seguintes diretivas ao início do arquivo ou antes da primeira diretiva http_access:
- Crie um diretório para o banco de dados do certificado e inicialize o banco de dados. Para fazer isso, execute os seguintes comandos, dependendo do sistema operacional utilizado:
- Reiniciar o serviço Squid. Para fazer isso, execute o comando:
service squid restart
A configuração de SSL Bump no serviço Squid será concluída.