La configuración de SSL Bumping en el servicio Squid

Estas instrucciones son aplicables si Kaspersky Web Traffic Security se instaló desde un paquete RPM o DEB a un sistema operativo existente. Si Kaspersky Web Traffic Security se implementó desde un archivo ISO, no puede editar los archivos de configuración del servidor proxy integrado.

Se recomienda configurar SSL Bumping en el servicio Squid para manejar conexiones cifradas. Si SSL Bumping no está configurado, el servidor proxy no puede intervenir en el proceso de establecer una conexión cifrada. En este caso, los módulos de protección de Kaspersky Web Traffic Security (Antivirus y Antiphishing) no pueden analizar los datos transmitidos dentro del canal de datos cifrados. Esto reduce el nivel de protección de la infraestructura de TI corporativa.

SSL Bumping requiere un certificado SSL y una clave privada en formato PEM. Puede crear un nuevo certificado SSL autofirmado o usar uno preparado (por ejemplo, un certificado SSL emitido por una Autoridad de certificación).

Si la clave privada está protegida por contraseña, debe descifrarse de antemano.

Para configurar SSL Bumping en el servicio Squid:

  1. Asegúrese de que el servicio Squid utilizado admita las opciones necesarias. Para hacerlo, ejecute el comando:

    squid -v

    El parámetro configurar opciones debe contener los valores --enable-ssl-crtd and --with-openssl.

  2. Copie el certificado SSL en formato PEM en el archivo /etc/squid/bump.crt.
  3. Copie la clave privada en formato PEM en el archivo /etc/squid/bump.key.
  4. Genere el archivo de configuración para el algoritmo Diffie-Hellman. Para hacerlo, ejecute el comando:

    openssl dhparam -outform PEM -out /etc/squid/bump_dhparam.pem 2048

  5. Configure los permisos para usar un archivo de certificado SSL. Para hacerlo, ejecute los comandos siguientes según el sistema operativo utilizado:
    • CentOS, Red Hat Enterprise Linux, SUSE Linux Enterprise Server, Rocky Linux, RED OS:

      chown squid:squid /etc/squid/bump*

      chmod 400 /etc/squid/bump*

    • Ubuntu, Debian o ALT Server:

      chown proxy:proxy /etc/squid/bump*

      chmod 400 /etc/squid/bump*

  6. Determine la versión del servicio Squid que se utiliza en su servidor. Para hacerlo, ejecute el comando:

    squid -v

    La información sobre la versión utilizada se muestra en el formato Caché de Squid: Versión <versión>.

  7. Detenga el servicio Squid si se está ejecutando. Para hacerlo, ejecute el comando:

    service squid stop

  8. Si está utilizando la versión 3.5.х del servicio Squid:
    1. Cree un directorio para la base de datos de certificados e inicialice la base de datos. Para hacerlo, ejecute los comandos siguientes según el sistema operativo utilizado:
      • CentOS, Red Hat Enterprise Linux, Rocky Linux, RED OS:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/lib64/squid/ssl_crtd -c -s /var/lib/squid/ssl_db

        chown -R squid:squid /var/lib/squid

      • SUSE Linux Enterprise Server:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/sbin/ssl_crtd -c -s /var/lib/squid/ssl_db

        chown -R squid:squid /var/lib/squid

      • Ubuntu o Debian:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/lib/squid/ssl_crtd -c -s /var/lib/squid/ssl_db

        chown -R proxy:proxy /var/lib/squid

    2. En el archivo de configuración /etc/squid/squid.conf, realice los siguientes cambios:
      1. Al final del archivo, agregue las siguientes directivas según el sistema operativo utilizado:
        • CentOS, Red Hat Enterprise Linux, Rocky Linux, RED OS:

          sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB

          sslproxy_cert_error allow all

          ssl_bump stare all

        • SUSE Linux Enterprise Server:

          sslcrtd_program /usr/sbin/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB

          sslproxy_cert_error allow all

          ssl_bump stare all

        • Ubuntu o Debian:

          sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MB

          sslproxy_cert_error allow all

          ssl_bump stare all

      2. Reemplace la directiva http_port con lo siguiente:

        http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/bump.crt key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,NO_SSLv2,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem

  9. Si está utilizando Squid 4.x o una versión posterior:
    1. Cree un directorio para la base de datos de certificados e inicialice la base de datos. Para hacerlo, ejecute los comandos siguientes según el sistema operativo utilizado:
      • CentOS, Red Hat Enterprise Linux, Rocky Linux, RED OS:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/lib64/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB

        chown -R squid:squid /var/lib/squid

      • SUSE Linux Enterprise Server:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/sbin/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB

        chown -R squid:squid /var/lib/squid

      • Ubuntu, Debian o ALT Server:

        mkdir -p /var/lib/squid

        rm -rf /var/lib/squid/ssl_db

        /usr/lib/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB

        chown -R proxy:proxy /var/lib/squid

    2. En el archivo de configuración /etc/squid/squid.conf, realice los siguientes cambios:
      1. Agregue las siguientes directivas al comienzo del archivo o antes de la primera directiva http_access:

        acl intermediate_fetching transaction_initiator certificate-fetching

        http_access allow intermediate_fetching

      2. Agregue las siguientes directivas al final del archivo según el sistema operativo utilizado:
        • CentOS, Red Hat Enterprise Linux, Rocky Linux, RED OS:

          sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

          sslproxy_cert_error allow all

          ssl_bump stare all

        • SUSE Linux Enterprise Server:

          sslcrtd_program /usr/sbin/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

          sslproxy_cert_error allow all

          ssl_bump stare all

        • Ubuntu, Debian o ALT Server:

          sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

          sslproxy_cert_error allow all

          ssl_bump stare all

      3. Reemplace la directiva http_port con una de las siguientes, según su versión de Squid:
        • Squid 4.x or 5.x:

          http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB tls-cert=/etc/squid/bump.crt tls-key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem

        • Squid 6.x y versiones posteriores:

          http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB tls-cert=/etc/squid/bump.crt tls-key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3 tls-dh=/etc/squid/bump_dhparam.pem

  10. Reiniciar el servicio Squid. Para hacerlo, ejecute el comando:

    service squid restart

La configuración de SSL Bumping en el servicio Squid se habrá completado.

Inicio de página