Përgjimi i trafikut HTTPS duke përdorur Shërbimin e Proxy Squid në pfSense

Përmbajtje

• Një hyrje e shkurtër në kallamar
• Pse duhet të aktivizoni përgjimin HTTPS në kallamar
• Hapi 1: Instaloni Paketën Squid3
• Hapi 2: Konfiguroni Cilësimet e Përgjithshme të Kallamarit
• Hapi 3: Konfiguro cilësimet transparente të përfaqësuesit
• Hapi 4: Konfiguroni një Autoritet Certifikues
• Hapi 5: Eksportoni Certifikatën e CA-së
• Hapi 6: Instaloni Certifikatën CA te Kompjuterët e Klientit
• Importimi i Certifikatës në Windows 7
• Importimi i Certifikatës në Mac OS X
• Hapi 7: Aktivizo SSL Man në Filtrimin e Mesëm
• Hapi 8: Testimi i Përgjimit të SSL-së
• Çështjet e njohura të kallamarit 3.4
• Azhurnimi në Kallamar 3.5.3
• Verifikimi i instalimit të kallamarit 3.5.3
• Përfundimi

Sam punon si një analist i rrjetit për një firmë tregtare algoritmike. Ai mori diplomën e tij bachelor në teknologji informacioni nga UMKC.

Një hyrje e shkurtër në kallamar

Kallamarët janë bërë një nga më të mirët pako të njohura për firewall-et pfSense dhe nuk është e vështirë të kuptosh pse.

Serverat e përfaqësimit të kallamarisë mund të përmirësojnë performancën e rrjetit duke mbajtur një memorie të përkohshme të faqeve të internetit, imazheve dhe skedarëve të tjerë të aksesuar zakonisht. Për më tepër, Squid mund të monitorojë trafikun dhe të mbajë një regjistër të të cilave faqet e internetit po shikojnë përdoruesit në rrjetin tuaj.

Në mënyrë që të përfitoni plotësisht nga përfitimet e Squid, unë rekomandoj që të merrni kohë për të mundësuar siç duhet përgjimin HTTPS.

Ky udhëzues supozon se tashmë keni një firewall pfSense të hapur dhe të funksionueshëm. Nëse nuk e keni një të tillë, lehtë mundeni instaloni pfSense në një kompjuter të vjetër që ndoshta tashmë e keni në dorë.

Pse duhet të aktivizoni përgjimin HTTPS në kallamar

Si parazgjedhje, serverat e përfaqësimit Squid nuk mund të monitorojnë trafikun e koduar HTTPS.Squid thjesht krijon një lidhje TCP me serverin e destinacionit dhe i përgjigjet klientit me një përgjigje HTTP 200 për të treguar që lidhja është krijuar.

Pasi kjo tuneli i koduar është krijuar, Squid kalon paketat midis klientit dhe serverit por nuk ka më ndonjë shikueshmëri në trafik pasi që mbrohet nga kriptimi SSL.

Gjatë viteve të fundit, shumë uebfaqe të njohura, duke përfshirë Google, YouTube, Reddit dhe Facebook, kanë filluar të mundësojnë enkriptimin HTTPS si parazgjedhje. Kjo do të thotë që pa konfiguruar përgjimin HTTPS, përfaqësuesit e Squid kanë aftësi të kufizuara të filtrimit, monitorimit dhe regjistrimit.

Për fat të mirë, Squid mbështet filtrimin SSL njeri, në mes, i cili do t'ju lejojë të monitoroni në mënyrë më efektive trafikun që kalon përmes serverit të proxy.

Hapi 1: Instaloni Paketën Squid3

Për të filluar, instaloni paketën Squid3 duke përdorur menaxherin e paketës pfSense (Sistemi Paketat).

Pas gjetjes së Squid3 nga lista e paketës, klikoni në butonin plus në anën e djathtë të paketës për të filluar instalimin e paketës.

Menaxheri i paketës do të shkarkojë dhe instalojë automatikisht Squid3 PBI.

Hapi 2: Konfiguroni Cilësimet e Përgjithshme të Kallamarit

Pasi të instalohet paketa Squid, duhet të konfigurohen cilësimet e përgjithshme. Faqja e cilësimeve mund të gjendet në Shërbime Server Proxy Squid.

Konfiguroni opsionet e mëposhtme:

1. Aktivizo Proxy Squid - Kontrolluar
2. Mbani Parametrat / Të Dhënat - Kontrolluar
3. Ndërfaqja e përfaqësuesit - Zgjidhni LAN dhe Loopback

Pjesa tjetër e cilësimeve në zonën e përgjithshme të cilësimeve mund të lihet në cilësimet e paracaktuara.

Hapi 3: Konfiguro cilësimet transparente të përfaqësuesit

Poshtë cilësimeve të përgjithshme, do të gjeni cilësimet transparente të përfaqësuesit. Në shumicën e rasteve, ju ndoshta do të dëshironi të aktivizoni mënyrën transparente të përfaqësimit. Kur të aktivizohet kjo mënyrë, muri i zjarrit automatikisht do të ridrejtojë të gjithë trafikun hyrës në internet te serveri i përfaqësimit Squid.

Me modalitetin transparent të aktivizuar, nuk është e nevojshme të konfiguroni shfletuesin e internetit të klientit për të përdorur proxy. Në shumicën e rasteve, klienti as nuk do ta vërejë se trafiku i tyre po kalon përmes përfaqësuesit.

Për të mundësuar proxy transparent, konfiguroni cilësimet e mëposhtme:

1. Proxy transparent HTTP - Kontrolluar
2. Ndërfaqja transparente e përfaqësuesit - LAN

Pjesa tjetër e cilësimeve në këtë seksion mund të lihen në cilësimet e tyre të paracaktuara nëse nuk dëshironi të konfiguroni adresa specifike për të anashkaluar proxy.

Shkoni poshtë në fund të faqes dhe klikoni ruaj për të zbatuar cilësimet.

Nëse vendosni të mos aktivizoni modalitetin transparent, do t'ju duhet të konfiguroni cilësimet e shfletuesit të internetit për secilin klient që dëshironi të përdorni në mënyrë specifike serverin proxy.

Hapi 4: Konfiguroni një Autoritet Certifikues

Një autoritet i certifikatës duhet të konfigurohet në pfSense para se të mundësohet përgjimi i HTTPS në Squid. CA do të përdoret për të gjeneruar certifikata të reja SSL të klientëve në lëvizje për kriptimin dhe dekriptimin automatik të trafikut në internet.

1. Hyni në menaxherin e certifikatës në Menaxheri i Sistemit Cert menu.
2. Klikoni në butonin plus për të krijoni një autoritet të ri të certifikatave.

Konfiguroni cilësimet e mëposhtme për autoritetin e ri të certifikatës.

1. Emri përshkrues - Zgjidhni një emër për CA-në tuaj. Mbani në mend se kjo do të shfaqet në certifikatën e klientit të dukshme për klientët.
2. Metoda - Zgjidhni 'Krijoni një Autoritet të Brendshëm të Çertifikatës' nga menuja zbritëse.
3. Gjatësia e çelësit - Unë rekomandoj 2048 për pajtueshmëri maksimale, por ju mund të përdorni 4096 bit për siguri maksimale.
4. Algoritmi i tretjes - Përdorni SHA256 ose më të lartë. Ashtu si cilësimi i mëparshëm, duhet të ekuilibroni sigurinë me pajtueshmërinë e pajisjes.
5. Gjatë gjithë jetës - Vendoseni këtë në 3650 ditë (10 vjet)
6. Emër i shquar - Plotësoni të gjitha fushat në seksionin (Shteti, Shteti, etj.). Të gjitha këto do të jenë të dukshme në certifikatat e shikuara nga klientët.

Klikoni në butonin e ruajtjes për të përfunduar krijimin e CA.

Hapi 5: Eksportoni Certifikatën e CA-së

Pas krijimit të CA-së së re, certifikata e CA-së duhet të eksportohet. Kjo certifikatë do të duhet të instalohet në çdo makinë klienti që do të përdorë serverin e përfaqësimit.

Nga faqja e menaxherit të CA, klikoni në eksport CA cert butonin për të shkarkuar certifikatën. Kjo do të shkarkojë një kopje të certifikatës CA në formatin e skedarit .crt.

Hapi 6: Instaloni Certifikatën CA te Kompjuterët e Klientit

Në mënyrë që të mos lejojnë që shfletuesit e internetit në kompjuterët e klientit të tregojnë gabime të certifikatës, certifikata CA nga pfSense CA duhet të instalohet në të gjithë kompjuterët e klientit që do të përdorin serverin e proksit.

Kapërcimi i këtij hapi do të rezultojë që klientët të marrin gabime të sigurisë në shfletues dhe mund të shkaktojnë probleme të ndryshme të lidhjes HTTPS.

Certifikata duhet të vendoset në Dyqani i Autoriteteve të Certifikatës Root të Besuar për të parandaluar gabimet e shfletuesit.

Nëse keni vetëm një numër të vogël kompjuterash në rrjetin tuaj, atëherë ndoshta do të jetë më e lehtë të importoni manualisht certifikatën në secilin kompjuter.

Për rrjete më të mëdha, duhet të konsideroni konfigurimin e Shërbimeve të Certifikatës së Direktorisë Active të Microsoft. Autoritetet e certifikatave të integruara në AD mund të dërgojnë automatikisht një certifikatë rrënjë tek hostët që janë anëtarë të domenit.

Importimi i Certifikatës në Windows 7

Për të importuar certifikatën në një kompjuter me Windows 7, klikoni dy herë në skedarin .crt për të hapur kutinë e dialogut të certifikatës.

1. Klikoni në instaloni certifikatën butonin për të filluar magjistarin e importit.
2. Kliko tjetër në faqen e parë të magjistarit të importit të certifikatës.
3. Zgjidhni opsionin vendosni të gjitha certifikatat në dyqanin vijues.
4. Klikoni në butonin e shfletimit dhe zgjidhni Autoritetet e Çertifikimit të Rrënjës së Besuar.
5. Kliko tjetër, pastaj kliko në fund në faqen e konfirmimit të importit.
6. Kur të kërkohet, klikoni po për të njohur paralajmërimin e sigurisë.

Ju duhet të shihni një mesazh që tregon se importi i certifikatës ka përfunduar me sukses.

Dialogu i vetive të certifikatës Windows 7

Importimi i Certifikatës në Mac OS X

Ndiqni hapat më poshtë për të importuar manualisht certifikatën në Mac OS X.

1. Hapni aplikacionin Keychain Access - Përdorni kërkimin në qendër të vëmendjes për të gjetur lehtë këtë aplikacion.
2. Klikoni në simbolin e kyçjes për të zhbllokuar zinxhirin kryesor për ndryshime.
3. Hapni menunë File dhe zgjidhni Artikujt e Importit.
4. Zgjidhni certifikatën CA eksportuar nga pfSense. (Në këtë pikë, ju duhet të shihni certifikatën në keychain me mesazhin "Kjo certifikatë rrënjë nuk është e besuar")
5. Klikoni dy herë në certifikatë dhe zgjeroni pjesën e besimit të kutisë së dialogut. Në kutinë e parë zbritëse të quajtur "Kur përdorni këtë certifikatë", zgjidhni gjithmonë besim.
6. Mbyllni kutitë e dialogut dhe dilni nga aplikacioni për hyrjen në kyç.

Importuar një certifikatë CA në Mac OS X

Hapi 7: Aktivizo SSL Man në Filtrimin e Mesëm

Pas ngarkimit të certifikatës në kompjuterët e klientit, ju jeni gati të mundësoni filtrimin SSL në Squid. Hyni në faqen e cilësimeve të kallamarëve (Shërbime Server Proxy Squid) dhe konfiguroni cilësimet më poshtë.

1. Përgjimi i HTTPS / SSL - Kontrolluar
2. Ndërfaqja (et) e përgjimit SSL - Zgjidhni LAN
3. CA - Zgjidhni autoritetin e certifikatës të krijuar në hapin 4

Klikoni ruaj në fund të faqes për të zbatuar cilësimet.

Hapi 8: Testimi i Përgjimit të SSL-së

Praktika më e mirë pasi të keni mundësuar përgjimin SSL është të konfirmoni se po funksionon siç është menduar. Ndiqni këto hapa për të verifikuar lidhjet HTTPS po deshifrohen nga përfaqësuesi.

1. Vizitoni një sit që përdor HTTPS, të tilla si Reddit, nga një kompjuter klient prapa përfaqësuesit.
2. Shikoni informacionin e certifikatës prezantuar nga shfletuesi i internetit. Në Chrome, kjo mund të bëhet duke klikuar në simbolin e kyçjes në shiritin e adresës.
3. Konfirmoni që informacioni i lëshuesit të certifikatës përputhet me informacionin që keni futur kur krijoni autoritetin e certifikatës në hapin 4.

Çështjet e njohura të kallamarit 3.4

Menaxheri i paketave pfSense aktualisht përmban Squid version 3.4, i cili ka një çështje të njohur ku gjeneron gabimisht certifikata SHA1 në vend të SHA256.

Meqenëse SHA1 është një algoritëm i dobët, shumë shfletues do të tregojnë gabime kur hasin certifikata të nënshkruara duke përdorur këtë algoritëm.

Për ta rregulluar këtë, unë rekomandoj që të azhurnoni manualisht në Squid version 3.5.3, i cili nuk e ka këtë problem.

Azhurnimi në Kallamar 3.5.3

Udhëzimet e azhurnimit janë paksa të ndryshme në varësi të faktit nëse po përdorni versionin 32-bit ose 64-bit të pfSense.

Për të përcaktuar se cilin version keni, hapni panelin e pfSense dhe kontrolloni seksionin e versionit të widget-it të panelit të informacionit të sistemit. Nëse shihni AMD64, atëherë ndiqni udhëzimet 64-bit. Nëse shihni i386, atëherë përdorni udhëzimet 32-bitëshe.

Komandat mund të ekzekutohen përmes një Terminali i SSH, ose terminali i bazuar në internet (Diagnostifikimi Command Prompt)

Udhëzime për 64-bit (AMD64)

1. Shkarkoni PBI duke ekzekutuar komandën: merr https://files.pfsense.org/packages/10/All/squid-3.5.3-amd64.pbi
2. Instaloni paketën duke ekzekutuar: pbi_add - no-checksig -f kallamar-3.5.3-amd64.pbi
3. Ekzekutoni komandat më poshtë për të krijuar strukturën e duhur të direktorisë

cd / usr / pbi / kallamar-amd64 /

rm -rf / usr / pbi / kallamar-amd64 / etj

ln -s / usr / pbi / kallamar-amd64 / lokale / etj.

ln -s / usr / pbi / kallamar-amd64 / lokale / lib. ln -s / usr / pbi / kallamar-amd64 / lokale / libexec. ln -s / usr / pbi / kallamar-amd64 / lokale / aksion. ln -s / usr / pbi / kallamar-amd64 / bin sbin

Rindizni pfSense pasi të ekzekutoni komandat e mësipërme (Diagnostifikimi Reboot).

Udhëzime për 32-bit (i386)

1. Shkarkoni PBI duke ekzekutuar komandën: merr https://files.pfsense.org/packages/10/All/squid-3.5.3-i386.pbi
2. Instaloni paketën duke ekzekutuar: pbi_add - no-checksig -f kallamar-3.5.3-i386.pbi
3. Ekzekutoni komandat më poshtë për të krijuar strukturën e duhur të direktorisë

cd / usr / pbi / kallamar-i386 /

rm -rf / usr / pbi / kallamar-i386 / etj

ln -s / usr / pbi / kallamar-i386 / lokal / etj.

ln -s / usr / pbi / kallamar-i386 / lokale / lib. ln -s / usr / pbi / kallamar-i386 / lokal / libexec. ln -s / usr / pbi / kallamar-i386 / lokale / aksion. ln -s / usr / pbi / kallamar-i386 / bin sbin

Rindizni pfSense pasi të ekzekutoni komandat e mësipërme (Diagnostifikimi Reboot).

Verifikimi i instalimit të kallamarit 3.5.3

Pas rindezjes së pfSense filloni një sesion të ri SSH (ose përdorni terminalin e uebit) për të verifikuar që paketa e azhurnuar është instaluar si duhet.

Kur ekzekutoni komandën më poshtë duhet të shihni versionin 3.5.3 të renditur në dalje.

/ usr / local / sbin / kallamar -v

Përfundimi

Urime, nëse keni përfunduar të gjithë hapat e mësipërm, ju keni konfiguruar me sukses Squid për të kapur trafikun e koduar HTTPS. Ju duhet menjëherë të vini re se kërkesat HTTPS regjistrohen në regjistrat e hyrjes së Squid.

Për të përfituar plotësisht nga regjistrat e rinj të hyrjes që po mblidhen, unë rekomandoj që të instaloni një analizues të regjistrave të Squid, si p.sh. Lightsquid.

Ky artikull është i saktë dhe i vërtetë për sa i përket njohurive të autorit. Përmbajtja është vetëm për qëllime informuese ose argëtuese dhe nuk zëvendëson këshillën personale ose këshillën profesionale në çështje biznesi, financiare, ligjore ose teknike.