Merhaba Herkese, Konuma ilgili gösteren herkese teşekkürler. Squid ve HTTPS ssl_bump i hem proxy hemde transparent olarak çalıştırdım. Sizlere deneyimimi ve yapıldırmayı aşağıda aktarmaya çalışacağım öncesinde bir kaç sorum olacak.
*Elimizdeki CA root sertifikasını tabiki tüm tarayıcılara yüklememiz gerekiyor. Kurumsal ağ üstünde bunu AD ile yapabiliriz. Peki misafir ağına gelecek bir telefon yada notebook üzerinde nasıl yapacağız nasıl bir yol izleyeceğiz ? * *Squide bir captive portal gibi bişey koysak eğer ilk defa ağa bağlandıysa bu sertifikaları tarayıcıya gönderse yada bir program versek onu kurdursak gibi. Bunu yapabilecek olan protokol yada sistem nedir ne şekilde araştırmam gerekiyor anahtar kelimeler nedir ? * Benim deneyimlerime gelince; İlk olarak Centos 6 ve Squid 3.5 ile denedim. Anladığım kadarıyla intermediate sertifikaları alırken sıkıntı yaşadı. Wiki'sinde Squid 4 ile bu sorunu çözmüşler. Tüm sertifakaları tarayıcı gibi davranıp sunuculardan çekebiliyormuş. Centos 7 ve Squid 4 aşağıdaki yapılandırma ile genel olarak bir sıkıntı yaşamdım. Bir tek Let's Encypt ile şifrelenmiş Squid in wiki sayfasında sıkıntı çıktı. Onunda CA dosyasını ayrıca Squid'e gösterdim sıkıntı düzeldi. Centos 7 ile hazırda gelen CA sertifikalarini içinde yok sanırsam. Kullandığım yapılandırma şu şekilde. Şu linki kullandım örnek olarak. https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit *http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/etc/ssl_cert/myCA.pem options=SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/usr/local/squid/etc/ssl_cert/dhparam.pem* *http_port 3129 ssl-bump intercept generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/etc/ssl_cert/myCA.pem options=SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/usr/local/squid/etc/ssl_cert/dhparam.pem* *https_port 3130 ssl-bump intercept generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/etc/ssl_cert/myCA.pem options=SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/usr/local/squid/etc/ssl_cert/dhparam.pem* *sslcrtd_program /usr/local/squid/libexec/security_file_certgen -s /var/lib/ssl_db -M 4MB* *sslproxy_foreign_intermediate_certs /usr/local/squid/etc/ssl_cert/dstca.pem* *acl nobumpSites ssl::server_name "/usr/local/squid/etc/no_ssl_track.txt"* *acl step1 at_step SslBump1* *ssl_bump splice nobumpSites* *ssl_bump peek step1* *ssl_bump bump all* *tls_outgoing_options options=NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE* *tls_outgoing_options cipher=HIGH:MEDIUM:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS* Transparent bağlantılar için 80 ve 443 gibi port yönlendirmelerini yapıldığını varsayıyorum. Saygılar sevgiler Esen kalın 1 Ağustos 2017 20:58 tarihinde Ozgur <okara...@member.fsf.org> yazdı: > Merhaba > > pfSense icerisinde squid yerine direk squid kullanmanizi oneriyorum. > > 01.08.2017, 20:52, "Barış Demirtaş" <ba...@demirtas.gen.tr>: > > Merhaba > > Direk squid yerine pfSense icerisinde squid kullanmanizi öneriyorum. > > pfSense icinde squid ile http ve https loglama yapabilirsiniz. bunun > nedeni web arayuzu ile herseyi kolarca yapabilmenizdir. ayrica bankalar > icin sertifika gerekmez. > > https loglamalari cpu ve ram bazimda donanimi iyi derecede yormaktadir. > > Bu nedenle iyi donanim seçerseniz sorunsuz çalışacaktır > > Baris Demirtaş > > 28 Temmuz 2017 17:54 tarihinde Ercan Topalak <ercantopa...@gmail.com> > yazdı: > > Merhaba, > > > > Squid proxy üzerinde HTTPS bağlantıları kayıt altına almak istiyorum > fakat > > transparent kullandığım için sertifika ile araya girmem gerekiyor. > > > > http://roberts.bplaced.net/index.php/linux-guides/centos- > 6-guides/proxy-server/squid-transparent-proxy-http-https > > > > Yukarıdaki makaleyi kullanacağım. > > > > Daha önce bu şekilde çalışmadığım için; man in the middle olarak squid > > kullanan ve internet trafiğinde sıkıntı yaşayan var mı ? Bankalarda yada > > başka sitelerde (google vs) sistemi algılayıp güvenlik hatası veriyor mu > ? > > > > Farklı şekilde yapabileceğim bir öneriniz var mi (hali hazırda squid > > kullanıyorum) > > > > Son olarak https trafiğini izlemek için şirketlerde genellikle kullanılan > > yöntem nedir ? > > > > Şimdiden herkese teşekkürler yardımcı olursanız sevinirim. > > > > Esen kalın... > > > _______________________________________________ > Linux-sunucu E-Posta Listesi > Linux-sunucu@liste.linux.org.tr > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > >
_______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
