Falha de Segurança - SquidAnalyzer

tomaswaldow

O pacote mantido por eles é o Lightsquid, então não é falha de segurança do pfSense.
Se voce usa um pacote de "terceiros" não ha como eles garantirem segurança, e inclusive até pouco tempo o Lightsquid não tinha autenticação.

A questão aí é que "não" pode deixar a interface de configuração "aberta" para internet, pra mim isso sim é falha de segurança.

Faça uma VPN, e sobre o squidanalyzer creio que seja possível fazer autenticação, ajustando o servidor web.

brunok

Eu consegui fazer um contorno, para o SquidAnalyzer ficar disponível somente na rede interna.

Precisamos de uma 2º instância do NGINX rodando e mais algumas pequenas alterações.

Contando que o IP lan do seu PF seja 192.168.1.1 (altere se necessário).

Para o NGINX, podemos fazer o mesmo procedimento descrito aqui https://forum.pfsense.org/index.php?topic=118346.0 (até a parte do nginx apenas).

Depois de validar, vamos mover a pasta do squidanalyzer

mv /usr/local/www/squidanalyzer /usr/local/www/nginx-dist/

Desta forma, ja pode testar o acesso: http://ip_lan_pf/squidreport

Legal, mas vamos melhorar…

Vamos editar através do SHELL os arquivos squidanalyzer.inc e squidanalyzer.xml.

.INC

sed -ri "" s/\\\/usr\\\/local\\\/www\\\/squidreport/\\\/usr\\\/local\\\/www\\\/nginx-dist\\\/squidreport/g /usr/local/pkg/squidanalyzer.inc

Altera todas as linhas que contenham o path web atual, para o novo destino nginx-dist (ouvindo pela 2ª instância do NGINX).

.XML

sed -ri "" s/"\/squidreport"/"http:\/\/192.168.1.1\/squidreport"/g /usr/local/pkg/squidanalyzer.xml

Altera a URL que aparece no menu Services > SquidAnalyzer > SquidAnalyzer Report, apontando para sua rede interna.

brunok

Eu consegui botar a autenticação do LightSquid para o SquidAnalyzer… :P

Testes, testes e testes... :'(

Meu SquidAnalyzer está solicitando a mesma autenticação utilizada no LightSquid, inclusive está na mesma porta (7445).

Ainda em TESTES! 8)

sq1.png_thumb

sq2.png_thumb

brunok

As alterações em memória funcionaram.

Agora estou validando alterações nos .INC, porém, não tenho conhecimento em PHP.

Fiz alteração no lightsquid.inc, mas ao rebootar, apareceu mensagem de crash report:

PHP Parse error: syntax error, unexpected '"', expecting identifier (T_STRING) or variable (T_VARIABLE) or number (T_NUM_STRING) in /usr/local/pkg/lightsquid.inc on line 271

Nesta linha, fiz a inclusão disto:

$HTTP["url"] =~ "^/lightsquid|^/squidreport" {

Qual seria o "problema" ?

Código completo da instrução:

$HTTP["url"] =~ "^/lightsquid|^/squidreport" {
auth.require = ( "" =>
        (
        "method" => "basic",
        "realm" => "Password Required",
        "require" => "valid-user"
        )
)
}

Obs.: Alterando o CONF manualmente, exatamente como está ali, funciona! É algo de sitanxe do PHP, mas não consegui identificar ainda.

brunok

Finalmente um protótipo funcional! 8)

Depois de correr atrás e quebrar a cabeça, consegui fazer os ajustes nos arquivos INC e XML.

Após modificações e testes, pude rebootar o pfsense sem perder as configs.

Esclarecendo, o SquidAnalyzer vai rodar na mesma instância do LightSquid e utilizará a mesma forma de autenticação (credenciais definidas na página de configuração do LightSquid). ;)

pt1.png_thumb

pt2.png_thumb

pt3.png_thumb

pt6.png_thumb

pt5.png_thumb

pt7.png_thumb

pt4.png_thumb

brunok

Aceito colaborações (tanto em conhecimento como em $ :P) para validar e liberar um script que aplica segurança no SquidAnalyzer, através de credenciais para acesso.

Estou implementando e testando ainda… Mas já está funcional, faltando alguns pequenos ajustes e avisos.

secure.png_thumb

secure2.png_thumb

secure3.png_thumb

secure4.png_thumb

wtech.online

@brunok:

Aceito colaborações (tanto em conhecimento como em $ :P) para validar e liberar um script que aplica segurança no SquidAnalyzer, através de credenciais para acesso.

Estou implementando e testando ainda… Mas já está funcional, faltando alguns pequenos ajustes e avisos.

Amigo tem como disponibilizar o escript? estou batendo cabeça aqui para inserir uma autenticação para o squidanalyzer.

wtech.online

@brunok:

Finalmente um protótipo funcional! 8)

Depois de correr atrás e quebrar a cabeça, consegui fazer os ajustes nos arquivos INC e XML.

Após modificações e testes, pude rebootar o pfsense sem perder as configs.

Esclarecendo, o SquidAnalyzer vai rodar na mesma instância do LightSquid e utilizará a mesma forma de autenticação (credenciais definidas na página de configuração do LightSquid). ;)

Amigo vc pode me auxiliar nas configurações do Lightsquid .inc e .xml para integrar a autenticação no squidreport?

marcelloc

O pacote que disponibilizei via repositório já tem isso corrigido a muito tempo. Uso a mesma técnica que implementei no pacote sarg para visualizar o relatório via arquivo php no lugar de chamadas diretas aos htmls gerados.

Pacote não oficial SquidAnalyzer para pfSense software

wtech.online

@marcelloc:

O pacote que disponibilizei via repositório já tem isso corrigido a muito tempo. Uso a mesma técnica que implementei no pacote sarg para visualizar o relatório via arquivo php no lugar de chamadas diretas aos htmls gerados.

Pacote não oficial SquidAnalyzer para pfSense software

Não sei se me expressei bem!!!

Preciso colocar a pagina de login, para poder autenticar o usuário admin antes de visualizar os relatórios, através dos posts vi que vc acertou em usar a autenticação do lightsquid, poderia me ajudar a integrar isso ao squidanalyzer?

marcelloc

@wtech.online:

Preciso colocar a pagina de login, para poder autenticar o usuário admin antes de visualizar os relatórios

É exatamente isso que eu implementei no pacote.

wtech.online

@marcelloc:

@wtech.online:

Preciso colocar a pagina de login, para poder autenticar o usuário admin antes de visualizar os relatórios

É exatamente isso que eu implementei no pacote.

Se entendi bem!!!

Package / Squid log analyzer / General Settings –-> Pagina de configuração ok

depois de fazer as configurações e o update dos log, eu clico na aba squidanalyzer report-->link do squidreport e ele cai direto na tela do relatório sem nenhuma autenticação!

Está certo?

Se eu colocar direto no navegador .....

meu dns: porta/squidreport ele vcai direto sem autenticação.

Mesma coisa rede interna.

Esta certo, onde estou errando pois não consigo essa autenticação (login) de acesso ao squidreport.

Me da um help ai por favor!

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Entendi porque não consigo o login!!!!

Estou usando a versão 0.1!!

Como usar a versão 0.2 no pfsense 2.4?

marcelloc

@wtech.online:

Como usar a versão 0.2 no pfsense 2.4?

Subi a 0.2 agora para a 2.4

squidanalyser.PNG_thumb

wtech.online

@marcelloc:

@wtech.online:

Como usar a versão 0.2 no pfsense 2.4?

Subi a 0.2 agora para a 2.4

Legal eu atualizei a VER-0.1 manualmente com seus arquivos, agora estou testando aqui!

Show….Obrigado!!!

wmqueiroz

A solução é bem simples:

1) Mover o diretório do squidanalyzer para dentro do diretório lightsquid que possui autenticação.

mv /usr/local/www/squidanalyzer /usr/local/www/lightsquid

2) Alterar o caminho de Output no arquivo /etc/squidanalyzer/squidanalyzer.conf

Output /usr/local/www/lightsquid/squidanalyzer

3) Testar a geração do relatório

squid-analyzer -d

4) Acessar o endereço

https://ip-do-pfsense:7445/squidanalyzer

Obs: Lembrando que a senha é alterada lá no webconfigurator, LightSquid.