Squid + squidguard - s'arrête périodiquement



  • Bonjour,
    La connexion marche correctement et par hasard je rencontre une alerte suivant dans le navigateur:

    "Une erreur est survenue pendant une connexion à www.google.com.

    SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée.

    Code d’erreur : <a id="errorCode" title="SSL_ERROR_RX_RECORD_TOO_LONG">SSL_ERROR_RX_RECORD_TOO_LONG</a>"

    J'utilise pfsense 2.4.3 64bits. La connexion s’arrête périodiquement et affiche cette erreur.



  • Mais comme tu ne décris pas comment est configuré ton proxy, il est assez difficile de t'aider…
    Proxy en mode explicite ou transparent ?

    A priori, tu fais du SSL bump mais je n'en suis même pas très sûr.

    Si c'est le cas, c'est, dans le principe, une assez mauvaise idée:

    • tu vas avoir des problèmes avec les HSTS
    • il faut prendre soin de notifier très clairement les utilisateurs que leur connexion HTTPS est "espionnée"

    En cherchant un peu sur le web, cette erreur est assez largement documentée. Par exemple:
    https://www.reddit.com/r/linuxadmin/comments/7l880i/problem_with_squid_and_https/
    mais je n'ai pas regardé plus que ça car pas concerné par SSL Bump



  • A priori on peut soupçonner la mise en œuvre de SSL Bump. C'est le plus souvent, pour ne pas dire toujours à quelques exceptions rares, une très mauvaise idée. Pour les deux raisons invoquées par Chris :
    Les conditions de validité juridiques sont lourdes, en supposant qu'elles soient possibles dans votre cas. Ce qui reste à démontrer.
    Les difficultés techniques sont certaines avec les sites ayant activés une configuration SSL/TLS vace HSTS.
    Pas possible pour moi non plus d'n dire plus vu le peu d'informations disponibles dans votre demande.



  • ci-joint ma config!! je l’utilise dans un établissement scolaire avec quelque site filtré.




  • J'aimerai bien me passer du squid. Mais je ne sais pas comment m'en passez pour filtré certain catégorie de site?



  • Dans votre cas, vous ne pouvez pas vous passer de squid. Les choix de configuration de me semblent pas adaptés au contexte.
    Le proxy transparent n'est pas une bonne idée, l'imputabilité des opérations de navigation est nécessaire donc l'authentification l'est évidement.
    L'interception SSL n'est pas justifiée au regard notamment du droit à la vie privée. Point qu'il ne faut pas confondre avec la nécessité bien réelle de journaliser les données de connexion mais pas les contenus. Ces données de journalisation doivent être protégées et archivées sur une année glissante. L'accès à ces données devant être limité aux besoins de preuve dans un cadre judiciaire.
    Filtrer les sites accessibles est une nécessité vu le contexte (individus mineurs). la mise en ouvre de blacklist (type Université de Toulouse) est souhaitable.



  • Ce sujet est typique et mainte fois évoqué sur le forum :

    • Squid tourne sur le firewall : à partir d'une certaine taille de trafic (nb d'utilisateurs), il FAUT passer à un proxy dédié (même si on perd l'interface graphique)

    • Squid fonctionne en proxy transparent : mauvaise idée : incompatible avec HTTPS ! Il FAUT investir dans WPAD qui est simple à mettre en oeuvre

    • Squid casse HTTPS (avec SSLBump) : mauvaise idée : sûrement illégal pour certains sites (banques), trompeur (menteur) envers les internes, et voué à l'échec avec HSTS

    • Je ne veux plus de Squid : et on le remplace par quoi ?

    • Je veux travailler avec une appliance 'UTM' : est ce meilleur que Squid ? peut on accéder simplement au log (sans avoir accès au firewall) ? en général la réponse est non au 2 questions !

    Quand vous êtes sur un projet de ce type, il est essentiel de savoir

    • quels sont les mécanismes en jeu (et les réglementations)
    • bien connaitre la réalité des mécanismes (et non les mythes)
    • réfléchir avant
    • (et tester avec des logs la solution miracle dont on a entendu les merveilles et qui, une fois testé, s'avèrent de très faible niveau)

    Mais bon , j'observe souvent que l'expertise ne fait pas des pré-requis standards …



  • @harison:

    J'aimerai bien me passer du squid. Mais je ne sais pas comment m'en passez pour filtré certain catégorie de site?

    Si l'objectif est d'empêcher l'accès à certaines catégories de sites, un proxy HTTP est la bonne solution technique.
    Tu peux tout à fait faire du filtrage avec Squid avec SquidGuard en te basant par exemple sur les catégories publiées par l'université de Toulouse (ce sujet à été évoqué sur ce forum il y a peu).

    Un lien intéressant:
    http://eduscol.education.fr/internet-responsable/ressources/legamedia/filtrage.html
    Par ailleurs, la plupart des académies mettent à disposition un document comme celui-ci:
    http://www.activitice.ac-aix-marseille.fr/spip/sites/www.activitice/spip/IMG/pdf/Referentiel_securite.pdf
    Renseigne toi auprès de l'académie à laquelle tu es rattaché.

    L'authentification est plus que recommandée mais, il ne faut pas se leurrer, on atteint rapidement la imite de cet exercice qui est loin d'être "théorique". Selon la taille de ta structure, la gestion des comptes et des mots de passe associés, plus tout le support que cela nécessite, soit pour mettre en place des solution de type SSPR ou disposer d'un service qui va suivre et gérer les comptes, devient vite très conséquent.

    Autant dans une université, comme dans l'entreprise, la nécessité de la gestion des comptes informatiques de utilisateurs "étudiants" est acquise et mise en oeuvre (souvent pour l'ENT), autant pour une école primaire ou un collège, voire même lycée l'exercice est plus compliqué et le service informatique sensé gérer ces aspects absent.

    Raison de plus pour faire des choses simples et en l’occurrence, un proxy avec squidguard et WPAD pour éviter de devoir gérer la configuration de chaque poste et l'approche probablement la plus simple et économique. La vraie difficulté est plus autour de la gestion, au quotidien, des comptes utilisateurs, soit via AD (Microsoft est très actif au niveau des écoles) soit via une solution "LDAP" (ce que je préconise si tu n'as pas déjà un domaine Windows déployé)



  • @jdh:

    • Je veux travailler avec une appliance 'UTM' : est ce meilleur que Squid ? peut on accéder simplement au log (sans avoir accès au firewall) ?

    Ah bon  :o ???

    Par exemple des solutions comme Zentyal ou NethServer, pour ne citer que celles-ci, permettent de faire ça très bien.
    Et même pfSense permet de définir des groupes avec des privilèges histoire "que l'accès au firewall" ne signifie pas systématiquement "je suis root et je peux modifier les règles".

    Pour rester dans e cadre de ce fils: une fois mise en place une authentification basée sur un annuaire central, la sécurité et le contrôle autour de ce directory va devenir presque aussi critique que la gestion des règle de FW  ;)

    Et la plupart de ces UTM implémentent Squid: la question de "meilleur que Squid" ne se pose donc pas.



  • @Chris : vous ne savez pas lire ?
    Je décris de façon générique 5 type de fils (avant les :), et les questions que chacun pose (à droite des :).
    Il est bien clair que je ne suis pas 'impliqué" dans ces 5 types de fils, je défends clairement et régulièrement

    • un proxy séparé du firewall, avec WPAD (j'ai même rédigé ici un mini-howto sur le sujet)
    • le couple Squid/SquidGuard
    • pas de cassage de SS (ce qui n'empêche pas de blacklister)
      Contrairement à vous, je suis 'stable' dans mon expression …

    A titre perso, dans mon entreprise, on est en train de généraliser les firewall Stormshield.
    Ce n'est pas pour autant que je vais supprimer les proxy(ies) sous Debian/Squid/SquidGuard/LightSquid/C-icap/Clamav qui fonctionnent très bien.



  • Il me montre aussi ce genre d'erreur des fois "Secure Connection Failed" et après quelque second ça remarche.