Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

marcelloc

No squid 3.3, o squidguard é executado sob demanda.

gilmarcabral

Bom dia.
Comecei a testar o squid-dev.
Fiz a instalação utilizando a GUI, baixei as bibliotecas que o squid-dev necessita e fiz a configuração do squid via GUI.
Porem o serviço não inicializa.
Quando tento iniciar o serviço via console para ver o erro recebo a seguinte mensagem.

squid -k reconfigure
2013/05/16 09:06:50| ERROR: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth: (2) No such file or directory
FATAL: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth: (2) No such file or directory
Squid Cache (Version 3.3.4): Terminated abnormally.
CPU Usage: 0.010 seconds = 0.010 user + 0.000 sys
Maximum Resident Size: 40208 KB
Page faults with physical i/o: 0

Configurei o squid para autenticar em base openldap.
Obs.
Só instalei o squid-dev não instalei squidguard e nem outra versão do squid.
Desde já agradeço

LFCavalcanti

Olá!

Marcelloc,
Primeiro, parabéns pelo trabalho e obrigado por esta função que pode ser muito interessante.

Duas perguntas:
1 - O Filtro SSL é de certa forma um exploit?
2 - O Snort ou o próprio antivírus não irão detectar alguma mudança nos pacotes?

marcelloc

@LFCavalcanti:

1 - O Filtro SSL é de certa forma um exploit?

Não é um exploit, a técnica aplicada é a do men-in-the-middle. O squid fecha um ssl com o site e outro com o cliente.

@LFCavalcanti:

2 - O Snort ou o próprio antivírus não irão detectar alguma mudança nos pacotes?

Não, quem vai altertar e reclamar é o browser cliente se o certificado do servidor não estiver instalado.

marcelloc

@gilmarcabral:

2013/05/16 09:06:50| ERROR: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth: (2) No such file or directory
FATAL: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth: (2) No such file or directory

Os nomes mudaram. squid_ldap_auth mudou para basic_ldap_auth

Vou atualizar o código e republicar.

marcelloc

pacote versão 2.1.1 publicada

Principais mudanças

• Corrigido os nomes dos plugins de autenticação

• Incluido mais opções de verificação de certificado(ssl_crt)

• Incluído campo para refresh_pattern customizado na aba cache para melhor controle de conteúdo dinamico.

• (re)Incluído acl de cache no squid.inc(provavelmente resolve o problema de cache quando habilitado cache de conteúdo dinâmico.)

gilmarcabral

Boa tarde Marcello.
Ficou um erro na gui do squid.inc ele ta passando a ACL password errado o nome.

2013/05/16 16:03:42| Warning: empty ACL: acl SSL proto SSL
2013/05/16 16:03:42| aclParseAclList: ACL name 'passowrd' not found.
FATAL: Bungled squid.conf line 118: http_access deny passowrd sglog
Squid Cache (Version 3.3.4): Terminated abnormally.
CPU Usage: 0.008 seconds = 0.008 user + 0.000 sys
Maximum Resident Size: 40672 KB
Page faults with physical i/o: 0
o denny password sglog ficou errado o password

marcelloc

@gilmarcabral:

Ficou um erro na gui do squid.inc ele ta passando a ACL password errado o nome.

Corrigido. Obrigado pelo feedback.

gilmarcabral

Marcello eu novamente lhe atormentando.
Encontrei mais 2 probleminhas.
O primeiro que quando inicializo o serviço do squid e tento rodar o squid -k reconfigure via terminal ele não roda apresenta a seguinte mensagem:
squid -k reconfigure
squid: ERROR: Could not send signal 1 to process 40565: (3) No such process

Mas o serviço esta inicializado mas num consigo ver se tem algum erro de configuração.

Tentei usar o squid-dev usando o openldap ou autenticação local porem o proxy so recusa conexão.
Vi esta mensagem abaixo no log o cache do squid.
ail -f /var/squid/logs/cache.log
2013/05/16 17:07:44 kid1| Max Mem  size: 131072 KB
2013/05/16 17:07:44 kid1| Max Swap size: 2097152 KB
2013/05/16 17:07:44 kid1| Rebuilding storage in /var/squid/cache (no log)
2013/05/16 17:07:44 kid1| Using Least Load store dir selection
2013/05/16 17:07:44 kid1| Current Directory is /usr/local/www
2013/05/16 17:07:44 kid1| Loaded Icons.
2013/05/16 17:07:44 kid1| HTCP Disabled.
2013/05/16 17:07:44 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2013/05/16 17:07:44 kid1| sendto FD 25: (1) Operation not permitted
2013/05/16 17:07:44 kid1| ipcCreate: CHILD: hello write test failed

thiagomespb

essa mesma msg aparece no meu..

LFCavalcanti

@marcelloc:

Não, quem vai altertar e reclamar é o browser cliente se o certificado do servidor não estiver instalado.

Hum, então por exemplo, se é man-in-the-middle, ao acessar um site que o usuário nunca tinha acessado, o Banco do Brasil, se o certificado não estiver armazenado pode gerar erro?

Vou tentar fazer um teste amanhã aqui.

marcelloc

@LFCavalcanti:

Hum, então por exemplo, se é man-in-the-middle, ao acessar um site que o usuário nunca tinha acessado, o Banco do Brasil, se o certificado não estiver armazenado pode gerar erro?

Não, os certificados são gerados dinamicamente, e se você instalar o crt da ca na estação, não vai receber erro algum.

Nota importante: Qualquer site cadastrado na whitelist do squid, não passa pelo filtro de ssl. Não é interessante filtrar sites de banco por exemplo  ;)

@LFCavalcanti:

Vou tentar fazer um teste amanhã aqui.

teste no pfsense 2.1, o filtro está perfeito nele.

marcelloc

pacote versão 2.1.2 publicado.

Principais alterações

• mudar o certificade de server para CA

• Incluído um <enter>adicional para evitar errors de configuração</enter>

Esta versão esta com o filtro ssl funcionando muito estável no pfsense 2.1.  :)

No pfsense 2.0.x é preciso ativar o ipv6 para o squid subir as postas de escuta.

gst.freitas

marcelo,

o que não esta funcionando.. o pfsense 2.1..

marcelloc

@gst.freitas:

o que não esta funcionando.. o pfsense 2.1..

Não entendi…  :(

gst.freitas

Vou explicar,

quais os problemas da versão 2.1.. e o squid3-dev para versão 2.0.3 só funciona ativando o IPv6 ?

marcelloc

@gst.freitas:

quais os problemas da versão 2.1..

Melhor olhar no redmine, não sei o que falta funcionar para deixar de ser beta.

@gst.freitas:

o squid3-dev para versão 2.0.3 só funciona ativando o IPv6 ?

A versão do repositório oficial sim, no meu repositório tem uma versão do squid sem ipv6.

marcelloc

A versão 3.3.4_1 do meu repositório está funcionando corretamente no 2.0.x

Achei um patch agora a noite e funcionou 100%  ;D

vou fazer mais uns testes e partir para resolver a integração com antivírus.

1368761856.278    210 192.168.0.3 TCP_MISS/200 978 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761856.699    442 192.168.0.3 TCP_MISS/200 19903 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/jso                                                                                 n
1368761856.714    521 192.168.0.3 TCP_MISS/200 905 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761857.121    203 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html
1368761857.136    219 192.168.0.3 TCP_MISS/200 680 GET https://www.google.com.br/xjs/_/js/k=-im9hrMhEvY.en_US./m=wta/am=wA/r                                                                                 t=j/d=0/sv=1/rs=AItRSTMxcUTKX7_k7F3jagv1ABf8swPrOg - PINNED/189.86.41.119 text/javascript
1368761858.327    632 192.168.0.3 TCP_MISS/200 915 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761859.649   1548 192.168.0.3 TCP_MISS/200 14473 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/jso                                                                                 n
1368761859.661    228 192.168.0.3 TCP_MISS/200 850 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761860.026    220 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html
1368761860.970    397 192.168.0.3 TCP_MISS/200 851 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761861.121    388 192.168.0.3 TCP_MISS/200 856 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761861.223    311 192.168.0.3 TCP_MISS/200 855 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761861.410    397 192.168.0.3 TCP_MISS/200 860 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/json
1368761862.720   1537 192.168.0.3 TCP_MISS/200 18542 GET https://www.google.com.br/s? - PINNED/189.86.41.119 application/jso                                                                                 n
1368761863.104    222 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html
1368761865.464    232 192.168.0.3 TCP_MISS/204 328 GET https://www.google.com.br/gen_204? - PINNED/189.86.41.119 text/html
1368761866.209    507 192.168.0.3 TCP_MISS/200 982 POST http://ui.ff.avast.com/urlinfo - HIER_DIRECT/77.234.43.81 applicatio                                                                                 n/octet-stream
1368761866.684    479 192.168.0.3 TCP_MISS/200 982 POST http://ui.ff.avast.com/urlinfo - HIER_DIRECT/77.234.43.81 applicatio   

marcelloc

Já estou trabalhando no código da integração com o antivírus via i-cap.

marcelloc

Atualizei no meu repositório o squid para a versão 3.3.5.

Já submeti a alteração para o ports do freebsd, assim que for comitado por lá, solicito nova compilação no repositório oficial.

O filtro de ssl se mostrou bem estável até agora.