PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Via SSL mit squid verbinden



Tasman
21.09.10, 21:37
Hallo,

ich habe einen Squid im Einsatz, der von außen aus dem Internet erreichbar ist. Dazu habe ich einen Login vorgeschaltet, damit nicht jeder meinen Proxy benutzt. Das funktioniert wunderbar.

Jetzt wird aber eine verschlüsselte Verbindung zwischen dem Client und dem Squid benötigt. Dass dabei der Proxy die Daten hauptsächlich unverschlüsselt aus dem Internet holt, ist dabei nicht relevant. Ganz wichtig ist hier "nur" die Verschlüsselung zwischen dem surfenden Client (z.B. mit seinem Firefox) und dem Proxyserver (hier der Squid).

Geht so etwas?

In der /etc/squid/squid.conf habe ich einige Einträge zu SSL gefunden, ich weiß aber nicht, ob es sich um die benötigten Teile handelt.

# SSL OPTIONS
# -----------------------------------------------------------------------------

# TAG: ssl_unclean_shutdown
# Some browsers (especially MSIE) bugs out on SSL shutdown
# messages.
#
#Default:
# ssl_unclean_shutdown off

# TAG: ssl_engine
# The OpenSSL engine to use. You will need to set this if you
# would like to use hardware SSL acceleration for example.
#
#Default:
# none

# TAG: sslproxy_client_certificate
# Client SSL Certificate to use when proxying https:// URLs
#
#Default:
# none

# TAG: sslproxy_client_key
# Client SSL Key to use when proxying https:// URLs
#
#Default:
# none

# TAG: sslproxy_version
# SSL version level to use when proxying https:// URLs
#
#Default:
# sslproxy_version 1

# TAG: sslproxy_options
# SSL engine options to use when proxying https:// URLs
#
#Default:
# none
# TAG: sslproxy_cipher
# SSL cipher list to use when proxying https:// URLs
#
#Default:
# none

# TAG: sslproxy_cafile
# file containing CA certificates to use when verifying server
# certificates while proxying https:// URLs
#
#Default:
# none

# TAG: sslproxy_capath
# directory containing CA certificates to use when verifying
# server certificates while proxying https:// URLs
#
#Default:
# none

# TAG: sslproxy_flags
# Various flags modifying the use of SSL while proxying https:// URLs:
# DONT_VERIFY_PEER Accept certificates even if they fail to
# verify.
# NO_DEFAULT_CA Don't use the default CA list built in
# to OpenSSL.
#
#Default:
# none

# TAG: sslpassword_program
# Specify a program used for entering SSL key passphrases
# when using encrypted SSL certificate keys. If not specified
# keys must either be unencrypted, or Squid started with the -N
# option to allow it to query interactively for the passphrase.
#
#Default:
# none

Ist dieser Auszug auf der squid.conf dafür zuständig?
Wenn ja, was kann man bei den einzelnen Parametern eintragen? Die kleinen Hilfetexte dort sind nicht unbedingt sehr aussagefreudig. Auch die Doku unter http://www.visolve.com/squid/squid30/network.php ist mir nicht ausführlich genug. :(

VPN-Verbindungen (wie OpenVPN oder ssh, etc.) kommen bei dieser Problemstellung leider nicht in Frage.

Alternativ kann es sich bei der verschlüsselten Version auch um einen php-Proxy handeln, da ein Apache mit SSL-Verschlüsselung schon verfügbar ist. Dieses php-Script könnte die Anfragen weiterleiten. Allerdings filtern die zuviel an Skripten heraus. Es soll sich hierbei um keinen Contentfilter handeln (eher im Gegenteil).

Aus Sicherheitsgründen scheiden die sog. open Proxies sofort aus.

Ich setze den Squid 3.0.STABLE25-1.27 unter Opensuse 11.3 ein.

Seit Stunden bin ich hier am Verzweifeln. Ich freue mich über jede Idee! :)

blubbersuelze
20.10.10, 03:04
Hi,

mit "SSL-Proxy" wirst du da leider nicht weit kommen, der ist für proxying von SSL-Geschichten da, welche der "Zielserver" stellt.

Wenn der Traffic zwischen Client und dem Proxy geschützt sein soll musst du den Traffic in einen SSH oder VPN-Tunnel leiten.

mfg.
blubbersuelze :p

Tasman
21.10.10, 00:45
Hallo,

danke für Deine Antwort! :)
Leider hatte ich schon sowas befürchtet.