HTTPS SQUID Man-in-middle

Anregungen & Feature Requests
Post Reply
penne
Posts: 682
Joined: September 21st, 2011, 12:48 pm

HTTPS SQUID Man-in-middle

Post by penne » March 2nd, 2013, 6:39 pm

Hoi,

wird es mit Ipfire in nächster Zeit möglich sein, auch https transfer zu Monitoren? Weshalb ich dies Frage: User loggt sich beim Webmailer ein, und führt Virus aus, oder User Nutzt ÜbersetzungsSeiten(https) und surft somit andere http seiten unzensiert an.....

Hier mal ein Beispiel, wie ich mir z.B. die Sache vorstelle:

http://blog.davidvassallo.me/2011/03/22 ... erception/
mit welchen Parameter wurde der IPfire squid gebaut?


Gruesse
Last edited by penne on March 2nd, 2013, 6:41 pm, edited 1 time in total.

Jan_B
Posts: 83
Joined: June 28th, 2011, 10:43 am
Location: Bremen

Re: HTTPS SQUID Man-in-middle

Post by Jan_B » March 2nd, 2013, 7:08 pm

./configure --prefix=/usr --disable-nls \
  75            --datadir=/usr/lib/squid \
  76            --mandir=/usr/share/man --libexecdir=/usr/lib/squid \
  77            --localstatedir=/var --sysconfdir=/etc/squid \
  78            --enable-poll --enable-icmp --disable-wccp \
  79            --enable-ident-lookups \
  80            --enable-storeio="aufs,diskd,ufs" --enable-ssl \
  81            --enable-underscores --enable-ntlm-fail-open --enable-arp-acl \
  82            --enable-http-violations --enable-auth=basic,ntlm \
  83            --enable-removal-policies="heap,lru" \
  84            --enable-delay-pools --enable-linux-netfilter \
  85            --enable-basic-auth-helpers="NCSA,SMB,MSNT,LDAP,multi-domain-NTLM,PAM,squid_radius_auth" \
  86            --enable-useragent-log \
  87            --enable-referer-log \
  88              --enable-snmp \
  89            --with-pthreads --with-dl \
  90            --with-maxfd="16384" \
  91            --with-filedescriptors=16384 \
  92            --with-large-files \
  93            --with-aio \
  94            --enable-async-io=8 \
  95            --enable-unlinkd \
  96            --enable-ntln-fail-open \
  97            --enable-ntlm-auth-helpers="smb_lm,no_check,fakeauth" \
  98            --enable-internal-dns \
  99            --enable-epoll \
100            --disable-kqueue \
101            --enable-select \
102            --disable-cache-digests \
103            --enable-forw-via-db \
104            --enable-htcp \
105            --enable-ipf-transparent \
106            --enable-kill-parent-hack \
107            --disable-wccpv2 \
108            --enable-icap-client \
109            --disable-esi

von hier: http://git.ipfire.org/?p=ipfire-2.x.git ... 4e04e7478e


sollte also funktionieren weil enable-ssl und enable-icap-client dabei ist.

Vielleicht liest du dies noch dazu:
http://wiki.squid-cache.org/Features/SslBump

Dieser Absatz von dort sollte auch nicht unterschätzt werden:
WARNING:  HTTPS was designed to give users an expectation of privacy and security. Decrypting HTTPS tunnels without user consent or knowledge may violate ethical norms and may be illegal in your jurisdiction. Squid decryption features described here and elsewhere are designed for deployment with user consent or, at the very least, in environments where decryption without consent is legal. These features also illustrate why users should be careful with trusting HTTPS connections and why the weakest link in the chain of HTTPS protections is rather fragile. Decrypting HTTPS tunnels constitutes a man-in-the-middle attack from the overall network security point of view. Attack tools are an equivalent of an atomic bomb in real world: Make sure you understand what you are doing and that your decision makers have enough information to make wise choices.
Last edited by Jan_B on March 2nd, 2013, 7:14 pm, edited 1 time in total.
Image
Image
Image
Image

penne
Posts: 682
Joined: September 21st, 2011, 12:48 pm

Re: HTTPS SQUID Man-in-middle

Post by penne » March 2nd, 2013, 7:54 pm

Danke für die Infos,

less ich das hier richtig:

Squid becomes responsible for handling server certificate validation errors

When an HTTP client receives the invalid origin server certificate it can use agent features to handle validation errors. For example, many browsers warn and allow the user to examine the invalid certificate and optionally ignore the error for this or even future connections.

This powerful functionality is currently not available because Squid makes the ultimate decision on whether to ignore the validation error. The HTTP client always receives a valid certificate generated by Squid and not the invalid certificate from the origin server. We are considering adding code to mimic server certificate errors when generating a fake certificate, giving back the user an option to examine and bypass the error. Quality patches or sponsorships are welcomed.


dann heisst dass, dass ich mit dieser Methode keine BAD Certs auf Client BAsis abfangen kann? Was wiederrum ein neues Problem auftut.


Das mit dem Man-in-Middle Konzept und des ethical Problems: http://www.sophos.com/de-de/products/we ... reatScroll

wird dies als feature angepriesen.....das Problem ist halt, dass man mit https die ganze Urlfilter/Virengeschichte aushebeln kann......den Belsebub mit dem Teufel austreiben ist immer eine Sache. Wie handhabt Ihr dass in eurem Unternehmen? Wir sind eine Klitsche mit 15 MItarbeiter....

gruessle
Last edited by penne on March 2nd, 2013, 8:02 pm, edited 1 time in total.

Jan_B
Posts: 83
Joined: June 28th, 2011, 10:43 am
Location: Bremen

Re: HTTPS SQUID Man-in-middle

Post by Jan_B » March 2nd, 2013, 8:05 pm

Genau so ist es :/

Im Grunde wäre jedes Cert "BAD" für den Client, außer du verpasst dem Squid eines welches er an die Clients weiterreicht an Stelle des Certs der Seite wo sie eigentlich hin wollten (welchem sie generell vertrauen müssen um nicht ständig eine Meldung im Browser zu haben, entweder dadurch dass es ein gekauftes Cert ist oder dadurch dass dem Cert auf jedem Rechner vertraut wird, durch GPO o.ä.).

Aber dadurch ergibt sich dann das Problem, dass du im Squid irgendwie auf ungültige Server-Certs achten musst um deine Clients zu beschützen.

Außerdem noch der rechtliche Aspekt... Immerhin kannst du in den HTTPS-Traffic zu Banken etc. reinschauen.
Image
Image
Image
Image

Jan_B
Posts: 83
Joined: June 28th, 2011, 10:43 am
Location: Bremen

Re: HTTPS SQUID Man-in-middle

Post by Jan_B » March 2nd, 2013, 8:08 pm

Bei uns im Unternehmen haben wir es zunächst so versucht, dass generell die "CONNECT"-Methode (also HTTPS) gesperrt wurde und mit einer Whitelist für einige Seiten der HTTPS-Zugang wieder freigeschaltet wurde.

Irgendwann wurde das leider eingestellt, so dass jetzt mit einer Blacklist gearbeitet wird. Denke das ist aber nur eine Frage der Zeit wann wieder auf Whitelist für HTTPS gesetzt wird
Image
Image
Image
Image

urmelchen
Posts: 5
Joined: February 19th, 2017, 1:18 pm

Re: HTTPS SQUID Man-in-middle

Post by urmelchen » February 20th, 2017, 8:48 am

Hallo penne,

hast Du das inzwischen realisiert?
Mein Kleiner baut zu viel Mist, deshalb hab ich ihm zur Zeit eine Whitelist verpasst.
Ist halt auf die Dauer auch keine Lösung.

Hast Du ein paar Tipps für mich oder gar eine Anleitung?

Post Reply