Proxy - squid transparentny i https
: 17 października 2012, 13:23
Przeczytałem już dużo postów w temacie squid transparentny i https i wszędzie piszą, że się nie da.
Nie mogę w to uwierzyć. Tak po prostu, nie mogę i już - nie ma rzeczy niemożliwych.
Nie chodzi mi tutaj o atak "man-in-the-middle" czyli wyprucie całej komunikacji https - czego squid i tak nie potrafi, ponieważ samego ssl'a ogranicza do trzech wpisów:
Co oznacza ni mnie ni więcej tylko przekaż całą komunikację SSL klientowi a ja squid nic nie dotykam.
Jednakże działa to tylko przy proxy nietransparentym - a więc konfigurowanym na przeglądarkach.
Zadając pytanie po co chcę w takim razie proxy na SSL - aby:
- mieć wpis w access.log zgodny z nomenklaturą squida aby sarg czy calamaris czy cokolwiek innego go przeczytał, czyli aby w łatwy sposób mieć wgląd w historię przeglądanych witryn https
- mieć informację o ilości informacji które przeleciały przez tego SSLa - tak aby była wiedza czy przypadkiem ktoś łącząc się ze stroną po ssl nie przelał kilku gigabajtów - wtedy wiadomo że coś jest podejrzanego
- mieć możliwość włączenia dansguardiana i jego magicznych filtrów do wynajdywania świństw - choćby w samym głównym linku, bowiem flaków i tak nie wypruję.
Jak to osiągnąć? A jeśli nie squid to co?
Nie mogę w to uwierzyć. Tak po prostu, nie mogę i już - nie ma rzeczy niemożliwych.
Nie chodzi mi tutaj o atak "man-in-the-middle" czyli wyprucie całej komunikacji https - czego squid i tak nie potrafi, ponieważ samego ssl'a ogranicza do trzech wpisów:
Kod: Zaznacz cały
acl SSL_ports port 443 563
acl CONNCET method CONNECT
http_access deny CONNECT !SSL_portsJednakże działa to tylko przy proxy nietransparentym - a więc konfigurowanym na przeglądarkach.
Zadając pytanie po co chcę w takim razie proxy na SSL - aby:
- mieć wpis w access.log zgodny z nomenklaturą squida aby sarg czy calamaris czy cokolwiek innego go przeczytał, czyli aby w łatwy sposób mieć wgląd w historię przeglądanych witryn https
- mieć informację o ilości informacji które przeleciały przez tego SSLa - tak aby była wiedza czy przypadkiem ktoś łącząc się ze stroną po ssl nie przelał kilku gigabajtów - wtedy wiadomo że coś jest podejrzanego
- mieć możliwość włączenia dansguardiana i jego magicznych filtrów do wynajdywania świństw - choćby w samym głównym linku, bowiem flaków i tak nie wypruję.
Jak to osiągnąć? A jeśli nie squid to co?