[SQUID] Activation Interception SSL + Sélectif

Discussions sur l'administration de la protection et de l'administration du proxy SQUID et le filtrage d'URL

[SQUID] Activation Interception SSL + Sélectif

New postby trusty » Mon Jul 13, 2015 9:02 am

Bonjour,

Artica est installé via l'ISO (Debian) est mis à jour : (2.14.070516) et la version d'évaluation entreprise est activé?

Pourriez vous m'indiquer comment est ce que l'on fait pour obtenir ce menu tel que présenté sur les tutos?
http://artica-proxy.fr/ssl-selectif/

J'aimerais pouvoir faire du déchiffrement SSL uniquement sur 1 domaine.

Serait il possible d'avoir une procédure à jour?

En vous remerciant

Cordialement
trusty
 
Posts: 2
Joined: Mon Jul 13, 2015 8:57 am
Artica servers number: 1
Linux System: Debian
Technical skills: A Geek

Re: [SQUID] Activation Interception SSL + Sélectif

New postby admin » Mon Jul 13, 2015 9:18 am

En 2.x, Les règles SSL sont la pour ca.

Elle vous permettent de spécifier quels sont les sites qui seront déchiffrés.
13-07-2015 11-10-42.png
13-07-2015 11-10-42.png (86.35 KiB) Viewed 5793 times


On créé une règle qui déchiffre
13-07-2015 11-13-25.png
13-07-2015 11-13-25.png (25.75 KiB) Viewed 5793 times


Puis on l'édite afin de trouver l'onglet "Groupe"
On ajoute un groupe ( par exemple serveur Web ou domaine)
On associe ce groupe à la règle SSL
13-07-2015 11-14-57.png
13-07-2015 11-14-57.png (83.33 KiB) Viewed 5793 times


Et on édite le groupe afin d'indiquer quels sont les sites qui seront hébergés par ce groupe et subiront le déchiffrement SSL
13-07-2015 11-15-49.png
13-07-2015 11-15-49.png (182.78 KiB) Viewed 5793 times
User avatar
admin
Site Admin
 
Posts: 11946
Joined: Wed Oct 17, 2007 7:59 am
Location: France

Re: [SQUID] Activation Interception SSL + Sélectif

New postby trusty » Mon Jul 13, 2015 9:35 am

Bonjour,

Merci pour l'information, ce qui me rassure c'est que j'étais effectivement au bon endroit.

Pourriez-vous m'indiquer :

- Comment extraire un certificat auto-signé par Artica Proxy? (Il semblerait que l'on ne puisse plus faire comme indiquer dans vos vidéos)
- Ce certificat peut il être installé sur un périphérique iOS qui utilise un Agent de connexion en HTTPS?

En vous remerciant

Cordialement
trusty
 
Posts: 2
Joined: Mon Jul 13, 2015 8:57 am
Artica servers number: 1
Linux System: Debian
Technical skills: A Geek

Re: [SQUID] Activation Interception SSL + Sélectif

New postby jsaussol » Thu Oct 15, 2015 7:30 am

Bonjour,

Est-il possible de mettre dans une règle SSL une catégorie Artica.
Je voudrais intercepter le flux SSL sauf pour certains sites qui correspondent à une catégorie. Je suis donc passé par une règle SSL comme décrit ci-dessus.
J'ai créé un objet proxy de type "Artica Categories" avec une sélection de plusieurs catégories que j'ai lié dans une règle SSL qui force l'interception SSL en cochant "Reverse" pour mon objet.
Lorsque je compile les règles j'ai un message d'erreur sur l'objet, Groupe28 dans mon cas. Y-t-il une autre solution?

Starting......: 09:28:46 Apply configuration failed....
Starting......: 09:28:46 110% Apply configuration failed
Revert to old config...
[line:78]: acl MgRClient src 172.20.25.43
[line:77]: acl MgRClient src 127.0.0.1
[line:76]: acl MgRPort myportname 0.0.0.0:52959
<HR>[line:75]: acl MgRPort myportname 127.0.0.1:52959
Starting......: 09:28:46 [SYS]: Squid `FATAL: Bungled /etc/squid3/ssl.conf line 76: ssl_bump bump !Group10 ssl_step2 !SNIGroup11 !Group28`, aborting configuration, keep the old one...
Starting......: 09:28:46 [SYS]: Bad configuration `FATAL: Bungled /etc/squid3/ssl.conf line 76: ssl_bump bump !Group10 ssl_step2 !SNIGroup11 !Group28`
Starting......: 09:28:46 110% {operation_failed} Bungled !!!
Starting......: 09:28:46 [SYS]: 2015/10/15 09:28:46| ACL not found: Group28
Starting......: 09:28:46 [SYS]: 2015/10/15 09:28:46| Processing Configuration File: /etc/squid3/ssl.conf (depth 1)
Starting......: 09:28:46 [SYS]: 2015/10/15 09:28:46| Processing Configuration File: /etc/squid3/GlobalAccessManager_auth.conf (depth 1)
jsaussol
 
Posts: 4
Joined: Fri Sep 18, 2015 8:33 am
Artica servers number: 1
Linux System: CentOS
Technical skills: A Linux System Administrator

Re: [SQUID] Activation Interception SSL + Sélectif

New postby admin » Fri Oct 16, 2015 12:15 am

Si je comprends bien vous voulez déchiffrer tous les sites Internet sauf ceux qui fonct partie d'une catégorie Artica ?

Il y a une différence entre "Intercepter" ( ce que fait artica de base ) et Intercepter + déchiffrer
User avatar
admin
Site Admin
 
Posts: 11946
Joined: Wed Oct 17, 2007 7:59 am
Location: France

Re: [SQUID] Activation Interception SSL + Sélectif

New postby jsaussol » Fri Oct 16, 2015 8:44 am

Bonjour,
Dans un premier temps, je voudrais empécher l'interception de flux SSL pour une catégorie via les règles SSL.
Le déchiffrement SSL pour telle ou telle catégorie se gère par les règles de filtrage?
jsaussol
 
Posts: 4
Joined: Fri Sep 18, 2015 8:33 am
Artica servers number: 1
Linux System: CentOS
Technical skills: A Linux System Administrator

Re: [SQUID] Activation Interception SSL + Sélectif

New postby admin » Fri Oct 16, 2015 9:41 am

Pour des raisons de compatibilités et de praticités nous avons fais le contraire.

Tout se gère à travers les règles SSL.

En faites d'abord on intercepte le trafic mais on ne le déchiffre pas car cela n'est pas nécessaire pour le filtrer avec le filtrage Web.
Puis si on veut déchiffrer le site pour des raisons antivirales ( webmail, file sharing ) ou pour des raisons de mise en cache ( youtube ) on spécifie quels sont les sites web à déchiffrer à travers une liste précise de sites web.

Car en effet, tout déchiffrer risque de poser d'autres problèmes périphériques.
User avatar
admin
Site Admin
 
Posts: 11946
Joined: Wed Oct 17, 2007 7:59 am
Location: France

Re: [SQUID] Activation Interception SSL + Sélectif

New postby jsaussol » Fri Oct 16, 2015 10:22 am

J'ai bien compris ce point. Par contre, juste pour la partie interception du flux SSL dans une règle SSL, j'ai toujours l'erreur citée plus haut. Il faut une licence définitive pour faire ça car cela est basé une sur catégorie Artica? Je suis actuellement en licence de démonstration 30j.

JSA_ 2015-10-15 09.2201.jpg
JSA_ 2015-10-15 09.2201.jpg (38.39 KiB) Viewed 5658 times


JSA_ 2015-10-15 09.2502.jpg
JSA_ 2015-10-15 09.2502.jpg (90.55 KiB) Viewed 5658 times


JSA_ 2015-10-15 09.2803.jpg
JSA_ 2015-10-15 09.2803.jpg (104.6 KiB) Viewed 5658 times
jsaussol
 
Posts: 4
Joined: Fri Sep 18, 2015 8:33 am
Artica servers number: 1
Linux System: CentOS
Technical skills: A Linux System Administrator

Re: [SQUID] Activation Interception SSL + Sélectif

New postby admin » Fri Oct 16, 2015 10:55 am

La règle n'a pas de sens car les objets sont explicitement "ET"

Donc dans votre case il faut que le site fasses partie de Liste Sites No-SSL ET la catégorie Artica
L'objet catégorie Artica n'a alors pas de sens
User avatar
admin
Site Admin
 
Posts: 11946
Joined: Wed Oct 17, 2007 7:59 am
Location: France

Re: [SQUID] Activation Interception SSL + Sélectif

New postby jsaussol » Fri Oct 16, 2015 12:03 pm

Il y a un NOT devant les 3 objets. Il faut que le site ne fasse pas partie de la liste SSL SNI Domains et pas partie de la liste Categorie Artica. Même si je fait une règle qu'avec la liste des catégories Artica, j'ai toujours l'erreur.
jsaussol
 
Posts: 4
Joined: Fri Sep 18, 2015 8:33 am
Artica servers number: 1
Linux System: CentOS
Technical skills: A Linux System Administrator

Next

Return to Squid et filtrages

Who is online

Users browsing this forum: No registered users and 4 guests

cron