FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

CentOS7 SquidのSSLインターセプトの設定例 SSLインスペクション SSL復号化s

2018.05.29 (Tue)


我が家で動かしているCentOS7 SquidのSSLインターセプトの設定例

SSL復号化すると正常に閲覧できないドメイン等は、
復号化の除外設定をしています。

また、ClamAVと連携してウイルススキャンも実装しています。
















cat /etc/squid/squid.conf
----------------------------------------------------------------------------------
###ACLブラックリスト
acl blacklist dstdomain "/etc/squid/blacklist"

##ACL除外ドメイン
acl bump-bypass-dst-dom dstdomain .windowsupdate.com
acl bump-bypass-dst-dom dstdomain .microsoft.com
acl bump-bypass-dst-dom dstdomain .wustat.windows.com
acl bump-bypass-dst-dom dstdomain .icloud.com
acl bump-bypass-dst-dom dstdomain .apple.com
acl bump-bypass-dst-dom dstdomain .google.com
acl bump-bypass-dst-dom dstdomain .google.co.jp
acl bump-bypass-dst-dom dstdomain .clickpost.jp
acl bump-bypass-dst-dom dstdomain .wallet.yahoo.co.jp
acl bump-bypass-dst-dom dstdomain .bangumi.org
acl bump-bypass-dst-dom dstdomain .auth.login.yahoo.co.jp

#LAN側サブネット
acl lan src 192.168.10.0/23

acl step1 at_step SslBump1

acl SSL_ports port 443
acl Safe_ports port 80-90 # http
acl Safe_ports port 443 # https
acl Safe_ports port 1025-65535 # unregistered ports
acl CONNECT method CONNECT

acl NOCACHE src all
cache deny NOCACHE

error_directory /usr/share/squid/errors/ja

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny blacklist
http_access allow lan

ssl_bump splice bump-bypass-dst-dom
ssl_bump bump lan

http_access deny all

sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
sslproxy_options NO_SSLv2,SINGLE_DH_USE

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/cert.crt key=/etc/squid/cert.key

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

request_header_access Referer deny all
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
visible_hostname unknown
forwarded_for off

icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_header X-Authenticated-User
icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_req allow all
icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_resp allow all

access_log /var/log/squid/access.log common
----------------------------------------------------------------------------------
関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック