Как все таки блокировать google, youtube etc?

Question

[Денис Сечин]

Поднял на ubuntu16.04 прозрачный кеширующий squid 3.5.26 c поддержкой ssl-bump без подмены сертификатов. В принципе всё работает, но когда настал момент блокировки https ресурсов, а конкретно google,gmail,youtube встал в тупик. т.е. в конфиге squid есть такая команда:
acl blocked ssl::server_name "/etc/squid/blocked_https.txt"
в файлик прописываю домены блокируемых ресурсов: .google.com .www.youtube.com .toster.ru. В итоге блокируется только toster, (его заблочил для примера - хороший сайт)да и еще почему-то блокируется именно facebook хотя его блокировка нигде не фигурирует. Помогите разобраться. Настраивал сквиду по статьям на хабре. Вот конфиг сквид:

acl local src 10.10.1.0/24

http_port 10.10.1.254:3128 intercept options=NO_SSLv3:NO_SSLv2
https_port 10.10.1.254:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl blocked ssl::server_name "/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1

ssl_bump terminate blocked
ssl_bump splice all

sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
coredump_dir /var/spool/squid

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager

http_access allow local

http_access deny manager
http_access allow localhost
http_access deny all
http_port 3128

coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
cache_dir aufs /var/spool/squid 20000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB

cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
logfile_rotate 4

Comments

[DVoropaev]

а зачем google банить?

Answer 1

[CityCat4]

Когда решался вопрос с новым прокси с бампингом, статистикой, (блэкджеком и девочками с выдающимися ... достоинствами), то я решил не терминировать соединение на шаге бампа, а выдать старый знакомый access denied, благо пользователи приучены распознавать именно эту фразу :D

Поэтому рулите доступом, как обычно, в правилах бампинга пропишите только исключения для банков

Большую часть конфига с описанием групп доступа я опущу - они однотипные

acl full_acl    proxy_auth -i "/etc/squid/policy/full.acl"
acl noporno_acl proxy_auth -i "/etc/squid/policy/noporno.acl"
acl porno url_regex -i "/etc/squid/policy/porno.url"
http_access allow full_acl
http_access deny noporno_acl porno
http_access allow noporno_acl
http_port 10.1.1.1:8080 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/pki
/tls/certs/logsrv_subca-sha256.crt key=/etc/pki/tls/private/logsrv_subca-sha256.key cafile=/etc/
pki/tls/certs/squid-cafile.pem capath=/etc/ssl/certs cipher=kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2 op
tions=NO_SSLv2,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE dhparams=/etc/pki/tls/private/dhparams.pem tls-dh=prime256v1:/etc/pki/tls/private/dhparams.pem
sslproxy_client_certificate /etc/pki/tls/certs/logsrv_client-sha256.crt
sslproxy_client_key /etc/pki/tls/private/logsrv_client-sha256.key
sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
sslproxy_cipher kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2
sslproxy_cafile /etc/pki/tls/certs/squid-cafile.pem
sslproxy_capath /etc/ssl/certs
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
acl nobumpSites ssl::server_name "/etc/squid/policy/ssl_nobump.url"
ssl_bump peek step1 all
ssl_bump peek step2 nobumpSites
ssl_bump splice step3 nobumpSites
ssl_bump bump all
acl domainMismatchList dstdom_regex -i "/etc/squid/policy/domain_mismatch.url"
acl certMismatch all-of domainMismatchList ssl::certDomainMismatch
sslproxy_cert_error allow certMismatch
sslproxy_cert_error deny all
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 32 startup=5 idle=1

Запрещенные домены, в данном случае порносайты, заносятся в файл porno.url. в файле noporno.acl - логины в формате login@WINDOWS.DOMAIN. Сайты, которые не надо бампить - в файле ssl_nobump.url. Сайты, у которых ошибка сертификата, связанная с ленью админа и тем, что сертификат выдан на другое имя - в файле domain_mismatch.url
JFYI: Не стоит отключать обработку ошибок сертификата. Если словите настоящий MitM - то вас с отключенной обработкой уже ничего не спасет.

Comments

[Денис Сечин]

Спс, а ссылочку можно где это всё расписано?

[CityCat4]

Денис Сечин: Толком - нигде. Собственная наработка по чтению тостера и документации на squid :) Параметры конфига squid расписаны в насайте и в вики. Но проблема документации сквида в том, что очень хорошо расписано, что настроить, но зачем это настраивать - не сказано нифига. Прекрасный пример того, как отличная, подробная документация .... нифига не помогает :)

[Денис Сечин]

CityCat4: Спасибо большое за такой развёрнутый ответ, скажите а по ssl_bump где-то есть описание директив и как оно вообще толком работает? я например понятия не имею,что значат эти директивы:

acl step1 at_step SslBump1
ssl_bump peek step1

ssl_bump terminate blocked
ssl_bump splice all

[CityCat4]

Денис Сечин: Первая - просто ACL, которая сработает, когда идет бамп соединения на шаге SslBump1 - описание здесь.
Вторая - выполнить действие peek (см. ссылку), если истинно ACL step1. Действие peek не являетсчя терминатором и просмотр действий ssl_bump будет продолжен после выполнения действия.
Третья - выполнить действие terminate (см. ссылку), если истинно ACL blocked. Действие terminate является терминатором (что понятно :) ), просмотр заканчивается, соединение не будет установлено. У пользователя это будет выглядеть, как зависание при попытке входа на сайт.
Четвертая - выполнить действие splice если истинно ACL all (да, all - это ACL, формируется самим squid автоматически). Действие является терминатором, просмотр заканчивается, устанавливается "чистое" соединение (такое же как если бы он было непроксировано).

Чем плох этот пример.

- один список на всех, а зачастую скажем в соцсети нужно пускать определенных людей
- при попадании на заблокированный сайт нет возможности понять - это заблокированный сайт или проблемы с инетом. Будут звонки в саппорт, разборки и непонимание.

[Денис Сечин]

CityCat4: Есть траблы, не открываются некоторые сайты по https: вот логи
1503991528.151 232 10.10.1.5 TAG_NONE/200 0 CONNECT 104.19.195.102:443 - ORIGINAL_DST/104.19.195.102 -
1503991528.154 277 10.10.1.5 TAG_NONE/200 0 CONNECT 178.248.237.68:443 - ORIGINAL_DST/178.248.237.68 -
1503991553.106 112 10.10.1.5 TAG_NONE/200 0 CONNECT 35.186.213.138:443 - ORIGINAL_DST/35.186.213.138 -
1503991554.003 202 10.10.1.5 TAG_NONE/200 0 CONNECT 194.107.17.160:443 - ORIGINAL_DST/194.107.17.160 -
1503991583.421 74 10.10.1.5 TAG_NONE/200 0 CONNECT 35.186.213.138:443 - ORIGINAL_DST/35.186.213.138 -
1503991584.944 201 10.10.1.5 TAG_NONE/200 0 CONNECT 194.107.17.160:443 - ORIGINAL_DST/194.107.17.160 -
1503991613.461 74 10.10.1.5 TAG_NONE/200 0 CONNECT 35.186.213.138:443 - ORIGINAL_DST/35.186.213.138 -
кстати http резолвит, а https нет, даже если добавить сайты в nobump все равно не открываются

[CityCat4]

Денис Сечин: Банк-клиент?

[Денис Сечин]

CityCat4: Нет, сейчас не открываются facebook и gmail.com, я добавил dns-nameserver и вроде но не помогло, но вопрос про блок google и youtube открыт, они не блокируются в:

acl blocked ssl::server_name "/etc/squid/blocked_https.txt"

Смотря в логи я даже не вижу как пользователь конектится к google или к youtube, я так понял это связанно с особым видом ssl tls у этих гигантов? и вообще вы можете мне объяснить принцип работы ssl bump? толком нигде не расписано, очень благодарен! И почему не работают facebook,gmail?

[CityCat4]

Денис Сечин: Более подробно, чем в вики squid про бампинг вряд ли где написано. Сейчас проведу эксперимент.
Провел эксперимент выход через прокси с бампингом. facebook блокируется, olx.ua нет, потому что в списках не значится :)

1504029359.244     72 10.87.1.67 TCP_DENIED/407 4259 CONNECT facebook.com:443 - HIER_NONE/- text/html
1504029359.257      5 10.87.1.67 TCP_DENIED/200 0 CONNECT facebook.com:443 ***@***.LOCAL HIER_NONE/- -
1504029359.288      0 10.87.1.67 TAG_NONE/403 7069 GET https://facebook.com/ ***@***.LOCAL HIER_NONE/- 
text/html
1504029359.764    339 10.87.1.67 TCP_DENIED/407 4562 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE
/- text/html
1504029360.378      0 10.87.1.67 TCP_DENIED/407 4259 CONNECT facebook.com:443 - HIER_NONE/- text/html
1504029360.406      6 10.87.1.67 TCP_DENIED/200 0 CONNECT facebook.com:443 ***@***.LOCAL HIER_NONE/- -
1504029360.410      0 10.87.1.67 TAG_NONE/403 7063 GET https://facebook.com/favicon.ico ***@***.LOCAL HIER_NONE/- text/html
1504029360.426      0 10.87.1.67 TCP_DENIED/407 4259 CONNECT facebook.com:443 - HIER_NONE/- text/html
1504029360.432      4 10.87.1.67 TCP_DENIED/200 0 CONNECT facebook.com:443 ***@***.LOCAL HIER_NONE/- -
1504029360.436      0 10.87.1.67 TAG_NONE/403 7073 GET https://facebook.com/favicon.ico ***@***.LOCAL HIER_NONE/- text/html

Правила бампинга свои? Или которые я писал?

[Денис Сечин]

CityCat4: ваши, я добавлял неоткрывающиеся сайты в nobump после этого они открываются, но очень медленно и по урлам не ходит, т.е. Открываются только главные странички, сейчас не работает gmail facebook и еще некоторые сайты, и в логах об этом ничего нет

[CityCat4]

Денис Сечин: Хм. gmail открывается без проблем. Браузер какой? Может как-то вообще в обход прокси умудряется?
nobump я предназначал исключительно для клиент-банков и прочего, где потенциально может быть заложена дополнительная проверка сертификата.

[Денис Сечин]

CityCat4: Ок, а почему тогда facebook блокируется? браузер хром, да если бы в обход, то открывался бы..наверно, nat же в iptables 443 есть. Не понял, для банков только? а как тогда другие https блокировать? ну вот тостер к google к примеру?

[CityCat4]

Денис Сечин: На самом деле блокировать https можно и без бампинга
http_access deny noporno_acl CONNECT porno
В рамках вышеприведенного конфига. Потому что мне кажется, что тут дело у Вас вовсе не в бампинге. Бампинг нужен не для блокировки, а для статистики, чтобы видеть кто куда ходил на незаблокированных ресурсах

[Денис Сечин]

CityCat4: httP_acces относится к HTTP же? а в чем прикол с фейсбуком у гмеилом тогда?

[CityCat4]

Денис Сечин: Нет. http_access управляет доступом. Неважно по какому протоколу - после бампинга https для squid равен http. И собственно именно ради этого он мне и нужен - статистику считать.

[Денис Сечин]

CityCat4:
При таком конфиге нифига не работает через http_acces, да через ssl blocked тоже, подозреваю,что проблема в несоответствии доменного имени блокируемого сайта и hostname_server в SNI проверено wireshark-ом

acl localnet src 10.49.1.0/24
acl CONNECT method CONNECT

dns_nameservers 8.8.8.8
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

acl test dstdomain -i "/etc/squid/blocked_http.txt"
http_access deny localnet test

http_access allow localnet
http_access allow localhost
http_access deny all
http_port 10.49.1.254:3128 intercept options=NO_SSLv3:NO_SSLv2
http_port 10.49.1.254:3130 options=NO_SSLv3:NO_SSLv2
https_port 10.49.1.254:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl blocked ssl::server_name "/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1

ssl_bump terminate blocked
ssl_bump splice all

sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

[CityCat4]

Денис Сечин: У меня несколько другая конфигурация по портам - один http_port с intercept и бампингом - и все работает. В продакшн еще не пошло, правда но только потому что я в отпуске

[Денис Сечин]

CityCat4: HTTP port с бампингом? Это как?

[CityCat4]

Денис Сечин: Легко и непринужденно :)

http_port 10.87.1.39:8080 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/pki/tls/certs/logsrv_subca_sha256.crt key=/etc/pki/tls/private/logsrv_subca_sha256.key cafile=/etc/
pki/tls/certs/squid-cafile.pem capath=/etc/ssl/certs cipher=kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2 options=NO_SSLv2,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE dhparams=/etc/pki/tls/private/dhparams.pem tls-dh=prime256v1:/etc/pki/tls/private/dhparams.pem

[Денис Сечин]

CityCat4: Это совсем не такая конфига как у меня, и в хотите сказать что вы http_access блокируете HTTPs сайты? А прокат прописан у клиентов? И сертификат у них добавлен?

[Денис Сечин]

CityCat4, Да и какой версии squid у вас? у меня 3.5.26, версия 3.5.12 глючная

[CityCat4]

Денис Сечин,

Starting Squid Cache version 3.5.26 for x86_64-redhat-linux-gnu...

[CityCat4]

Денис Сечин, легко и непринужденно блокирую :).
Сертификат СА, выдавшего сертифкат subCA для прокси - прописан у клиента политиками. То есть структура PKI примерно такая - есть root CA, его сертификат прописан в доверенные политиками. Он выпускает сертификат subCA, который я ставлю в squid - он указывается в http_access. Он же выпускает сертификат клиента, который указывается в директивах squid, начинающихся на sslproxy - то есть squid нуждается в двух сертификатах (так же как sendmail).

[Денис Сечин]

CityCat4, Т.е. вы делаете полный бамп с подменой серта?
P.S. у меня заработала версия 3.5.8 transparent без подмены сертификата, работает без ошибок в cache, блокируется https правилами

acl blocked ssl::server_name "/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1

Единственное, то, что не блокирует youtube и google, но это из-за того,что при соединении с этими сайтами не происходит процедура handshake, а не происходит она потому-что в спецификации TLS предусмотрена возможность "кэширования" мета-данных соединения. Клиент отправляет ID-шник предыдущего соединения, сервер видит у себя в кэше этот ID-шник и соединение устанавливается по упрощённой схеме. Сделано с целью уменьшения нагрузки, так как полная установка TLS-соединения -- довольно тяжёлая операция.

[CityCat4]

Денис Сечин, да. Мне нужен урл, чтобы его "посчитать" статистикой. Заблокировать гугл, трубу, facebook или еще что я могу и без бампа вообще - я собственно так и делаю сейчас на прокси, что в продакшн, но там статистики нет.
Ну и кроме того, хотелось немного сократить обьем секций с правилами блокировки - у меня разные люди имеют разный доступ - у кого-то и вконтактик работает, причем законно.

[Денис Сечин]

CityCat4, Так, а каким правилом вы блокируете youtube google? или у вас cisco asa?

[CityCat4]

Денис Сечин, Я их не блокирую. На трубе есть ролики, которые нужны производству. После некоторой беседы с CEO производства я убрал блокировку трубы - и именно поэтому мне нужен бампинг - чтобы по урлу с трубы посмотреть ролик - что там такое - обучающий материал по программированию для ЧПУ или же киношка. А гугл мне нет смысла блокировать. Но я сейчас попробую добавить на том прокси, где тестирование идет - просто из интереса. Циски нет.

[Денис Сечин]

CityCat4, Вы же писали:

аблокировать гугл, трубу, facebook или еще что я могу и без бампа вообще - я собственно так и делаю сейчас на прокси

Мне интересно как?

[CityCat4]

При получении URL https://youtube.com/* произошла следующая ошибка

    Доступ запрещён.

Система контроля доступа не позволяет выполнить ваш запрос сейчас. Обратитесь к вашему администратору.

А правила я уже приводил. Поскольку у меня прокси с подменой сертификатов - я блокирую их стандартными http_access

[CityCat4]

Денис Сечин, перехватом метода CONNECT. Когда идет запрос на прокси по https, то используется метод CONNECT. Я проверяю урлы в запросе, если они совпадают с урлами из списка - deny.
http_access deny extended_acl CONNECT trash_ssl
Здесь extended_acl - это ACL со списком логинов, trash_ssl - ACL с урлами.