Wpis z mikrobloga

Skopiuj link

konto usunięte 26.09.2017, 19:30:46

#linux #informatyka #sieci #serwery #routery #servery #serverownia #freebsd

Mirki, sorki ze marudze, ale zrobilem wszystko co pisalo w tym linku: http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https

I FireFox wywala mi to o to:
Your connection is not secure

The owner of www.google.com has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website.

This site uses HTTP Strict Transport Security (HSTS) to specify that Firefox may only connect to it securely. As a result, it is not possible to add an exception for this certificate.

Learn more…
Report errors like this to help Mozilla identify and block malicious sites
SQUID konfig:

cache deny all
http_access allow all
https_port 3128 transparent ssl-bump generate-host-certificates=on dynamic_cert_
sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 8 startup=1 idle=1
`


```server_persistent_connections off```

cachepeer localhost parent 20001 0 round-robin```#cache_peer localhost_2 parent 20002 0 round-robin no-query```#cachepeer localhost3 parent 20003 0 round-robin```#cache_peer localhost_4 parent 20004 0 round-robin no-query```#cachepeer localhost5 parent 20005 0 round-robin```#cache_peer localhost_6 parent 20006 0 round-robin```#cachepeer localhost7 parent 20007 0 round-robin```#cache_peer localhost_8 parent 20008 0 round-robin```neverdirect allow all`

l-_-l

26.09.2017, 19:32:59

@BijcieMasterczolki: dodałeś do przeglądarki swój certyfikat?

B.....i

konto usunięte 26.09.2017, 19:36:39

@l-_-l: yy eee nie? A to trzeba?

Na virtualnej maszynie tez bede musiec dodac swoj certyfikat do przegladarki?

l-_-l

26.09.2017, 19:37:43

@BijcieMasterczolki: bardzo uważnie czytałeś w takim wypadku

for https you will need to push to clients the CA certficicate of the SQUID server

B.....i

konto usunięte 26.09.2017, 19:40:46

@l-_-l: A co jak bede chcial przeslac tym tunelem VPNa? Jest to w ogole realne?

B.....i

konto usunięte 26.09.2017, 19:47:46

@l-_-l: I tak sobie mysle, moze jakis inaczej wygenerowac ten certyfikat zeby bylo HTTPS a nie HSTS

klupek

26.09.2017, 19:48:20

@BijcieMasterczolki robisz sobie lub komuś MITM, w optymistycznym przypadku każda przeglądarka korzystająca z tego niewidzialnego proxy musi ufać twojemu CA, bo inaczej to wygląda jak zwykły atak. Napisałem "optymistycznym", ponieważ "ssl pinning" jest popularne wśród dużych dostawców (google, twitter, etc) i przeglądarka po prostu nie wpuści nikogo na daną stronę, jeśli certyfikat nie zgadza się z za-hardcodowanym certyfikatem.
http://www.squid-cache.org/mail-archive/squid-users/201406/0369.html

PS. Jaki jest cel tego MITMa?

B.....i

konto usunięte 26.09.2017, 19:52:15

@klupek: Ogolnie to chcialem przeslac VPN transparent proxy, ale nie wiem czy sie tak da ( ͡° ʖ̯ ͡°)

Cel to anonimowosc.

B.....i

konto usunięte 26.09.2017, 19:53:15

@klupek: Dodalem go ale i tak:

www.google.com uses an invalid security certificate. The certificate is not trusted because it is self-signed. The certificate is not valid for the name www.google.com. Error code: SEC_ERROR_UNKNOWN_ISSUER

klupek

26.09.2017, 19:53:59

Jeśli robisz to dla siebie, to nie prościej zrobić zwykłą instalację openvpn i przekierować ruch na zdalny serwer? Dalej nie rozumiem po co rozkodowywać SSLa na serwerze w tym celu.

B.....i

konto usunięte 26.09.2017, 19:56:07

@klupek: Bo SQUID nie radzi sobie z HTTPs. Poza tym wazne jest to zeby VPN byl pod torem a nie tor pod VPNem.

B.....i

konto usunięte 26.09.2017, 20:02:03

@klupek: Chcac przeslac VPNa tym tunelem musze tez go rozkodowac? To troche mi nie pasuje do koncepcji.

klupek

26.09.2017, 20:07:29

Treść przeznaczona dla osób powyżej 18 roku życia...

B.....i

konto usunięte 26.09.2017, 20:13:23

@klupek: Czyli z punktu widzenia dostawcy internetu nie widac z jakim adresem IP VPNa sie lacze?

Ale pod zwyklym proxy nie ukryje calego windowsa na wirtualnej maszynie :)