Manual traduzido do Squid - Parte 2

Continuação da tradução livre do artigo: Manual traduzido do Squid.

[ Hits: 30.186 ]

Por: Buckminster em 29/07/2013


Opções TLS/SSL



cert= :: caminho para o certificado SSL (PEM format).

key= :: caminho para o arquivo da chave privada SSL (PEM FORMAT). Se não for especificado, o arquivo do certificado é assumido como sendo uma combinação de certificado e chave no mesmo arquivo.

version= :: versões SSL/TLS suportadas:
  1. automática (default)
  2. SSLv2 somente
  3. SSLv3 somente
  4. TLSv1.0 somente
  5. TLSv1.1 somente
  6. TLSv1.2 somente

cipher= :: lista de cifras suportadas, separadas por dois pontos.

Nota: algumas cifras como EDH dependem de configurações adicionais. Se essas configurações forem omitidas, as cifras podem ser ignoradas pela biblioteca OpenSSL.

options= :: opções de implementação SSL. As mais importantes são:
  • NO_SSLv2 :: desabilita o uso de SSLv2
  • NO_SSLv3 :: desabilita o uso de SSLv3
  • NO_TLSv1 :: desabilita o uso de TLSv1.0
  • NO_TLSv1_1 :: desabilita o uso de TLSv1.1
  • NO_TLSv1_2 :: desabilita o uso de TLSv1.2
  • SINGLE_DH_USE :: sempre cria uma nova chave ao trocas DH temporárias/efêmeras.
  • ALL :: ativa várias soluções de bugs sugeridas como "harmless" pelo OpenSSL. Isto reduz a segurança SSL/TLS para alguns ataques.
Veja a documentação "OpenSSL SSL_CTX_set_options" para uma lista completa de opções.

clientca= :: arquivo contendo listas de CAs quando um certificado do cliente for requisitado.

cafile= :: arquivo contendo certificados CA adicionais para usar na verificação. Se não for setada, a opção clientca será usada.

capath= :: diretório contendo certificados CA adicionais e listas CRL para verificação do certificado do cliente.

crlfile= :: arquivo de listas CRL adicionais usadas para verificar o certificado do cliente, além dos CRLs da opção capath. Implica na opção VERIFY_CRL abaixo.

dhparams= :: arquivo contendo os parâmetros DH para trocas de chave temporárias/efêmeras. Veja a documentação OpenSSL sobre como criar este arquivo.

Aviso: a cifragem EDH será silenciosamente desabilitada se esta opção não for setada.

sslflags= :: várias flags que modificam o uso de SSL:
  • DELAYED_AUTH :: não solicitar imediatamente certificados de clientes, mas espere que a ACL requisite. (ainda não implementada).
  • NO_DEFAULT_CA :: não use a lista padrão CA do OpenSSL.
  • NO_SESSION_REUSE :: não permitir a reutilização da sessão. Cada conexão resultará em uma nova sessão SSL.
  • VERIFY_CRL :: verificar listas CRL ao aceitar certificados de clientes.
  • VERIFY_CRL_ALL :: verifique as listas CRL para todos os certificados da cadeia de certificados do cliente.

sslcontext= :: sessão SSL identificadora do contexto ID.

Outras opções: connection-auth[=on|off] :: use connection-auth=off para impedir encaminhamento NTLM, Negotiate e Kerberos. disable-pmtu-discovery= :: Path-MTU controle de uso de descoberta:
  • Em off :: deixa que o S.O. decida (default).
  • transparent :: desabilita a descoberta PMTU.
  • always :: sempre desabilita a descoberta PMTU.

Em muitas configurações de proxy transparente, a descoberta Path-MTU não funciona. Este é o caso quando a interceptação não controla totalmente as conexões e não consegue transmitir mensagens ICMP. Se você tiver essa configuração e alguns clientes não conseguem conectar nunca ou esporadicamente, sete a opção "disable-pmtu-discovery" para "transparent".

name= :: especifica um nome interno para a porta. Padrões para a especificação de porta ("port" ou "addr:port").

tcpkeepalive[=idle,interval,timeout] :: habilita o keepalive TCP para conexões ociosas. Em segundos, "idle" é o momento inicial antes do TCP proibir a conexão, interval define quantas vezes, e timeout define o tempo de espera antes de desistir.

Se você rodar o Squid em uma máquina dual-homed com interfaces internas e externas, recomendamos que você especifique o endereço interno "address:port" em "http_port". Desta forma, o Squid só será visível no endereço interno.

Página anterior     Próxima página

Páginas do artigo
   1. Configurações mínimas recomendadas
   2. Considerações de segurança
   3. Insira suas próprias regras
   4. Opções de rede
   5. Opções TLS/SSL
   6. O Squid normalmente escuta na porta 3128
   7. TAG ToS
   8. TAG tcp_outgoing_address
Outros artigos deste autor

Manual do IPtables - Comentários e sugestões de regras

Compilando o Squid3

Configuração do sistema, DHCP, compartilhamento e DNS no Debian Squeeze

Compilação do Squid 3 no Debian Wheezy

DHCP com controle de IP e compartilhamento no Debian Squeeze

Leitura recomendada

Administrando usuários do Squid via web como o Admuser

SQUID: Autenticação em banco de dados MySQL cruzando IP/MAC/USUÁRIO e SENHA

Recebendo relatório do SARG via e-mail (Gmail)

Configurar servidor proxy Squid (Ubuntu)

Cache Full Squid + WebHTB

  
Comentários
[1] Comentário enviado por removido em 29/07/2013 - 18:42h

Parabéns pela iniciativa, favoritado....

[2] Comentário enviado por flashnecessary em 31/07/2013 - 13:10h

Não sei se é o lugar certo ou você pode me ajudar.

Tenho o seguinte cenário e problema.
Firewall sonicwall com SSO habilitado,só que eventualmente aparecem computadores na rede (que não estão no domínio) que precisam de acesso a internet sem aparecer nenhuma tela de autenticação.

Ai entra minha duvida,o que posso utilizar para que quando a maquina entrar na rede e for verificado que ela não está no domínio ela navegue normalmente. Isso porque com o SSO habilitado tenho que bloquear tudo por default e ir liberando por departamento.

Att,

[3] Comentário enviado por Buckminster em 03/08/2013 - 15:42h


[2] Comentário enviado por flashnecessary em 31/07/2013 - 13:10h:

Não sei se é o lugar certo ou você pode me ajudar.

Tenho o seguinte cenário e problema.
Firewall sonicwall com SSO habilitado,só que eventualmente aparecem computadores na rede (que não estão no domínio) que precisam de acesso a internet sem aparecer nenhuma tela de autenticação.

Ai entra minha duvida,o que posso utilizar para que quando a maquina entrar na rede e for verificado que ela não está no domínio ela navegue normalmente. Isso porque com o SSO habilitado tenho que bloquear tudo por default e ir liberando por departamento.

Att,


Se for rede sem fio é só você criar uma rede aberta (sem senha ou com uma senha pública). Se for pela rede com fio, a única coisa a se fazer é criar a política de que os computadores de fora do domínio devem se cadastrar com o responsável pela rede quando chegam na empresa.

[4] Comentário enviado por juniorbiu em 13/09/2013 - 16:44h

Dr., Buckminster, boa tarde.
Vi seu post e achei fantástico.
Como percebi que você indicou configurações bem complexas, gostaria de saber se poderia me apoiar com meu post http://vivaolinux.com.br/topico/Seguranca-Linux/Squid-ERR-TUNNEL

Ja tentei usar o ssl_bump, mas meu squid da o erro:
cache_cf.cc(381) parseOneConfigFile: squid.conf:87 unrecognized: 'ssl_bump'
cache_cf.cc(381) parseOneConfigFile: squid.conf:88 unrecognized: 'ssl_bump'

Já viu isso?

Abs
Jr


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts