Denuncie   Favoritos   Indicar  

Dúvida sobre conceitos Squid + SSL

1. Dúvida sobre conceitos Squid + SSL

Willian
Atento
(usa Debian)

Enviado em 28/03/2017 - 17:38h

Boa tarde pessoal,

minha dúvida é mais conceitual do que prática. Estou lendo a documentação do Squid (http://wiki.squid-cache.org/Features/SslPeekAndSplice) para entender como funciona a interceptação do Squid nas requisições a sites com uso de SSL. O grande problema é que não consegui entender as diferenças das ações PEEK, SPLICE e BUMP. Além disso, quais são as diferenças dessas ações em cada passo da conexão. Alguém poderia me explicar de forma diferente do que está na documentação oficial?

Desde já agradeço.

0 0
  • Quote

    •   


    2. Re: Dúvida sobre conceitos Squid + SSL

    Renato Carneiro Pacheco
    renato_pacheco
    (usa Debian)

    Enviado em 29/03/2017 - 09:55h

    Pelo q entendi, é o seguinte:

    - splice = ele não faz nada com a conexão TLS e deixa passar normalmente
    - peek = ele obtém apenas os metadados de TLS e registra nos logs. Ele pode entregar essa informação para o step3, dependendo da sua regra
    - bump = faz o processo MITM completo.

    A partir dessas informações, vc deve entender tb os steps (passos) para implementar corretamente os parâmetros acima. Um resumo dos steps:

    - step1 = obtém a conexão HTTPS e registra no log o método CONNECT
    - step2 = obtém o TLS Hello Client e o SNI (Server Name Indication). O SNI é uma extensão do TLS q informa onde q o cliente quer se conectar (https://en.wikipedia.org/wiki/Server_Name_Indication). Logo, registra a conexão no log, de acordo com o SNI.
    - step3 = este passo realiza o processo de MITM, caso a regra coincida com bump e q haja o peek nos passos anteriores. Se coincidir com o splice, ele apenas registra no log o método CONNECT.

    Obs.: em todos os passos as regras de SslBump são validadas.

    Olhe os exemplos outra vez e acredito q deva ficar mais claro pra vc.
    --
    Renato Carneiro Pacheco
    Certificado Linux LPIC-1
    Especialista em Segurança em Redes de Computadores
    Graduado em Redes de Comunicação

    http://br.linkedin.com/in/renatocarneirop
    http://www.facebook.com/renatocarneirop

    "Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Melhorando o tempo de boot do Fedora e outras distribuições

    Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46

    E a guerra contra bots continua

    Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário

    Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).

    Dicas

    Instalando o FreeOffice no LMDE 6

    Anki: Remover Tags de Estilo HTML de Todas as Cartas

    Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE

    Instalar IRPF 2024 no Linux

    Instalando Google Chrome no LMDE 6

    Tópicos

    Não consigo acessar os modos de desempenho (2)

    Ubuntu — tentando iniciar o windows? (0)

    merge(juntar) pdf cups (1)

    Criar um script para testar pen drive (5)

    Problema com alias usando locate (4)

    Top 10 do mês

    Scripts

    [Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse

    [Shell Script] Script para criar certificados de forma automatizada no OpenVpn

    [Shell Script] Conversor de vídeo com opção de legenda

    [C/C++] BRT - Bulk Renaming Tool

    [Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: