Squid absichern

[daemotron]

Hmm, Squid ist eigentlich klassisch ein Dienst, der sich normalerweise in der DMZ versteckt und von draußen auch nicht angesprochen werden kann. Ich hätte jetzt wenig Bedenken, wenn Du auf der Kiste ein VPN aufziehst und Squid nur an den Tunnel-Interfaces lauschen lässt. Ansonsten ist möglicherweise Apache + mod_proxy sogar robuster, da häufiger auch als Reverse Proxy eingesetzt und damit besser angriffs-getestet

Allein schon die Authentifizierung würde mir Sorgen machen, die erfolgt ja i.d.R. per HTTP-AUTH. Wenn nicht gerade eine HTTPS-Verbindung erzwungen wird, würden die Credentials immer im Klartext durch's WWW wandern - nicht gerade eine angenehme Vorstellung. Mit einem VPN/Roadwarrior-Setup könntest Du aber beide Probleme erschlagen und dabei trotzdem von jedem Netz aus erreichbar bleiben - vorausgesetzt das betreffende Endgerät kennt den passenden Schlüssel.

[f4rr3ll]

Zu Squid qürde es mich auch brennend interessieren ob es da irgendweile Besonderheiten gibt, da ich es auf einem extra Server mit Samba und Openvpn so als Familienschnittstelle nutze, allerdings Samba und Squid nur im Openvpn lauschend.
@matzewe01 bzgl openvpn, abgesehen von mac (da kann ich nichts sagen da ich noch nie einen hatte) sollte es unter Win 2000/XP/Viste hatte ich hier mal angeschaut sowie standart Linuxen kein Problem darstellen, wir haben es mit debian+ derviate /fedora und Suse als Clients laufen absolut problemlos.
Gruß Sven

[f4rr3ll]

UMTS Du glücklicher, schlage mich @ work gprs rum, aber wie Du schon sagtst security first.
Doch backontopic, grundsätzlich interessiert mich auch die Einschätzung anderer zum Thema Squid.

[Anonymous]

Ich hab auf meinen Ubuntu-Root-Server auch einen Squid-Proxy aufgesetzt.
Zugang zum Proxy gibt's nur von openvpn-Tunnel interace (OpenVPN-Authentifizierung per Zertifikaten), das macht ihn schon mal sehr sicher denke ich.

Ich stelle einfach mal meine Config-Änderungen hier rein. Sie kann gerne diskutiert werden.
Zu ein paar Optionen habe ich auch Fragen.
Ich überschreibe einige header da ich nicht möchte, dass die HTTP-Verbindung als Proxy-Verbindung erkannt wird (forwarded_for off).
Die Anfragen sollen so auch etwas anonymisiert werden.

Code: Select all

# listen only on VPN-tun-Device
http_port 10.8.0.1:3128
# i dont use neighbor caches
icp_port 0
htcp_port 0
# No logging
access_log none
cache_log none
cache_store_log none
# Changing the client_netmask resulting that - if logging is activ for some season - the last number if the IP-Adress ist always 0.
client_netmask 255.255.255.0
(...)
acl vpn src 10.8.0.0/255.255.255.0
http_access allow vpn
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all # Should this be ".. deny all" because i dont use icp?
(...)
forwarded_for off
header_access From deny all
header_access Via deny all
header_access Proxy-Connection deny all
header_access X-Forwarded-For deny all  # Not the same like "forwarded_for off"?
header_access Server deny all  # What's this header for?
header_access Link deny all  # What's this header for?
#header_access User-Agent deny all  # I dont use it and i dont overwrite the user-Agent. It causes some problems.
                                    # Better use the Extention "User Agent Switcher" for Firefox
#header_access WWW-Authenticate deny all   # I dont use it. htaccess logins wouldn't work anymore.
#header_access Referer deny all  # I dont use it. causes some problems. Better use the Extention "RefControl" for Firefox.

Es gibt ja noch jede Menge weitere Header-Manipulationen, jedoch konnte ich bisher nocht nicht herrausfinden wofür sie gut sind (Gute Doku?) oder das ändern der Header führt zu häufig dazu, das webseiten nicht mehr korrekt aufgerufen werden können.

Man könnte Squid noch in einer chroot-Umgebung laufen lassen. Hierfür suche ich noch eine gute Howto.

Gibt es noch etwas zu verbessern oder zu verändern?

[rudelgurke]

Man könnte Squid noch in einer chroot-Umgebung laufen lassen. Hierfür suche ich noch eine gute Howto.

Ich lasse Squid als Reverse Proxy in einer Jail laufen - dürfte für Linux nicht sehr unterschiedlich sein. Per ldd die Bibliotheken in die Chroot packen, passwd / group braucht nur den Squid User enthalten und bis auf die Cache / Log Verzeichnisse mit Zugriffsrechten alles regeln dass nur gelesen werden darf.
Probleme hatte ich keine, Varnish als Alternative für einen Reverse Proxy macht da bedeutend mehr Ärger :(

Mit Deiner Config dürfte es soweit keine Probleme geben, wenn LDAP oder andere Backends wegen der Auth zum Einsatz kommen jeweils die Bibliotheken mit in die Chroot Umgebung packen. Beim Systemstart dann das Init Script noch entsprechend anpassen :)