Squid log https без SSL Bumping
Я реализовал прозрачный прокси-сервер squid3 для ведения журнала.
Я не буду выполнять SSL bumping / HTTPS-дешифрование, так как это слишком много, чтобы устанавливать сертификат на каждом клиенте .
Однако я хотел бы регистрировать данные URL CONNECT , переданные в squid. По какой-то причине он не регистрирует даже корневой домен в HTTPS-запросах, когда они определенно попадают в squid.
Есть ли способ сделать это?
Мой /squid.conf :
http_port 192.168.15.225:3128
http_port 127.0.0.1:3128 intercept
icp_port 0
dns_v4_first off
pid_filename /var/run/squid/squid.pid
cache_effective_user squid
cache_effective_group proxy
error_default_language en
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
logformat squid %ts.%03tu %tr %>a %>eui %>Hs %<st %rm %ru %un %<A %mt
access_log /var/squid/logs/access.mac.log squid
cache_log /var/squid/logs/cache.log
cache_store_log none
netdb_filename /var/squid/logs/netdb.state
pinger_enable on
pinger_program /usr/local/libexec/squid/pinger
logfile_rotate 0
debug_options rotate=0
shutdown_lifetime 3 seconds
acl localnet src 10.10.10.0/24 192.168.15.0/24
forwarded_for on
uri_whitespace strip
acl dynamic urlpath_regex cgi-bin \?
cache deny dynamic
cache_mem 64 MB
maximum_object_size_in_memory 256 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
minimum_object_size 0 KB
maximum_object_size 4 MB
cache_dir ufs /var/squid/cache 100 16 256
offline_mode off
cache_swap_low 90
cache_swap_high 95
cache allow all
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
acl allsrc src all
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 3129 1025-65535
acl sslports port 443 563
acl purge method PURGE
acl connect method CONNECT
acl HTTP proto HTTP
acl HTTPS proto HTTPS
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports
request_body_max_size 0 KB
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allsrc
http_access allow localnet
http_access deny allsrc
Запросы на прозрачный кэш нельзя заносить в журнал ПОДКЛЮЧИТЬ . Запрос на подключение будет отправлен на Squid-сервер только в том случае, если Ваш браузер настроен как прокси-сервер. Если браузер не настроен на использование squid в качестве прокси, он попытается провести переговоры по TLS соединению напрямую с получателем.
Если вы перенаправите это TLS соединение, вам либо потребуется SSLBUMP, либо вы получите ошибки в браузере.
Но давайте скажем, что вы настроили свои браузеры на использование squid. Вы не получите URL. Все, что вы увидите, это FQDN системы, которая размещает веб-сайт. URL является частью http запросов, которые отправляются только после установления TLS соединения.
По какой-то причине он не регистрирует даже корневой домен на HTTPS запросах, когда они определенно попадают в squid.
Они не попадают в squid. Как я уже говорил выше, так просто не работает. CONNECT не используется, если только ваши браузеры не настроены на использование прокси, и вы, кажется, утверждаете, что настроены как прозрачный прокси. Это почти наверняка означает, что ваша операционная система просто маршрутизирует запрос, как и любой другой трафик.
.