Squid trabalhando com SSL

Iniciado por DBZKakaroto, 18 de Agosto de 2014, 17:25

tópico anterior - próximo tópico

DBZKakaroto

Olá a todos, esse é meu primeiro post!

Meu ambiente: Ubuntu server 13.10 64 bits, Squid 3.3.3 Instalado a partir do fonte (Compilado) rodando com autenticação no AD Windows Server 2012 (redondo sem problemas) e com a opção de certificado SSl (para interceptar pacotes HTTPS, também rodando com 1 problema somente)

Problema: Não consigo fazer login no site da UOL (email.uol.com.br) e o email aqui da empresa é da uol. No caso o empresa@uol.com.br não entra no site, e os webmails (webmail.empresa.com.br) eu logo com qualquer email normalmente.

e se eu tirar a parte que faz certificado SSL do meu squid eu logo normalmente no UOL.

squid.log com SSL(não entra no email e no browse não aparece nenhuma mensagem de erro, simplesmente não loga):

2014-08-18 17:19:50 192.168.0.19 joaoantonio TCP_MISS/200 GET http://pagead2.googlesyndication.com/activeview?
2014-08-18 17:19:53 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443
2014-08-18 17:19:53 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443
2014-08-18 17:19:54 192.168.0.19 joaoantonio NONE/200 CONNECT acesso.uol.com.br:443
2014-08-18 17:19:54 192.168.0.19 joaoantonio TCP_MISS/200 POST https://acesso.uol.com.br/login.html?

squid.log sem SSL(loga normalmente):

2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443
2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443
2014-08-18 17:21:27 192.168.0.19 joaoantonio TCP_MISS/200 CONNECT acesso.uol.com.br:443
2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 GET http://mail.uol.com.br/login/doorway?
2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443
2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 GET http://mail.uol.com.br/login/doorway?
2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443
2014-08-18 17:21:28 192.168.0.19 joaoantonio TCP_MISS/200 CONNECT acesso.uol.com.br:443


Outros sites de email como Hotmail e Gmail funcionam normalmente.
Alguém já viu algo parecido?

obs trecho do squid.conf que tem o certificado SSl

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/ssl_cert/empresa.pem
always_direct allow all
ssl_bump server-first all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl BadSite ssl_error X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY
acl BadSite ssl_error X509_V_ERR_CERT_UNTRUSTED
acl BadSite ssl_error X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE
sslproxy_cert_error allow BadSite

sslcrtd_program /usr/lib/squid3/ssl_crtd -s /etc/squid3/ssl_cert/ssl_db -M 4MB
sslcrtd_children 5

Arthur Bernardes

Está usando proxy transparente? Todos nós sabemos que não dá para redirecionar o HTTPS transparentemente sem um certificado SSL válido.

zekkerj

CitarUbuntu server 13.10 64 bits

Sugiro fortemente que vc atualize seu servidor. O Ubuntu 13.10 Saucy vai perder suporte logo, logo.

Citar2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443

Esses erros são relativos a pedidos de autenticação do próprio Squid.
Considerando que vc está usando autenticação no proxy e HTTPS, suponho que não está fazendo squid transparente, está?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

DBZKakaroto

#3
Citação de: Arthur Bernardes online 18 de Agosto de 2014, 17:28
Está usando proxy transparente? Todos nós sabemos que não dá para redirecionar o HTTPS transparentemente sem um certificado SSL válido.

Verdade, todos nós sabemos.


Citação de: zekkerj online 18 de Agosto de 2014, 17:43
Esses erros são relativos a pedidos de autenticação do próprio Squid.
Considerando que vc está usando autenticação no proxy e HTTPS, suponho que não está fazendo squid transparente, está?

Não estou utilizando proxy transparente.
Sobre os erros, eu estou achando que o squid não consegue enviar ou receber, ou ambos, a autenticação corretamente.

No site da uol: http://email.uol.com.br/ajuda/pm/index.jhtm, tem esses termos:

Os servidores do UOL não aceitarão conexões oriundas de sistemas inseguros. Sendo que estes incluem open relays, open proxies ou qualquer outro sistema em que seja constatada a disponibilidade de ser utilizado de forma indevida.
Os servidores de e-mail do UOL não irão aceitar conexões de sistemas que se encontram configurados com IPs dinâmicos ou destinados a usuários residenciais.
O UOL não irá efetuar a entrega de mensagens suspeitas de estarem utilizando-se de técnicas para burlar filtros antispam tais como URLs encodadas em hexadecimal (ex: http://%6d%6e%3f/), arquivos do tipo texto ou html encodados em Base64.
Os servidores de e-mail do UOL podem rejeitar conexões de endereços IPs que não estejam de acordo com as recomendações da RFC 1912 (em inglês), em relação às configurações de DNS-reverso (exigência de uma entrada PTR válida e autoritativa)
O UOL possui um sistema de análise de fluxo de mensagens que pode rejeitar conexões de servidores que possuam um comportamento suspeito de SPAM. Saiba mais em http://email.uol.com.br/ajuda/pm/politica-anti-spam.jhtm.
O UOL pode rejeitar conexões de servidores cuja lista de destinatários gere de forma consistente mais do que 10% de erros (ex: mais de 10% da lista de e-mails é destinada a usuários que não existem em nosso sistema)
O UOL pode rejeitar conexões de remetentes que são incapazes de aceitar ao menos 90% das mensagens de erro/retorno (mailer-daemon, mensagens de erro/falha) destinadas ao seu sistema.
Reclamações enviadas por usuários do UOL serão usadas como base para a recusa de conexões de qualquer sistema de e-mail.
O UOL pode rejeitar mensagens quando o endereço IP de origem da conexão não for definido como válido de acordo com sua entrada SPF, para todos os domínios que publicam o registro SPF.
O UOL publica o seu registro SPF e recomenda sua validação para mensagens cujo remetente é do domínio "uol.com.br".

Eu sinceramente não sei dizer e não consegui achar nada falando que Squid com SSL se encaixe em uma dessas restrições.

Alguém já?

zekkerj

O problema não está na comunicação com o site da UOL, e sim com seu próprio Squid.

Minha impressão é que sua autenticação não está funcionando. Poste a parte da configuração do squid onde vc faz a autenticação.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

DBZKakaroto

#5
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Proxy Paramotos - Digite seu login
auth_param basic credentialsttl 12 hours

acl autenticados proxy_auth REQUIRED

external_acl_type grupo_AD ipv4 ttl=60 %LOGIN /usr/lib/squid3/wbinfo_group.pl

acl acesso_completo  external grupo_AD Internet_Acesso_Completo

http_access allow rede_local autenticados acesso_completo

Outros sites que exigem login funcionam normalmente, emails, foruns, bancos, até agora só vi esse problema no email.uol.com.br

ps: eu não acho que seja problema de autenticação, pois quando eu retiro somente a parte do SSL do meu squid, eu logo normal no email.uol.com.br.
só falando porque já fiz os testes e a única coisa eu tiro do squid e ele deixa eu logar é o SSL.

zekkerj

Como você observa o problema nos clientes? Mensagem de acesso negado, ou de certificado inválido?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

DBZKakaroto

no Browser eu digito email.uol.com.br entro com o email e a senha

na hora que eu dou <ENTER> ou clico no botão ENTRAR, ele da uma piscada quase que imperceptível (diminui minha banda para acompanhar melhor o refresh das telas) e volta na tela de login, sem mensagem nenhum de erro.

Antes de tentar logar e depois de logar, as telas são iguais sem nenhuma mesagem de erro

https://onedrive.live.com/redir?resid=70BDB759CB4780E5!3562&authkey=!AIA4aT_t2pJWLf4&ithint=folder%2c

zekkerj

vc por acaso tem dois links de saída?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

DBZKakaroto

desculpe a ignorância, mas link de saída seria quantos links de internet eu tenho aqui?

se sim, tenho 2 links 1 de 1MB e 1 de 10MB ambos da velox, mas no meu servidor eu estou usando somente 1 (10MB).

zekkerj

Pq havia um problema com o uso de dois links pra saída com sites que pedem autenticação. Mas só acontece quando há balanceamento de carga entre os links, o que segundo vc diz não está acontecendo.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

_ubuntu_

Cara, ja tive problema parecido, mas não com o site da uol, mas com o hotmail, que quando eu digitava usuario e senha, nada acontecia, e depois de muito trabalho localizei um erro em meu firewall iptables, e que resolveu, pois como esta nos seus logs do squid TCP_DENIED, logo imagino que pode ser o mesmo problema, procure na net como liberar tal site ou liberar porta 443 atravez do iptables, que deve resolver.


Lucas Peregrino

boa tarde alguém teve problema em relação a certificado digital ao acessar site do governo ou da caixa econômica não aparecer para selecionar o certificado ???

_ubuntu_

Citação de: Lucas Peregrino online 14 de Outubro de 2014, 13:59
boa tarde alguém teve problema em relação a certificado digital ao acessar site do governo ou da caixa econômica não aparecer para selecionar o certificado ???

Cara, ja passei por esse problemas muitas e muitas vezes, e das muitas vezes quase sempre o problema era por diferente motivo. Afinal que tipo de certificado vc usa? por cartão ou aquele que instala no navegador ou no computador?

Lucas Peregrino

#14
Ambos pois estou em uma contabilidade tenho centenas de certificados tanto a1 quanto a3 so quando tento acessar site igual receita federal ou caixa economica erro 403 pois não aparece a tela para selecionar certificado.