Squid*SSHで安全な回線を確保

/ LPIC / Comment[0]
aptgetでインストールする場合
$ sudo apt-get install squid

ソースからインストールする場合
ここからダウンロード→http://www.squid-cache.org/Versions/
$ tar xzf squid-3.1.8.tar.gz
$ cd squid-3.1.8
$ ./configure && make && sudo make install

インスコデキたら設定
$ sudo vi /etc/squid/squid.conf
#ポートを指定
http_port 4545

#アクセス可否を定義
acl localnet src 192.168.11.0/24 127.0.0.1/255.255.255.255
http_access allow manager localhost
http_access deny denydomain

#キャッシュサイズを設定 デフォルトで8MB
cache_mem 32M

####秘匿性を上げる####
#プロクシサーバの接続元IPアドレスを非表示にする
forwarded_for off

#Refererを非表示
header_access Referer deny all

#ユーザエージェントを非表示
header_access User-Agent deny all
#又は詐称
header_replace User-Agent Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)


#プロキシサーバの情報を詐称
visible_hostname SatenForce1

設定が終わったらsquidを再起動
$ sudo /etc/init.d/squid stop
$ sudo /etc/init.d/squid start

Firefoxで設定してみる


確認君で確認してみる

設定前

このままでは色々見られてハズカシス

設定後

色々隠れましたね

トンネル無しのSquid接続方法はこれで完了


今度はSSHトンネルを通してみる方法

SSHのポートフォワーディング機能を使って、プロキシサーバのPhantom2-server.local:4545へ繋がるセキュアなトンネルを作ります
$ ssh -f -N -L 4545:phantom2-server.local:4545 user@phantom2-server.local -p4545

4545ポートが開いているか確認してみる
$ lsof -i:4545
COMMAND  PID USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
ssh 3785 p 4u IPv6 1350883 0t0 TCP localhost:4545 (LISTEN)
ssh 3785 p 5u IPv4 1350884 0t0 TCP localhost:4545 (LISTEN)

ローカルにトンネルの入り口の4545ポートが出来たので、HTTPプロキシの設定をlocalhost:4545にします



トンネルが有効なのはクライアントからSSH,Squidサーバまでであり、全ての経路が暗号化されるわけではありません。

無線LANを使っている場合の話
何らかの方法で無線LANセキュリティが破られたら、機器に触れることなく電波の届く範囲ならどこからでも接続できてしまいます。
FTPやらTELNETなどパスワードが平文で流れるようなプロトコルを使っているときに侵入されたら、パケットキャプチャでパスワード、アカウントなどの情報が盗まれてしまうかもしれませんね。
しかーし、接続をトンネルで保護することにより、無線LANセキュリティが破られたとしてもパスワードが漏れるリスクは少なくなります。(プロクシサーバとルータの接続が有線である場合)



関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可