HTTPS Purokishi (CentOS7.5) 구축 및 로그 결과
소개
HTTPS 프록시에 대해 조금 공부할 기회가 있었기 때문에 요약합니다.
구성
클라이언트가 프록시를 통해 인터넷 세계로
구축 절차
프록시 서버에는 「CentOS7.5」와 정평 「squid」를 사용한다
· squid의 리포지토리 준비
/etc/yum.repos.d/squid.conf
[squid]
baseurl=http://www1.ngtech.co.il/repo/centos/$releasever/$basearch/
failovermethod=priority
enabled=1
gpgcheck=0
· epel 활성화
/etc/yum.repos.d/epel.repo
[epel]
…
# 常時利用、基本リポジトリと同様に利用
enabled=1
priority=1
· 설치
yum install perl-Crypt-OpenSSL-X509 squid
·/etc/squid/squid.conf 편집
우선 마지막 줄에 다음을 추가
sslproxy_options NO_SSLv2,NO_SSLv3,NO_TLSv1,SINGLE_DH_USE
forwarded_for off
request_header_access Referer deny all
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
· squid 재시작
systemctl restart squid
테스트
클라이언트 측에서 다음 명령으로 프록시 서버를 통해 HTTPS와 HTTP에 액세스하고 차이점을 봅니다.
여기서 프록시 서버의 IP와 포트는 172.168.0.210:3128입니다.
curl로 콘텐츠 다운로드 해보기
curl -L -O --proxy 172.168.0.210:3128 https://xxxxxx/xxx/xxxx
curl -L -O --proxy 172.168.0.210:3128 http://xxxxxx/xxx/xxxx
로그 확인
HTTP에 액세스
1538383639.389 0 172.168.3.201 TCP_MEM_HIT/200 14740 GET http://www.xxxxx.tokyo.jp/xxxxxx.html - HIER_NONE/- text/html
HTTPS 액세스
1538383760.574 151 172.168.3.201 TCP_TUNNEL/200 301405 CONNECT www.xxxxx.com:443 - HIER_DIRECT/180.235.251.31 -
요약
프록시를 하는 경우라도 역시 HTTPS에서는 액세스의 내용은 보이지 않는다. 하지만 URL에 대해서는 확인할 수 있다.
라는 것은 HTTPS 액세스에 대해서도 URL 필터링은 가능하다는 것. (콘텐츠 필터링은 불가능)
그냥 일반적으로 HTTPS의 경우 인증서 불일치 오류를 브라우저가 표시합니다. 회피하기 위해서는 클라이언트 프록시간에 다른 증명서를 준비할 필요가 있지만 불특정 다수가 사용하는 환경에서는 준비를 하기 어렵기 때문에 의도적으로 프록시 서버를 두고 필터링하는 것은 여러가지 문제와 된다.
(호텔에 자주 있는 무료 WIFI 시스템 등이 이것에 가깝다)
자신만의 환경이라면 액세스원을 팀에 할 수 있거나 IP 제한 회피할 수 있거나, 자신용의 로그를 취하거나 아무것도 사용할 수 있을 것 같다(보통은 사용하지 않는다).
*URL 필터링・・・URL을 판단 기준으로 한, 보여주고 싶지 않은 페이지를 보이지 않는 행위・기능・구조
*콘텐츠 필터링・・・페이지의 내용을 판단 기준으로 하고 싶지 않은 페이지를 보이지 않는 행위・기능・구조
도움이 되었습니다 m(_ _)m
Reference
이 문제에 관하여(HTTPS Purokishi (CentOS7.5) 구축 및 로그 결과), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/piyojiro/items/fcda83b3b1307f1bdb28텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)