HTTPS Purokishi (CentOS7.5) 구축 및 로그 결과

소개

HTTPS 프록시에 대해 조금 공부할 기회가 있었기 때문에 요약합니다.

구성

클라이언트가 프록시를 통해 인터넷 세계로

구축 절차

프록시 서버에는 「CentOS7.5」와 정평 「squid」를 사용한다

· squid의 리포지토리 준비
/etc/yum.repos.d/squid.conf

[squid]
baseurl=http://www1.ngtech.co.il/repo/centos/$releasever/$basearch/
failovermethod=priority
enabled=1
gpgcheck=0

· epel 활성화
/etc/yum.repos.d/epel.repo

[epel]
…
# 常時利用、基本リポジトリと同様に利用
enabled=1
priority=1

· 설치yum install perl-Crypt-OpenSSL-X509 squid
·/etc/squid/squid.conf 편집
우선 마지막 줄에 다음을 추가

sslproxy_options NO_SSLv2,NO_SSLv3,NO_TLSv1,SINGLE_DH_USE

forwarded_for off
request_header_access Referer deny all
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all

· squid 재시작systemctl restart squid

테스트

클라이언트 측에서 다음 명령으로 프록시 서버를 통해 HTTPS와 HTTP에 액세스하고 차이점을 봅니다.
여기서 프록시 서버의 IP와 포트는 172.168.0.210:3128입니다.
curl로 콘텐츠 다운로드 해보기
curl -L -O --proxy 172.168.0.210:3128 https://xxxxxx/xxx/xxxxcurl -L -O --proxy 172.168.0.210:3128 http://xxxxxx/xxx/xxxx

로그 확인

HTTP에 액세스

1538383639.389      0 172.168.3.201 TCP_MEM_HIT/200 14740 GET http://www.xxxxx.tokyo.jp/xxxxxx.html - HIER_NONE/- text/html

HTTPS 액세스

1538383760.574    151 172.168.3.201 TCP_TUNNEL/200 301405 CONNECT www.xxxxx.com:443 - HIER_DIRECT/180.235.251.31 -

요약

프록시를 하는 경우라도 역시 HTTPS에서는 액세스의 내용은 보이지 않는다. 하지만 URL에 대해서는 확인할 수 있다.
라는 것은 HTTPS 액세스에 대해서도 URL 필터링은 가능하다는 것. (콘텐츠 필터링은 불가능)
그냥 일반적으로 HTTPS의 경우 인증서 불일치 오류를 브라우저가 표시합니다. 회피하기 위해서는 클라이언트 프록시간에 다른 증명서를 준비할 필요가 있지만 불특정 다수가 사용하는 환경에서는 준비를 하기 어렵기 때문에 의도적으로 프록시 서버를 두고 필터링하는 것은 여러가지 문제와 된다.
(호텔에 자주 있는 무료 WIFI 시스템 등이 이것에 가깝다)

자신만의 환경이라면 액세스원을 팀에 할 수 있거나 IP 제한 회피할 수 있거나, 자신용의 로그를 취하거나 아무것도 사용할 수 있을 것 같다(보통은 사용하지 않는다).

＊URL 필터링・・・URL을 판단 기준으로 한, 보여주고 싶지 않은 페이지를 보이지 않는 행위・기능・구조
＊콘텐츠 필터링・・・페이지의 내용을 판단 기준으로 하고 싶지 않은 페이지를 보이지 않는 행위・기능・구조

도움이 되었습니다 m(_ _)m