Sichere und private Internetnutzung mit Squid

Version 1.0

Autor: Joe Topjian

Das Browsen auf einer Website, die SSL unterstützt, ist eine sichere Möglichkeit, um sicherzustellen, dass niemand sehen kann, was Sie tun – was gut ist, wenn Sie etwas Persönliches tun, wie z. B. E-Mails über das Web zu überprüfen oder etwas bei Amazon zu kaufen. Aber wenn Sie nur Dinge tun wie die täglichen Nachrichten lesen oder die Filmzeiten überprüfen, ist Privatsphäre dann so wichtig? Die ultra-paranoiden werden auf diese Frage ein entschiedenes “Ja” geben, während die meisten Leute nur mit den Schultern zucken. Ich finde mich irgendwo zwischen diesen beiden Parteien. Zu Hause, während ich die Nachrichten lese, ist es mir egal, ob der Datenverkehr verschlüsselt ist oder nicht. Wenn ich jedoch an einem öffentlichen WLAN-Hotspot bin, stört es mich ein wenig.

Die meisten öffentlichen Bereiche, die Zugang zum Internet ermöglichen, haben absolut keine Sicherheitsvorkehrungen. Brauchen Sie einen guten Augenöffner? Nehmen Sie das nächste Mal, wenn Sie an einem öffentlichen Hotspot sind, eine Kopie der dsniff-Tools mit.

Dieser Artikel zeigt Ihnen einen Weg, sich vor so etwas zu schützen – auf eine Art. Dieser Artikel zeigt Ihnen nur, wie Sie Ihren Webverkehr schützen können. Wenn Sie sich immer noch entscheiden, mit Ihrem CEO über AIM über ein ultra-geheimes Produkt zu sprechen, das nächste Woche herauskommt, während Sie auf Ihren nächsten Flug warten, wird Ihnen das nicht helfen. Squid kann natürlich auch Anfragen für andere Anwendungen neben HTTP proxyen, aber HTTP ist alles, was ich behandeln werde. Vielleicht gehe ich in einem anderen Artikel auf andere Anwendungen ein.

OK, lassen Sie uns anfangen. Hier ist, was wir brauchen:

• Einen Server, der Squid in einem anderen Netzwerk ausführt.

• Einen Laptop mit SSH- und Port-Forwarding-Unterstützung.

Was wir tun werden, ist, einen Squid-Server irgendwo außerhalb des Netzwerks einzurichten, in dem wir uns gerade befinden. Squid akzeptiert nur Verbindungen vom Server selbst – keine externen Verbindungen. Wie nutzen wir es dann? Wir erstellen einen SSH-Tunnel zu ihm. Sobald der Tunnel erstellt ist, stellen wir einfach unseren Webbrowser so ein, dass er einen Proxy-Server mit der Adresse unseres SSH-Tunnels verwendet. Jetzt wird jeder Webverkehr, der von unserem Laptop zu unserem Squid-Server geht, verschlüsselt.

Aber was ist mit dem Verkehr vom Squid-Server zur tatsächlichen Webseite? Diese Daten werden leider nicht verschlüsselt. Aber hey, zumindest sind wir sicher aus dem ungeschützten LAN herausgekommen.

Ich werde Debian Sarge für den Squid-Server verwenden, aber Sie können gerne jede andere Distribution verwenden, die Sie möchten. Nachdem Squid installiert ist, wird die Konfiguration genau gleich sein. Um Squid auf Debian zu installieren, führen Sie einfach aus:

apt-get install squid

Die Standardkonfiguration für Debian (und vielleicht auch andere Distributionen – besser überprüfen!) erlaubt nur Verbindungen vom localhost. Das schadet nichts, also können wir es so belassen. Wir benötigen jedoch immer noch eine Möglichkeit, um extern eine Verbindung herzustellen. Dazu fügen wir eine ACL hinzu, die uns nach einem Passwort fragt, und wenn wir authentifiziert sind, lässt sie uns rein. Wir fügen es direkt vor dem Abschnitt “deny all” hinzu, sodass es ungefähr so aussieht:

acl localhost src 127.0.0.1/255.255.255.255

http_access allow localhost

http_access allow password

http_access deny all

Standardmäßig hört Squid auf Port 3128. Ich persönlich mag 8080 lieber, also ändern wir es mit:

http_port 8080

Als nächstes müssen wir die Authentifizierung für Squid einrichten. Es gibt eine Reihe von verschiedenen Authentifizierungsmethoden, die mit dem Debian-Paket geliefert werden, und sie können mit:

ls /usr/lib/squid/*auth

angesehen werden. Wir werden das pam_auth-Modul verwenden. Dies ermöglicht es jedem, der ein Shell-Konto hat, auch den Squid-Server zu nutzen. Suchen Sie im Konfigurationsabschnitt nach auth_param und fügen Sie diese Zeilen hinzu:

auth_param basic program /usr/lib/squid/pam_auth

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

Suchen Sie als nächstes nach dieser Zeile und kommentieren Sie sie aus:

acl password proxy_auth REQUIRED

Jetzt erstellen Sie ein PAM-Modul namens /etc/pam.d/squid, das Folgendes enthält:

auth required /lib/security/pam_unix.so

account required /lib/security/pam_unix.so

Sie müssen dieser Datei SUID-Zugriff gewähren, also chmod 4755. Ja, ich weiß, das ist nicht der beste Weg, dies zu tun, aber es ist der am wenigsten komplizierte. Sie können gerne die anderen Methoden selbst recherchieren.

Squid sollte jetzt bereit sein. Stellen Sie als Nächstes sicher, dass Sie über SSH Zugriff auf den Server haben. Es spielt keine Rolle, ob Sie ein Passwort, eine Passphrase oder eine leere Passphrase verwenden. Um den Tunnel einzurichten, führen Sie dies aus:

ssh -L 8080:squidhost:8080 username@squidhost

Sie werden nach einer Authentifizierung gefragt, und wenn Sie erfolgreich sind, sieht es so aus, als hätten Sie sich in die Remote-Box eingeloggt. Wenn Sie ein weiteres Fenster öffnen und eingeben

telnet localhost 8080

werden Sie sehen, dass Sie jetzt mit Squid auf dem Remote-Server sprechen.

Schließlich sagen Sie Ihrem Browser, dass er den SSH-Tunnel als Proxy verwenden soll. Ich werde hier nicht auf jeden einzelnen Browser eingehen, aber im Grunde wird es irgendwo in den Einstellungen sein. Für den Hostnamen geben Sie einfach localhost ein und für den Port geben Sie 8080 ein.

Jetzt, wann immer Sie eine Webseite besuchen, werden Sie nach einer Authentifizierung gefragt. Geben Sie Ihre Shell-Kontoinformationen ein und Sie sind bereit. Der Browser könnte eine Warnung über die Authentifizierung über Klartext ausgeben – ignorieren Sie sie. Es wird durch unseren SSH-Tunnel reisen, also wird es verschlüsselt sein.

Herzlichen Glückwunsch! Sie können jetzt im Internet surfen, ohne sich Sorgen machen zu müssen, dass jemand Sie ausspioniert. Wenn jemand Kommentare, Korrekturen oder Möglichkeiten zur Verbesserung dieser Methode hat, lassen Sie es mich bitte wissen!Originalstandort dieses Dokuments:

http://adminspotting.net/howtos/securesquid.html