В данной статье я пошагово буду описывать процесс установки и настройки прокси-сервера Squid с поддержкой SSL (SSL Bump) на 2025 год. Моя цель – построение централизованного решения для мониторинга, фильтрации и управления интернет-трафиком внутри локальной сети и главное записать свои косяки чтобы потом если понадобиться вернуться к этой записи и поднять сквид быстрее чем это делаю сейчас.
Squid позволяет не только блокировать сайты по протоколу HTTP/HTTPS, но и выполнять глубокую инспекцию трафика, контролировать, кто куда обращается, собирать подробную статистику посещаемости, а также распределять пользователей по группам с разными политиками доступа. Это даёт полный контроль над веб-доступом внутри компании или организации.
Кроме того, реализация SSL-инспекции (через SSL Bump) позволяет перейти на следующий уровень информационной безопасности – начать устраивать сеть, ограничивать риски, и закладывать основы внутренней политики информационной безопасности (ИБ).
В процессе настройки будут затронуты следующие аспекты:
- Сборка и установка актуальной версии Squid (6.12) с поддержкой SSL
- Настройка SSL Bump и создание инфраструктуры для подмены сертификатов
- Контроль HTTPS-трафика
- Назначение политик доступа и организация пользовательских групп
- Мониторинг трафика и генерация статистики (например, через Lightsquid или аналогичные инструменты)
- Подготовка сети к структурированию с фокусом на ИБ
По мере моей настройки я буду постоянно вносить сюда новую информацию
Ошибки при установке Squid на Ubuntu
Ошибки #1
Примечание: – после установки squid и его запуска я начал ставить SSL Bump
и при вводе команды по генерации SLL
/usr/libexec/squid/security_file_certgen -c -s /var/lib/ssl_db -M 4MBполучаем такую ошибку:
nibbl@squid:~$ /usr/libexec/squid/security_file_certgen -c -s /var/lib/ssl_db -M 4MB
Initialization SSL db…
2025/07/07 06:54:06 sslcrtd_program| FATAL: Cannot generate certificates: Cannot create /var/lib/ssl_db
exception location: certificate_db.cc(374) Create
nibbl@squid:~$
Почему ошибка:
📌 1. Каталог уже существовал
security_file_certgen -c не может инициализировать существующий каталог. Если он уже есть (даже пустой или создан вручную) – команда падает с ошибкой Cannot create.
🔧 Решение: ты удалил /var/lib/ssl_db перед запуском, и вот тогда всё получилось.
Как это решается:
- sudo systemctl stop squid
- sudo rm -rf /var/lib/ssl_db
- sudo -u proxy /usr/libexec/squid/security_file_certgen -c -s /var/lib/ssl_db -M 4MB
сгенерировать серты можно только тогда когда нет папки ssl_db!!!! (я из-за этого потерял почти день на серфинг)
Добавить комментарий