Project

General

Profile

Tâche #31471

Scénario #30987: faire un POC MINTM Amon 2.8.1

Activation du MITM sur 2.8.1

Added by Benjamin Bohard over 1 year ago. Updated over 1 year ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
11/09/2020
Due date:
% Done:

100%

Remaining (hours):
0.0

01squid.conf.patch View (974 Bytes) Benjamin Bohard, 12/31/2020 11:56 AM

02squid.conf.patch View (988 Bytes) Benjamin Bohard, 12/31/2020 11:56 AM

History

#2 Updated by Benjamin Bohard over 1 year ago

Compilation de squid

Comme suggéré dans les documents consultés, la version de squid distribuée par Ubuntu ne semble pas être compatible avec la fonctionnalité de MITM : l’option ssl-bump n’est pas reconnue.

Recompilation du paquet distribué par Ubuntu en modifiant le rules (ajout des options --enable-ssl et --enable-ssl-crtd et remplacement de --with-gnutls par --with-openssl, la pertinence de cette dernière substitution restant à vérifier) :
https://owncloud.cadoles.com/owncloud/public.php?service=files&t=110e53e7e81d5d2faadf760fe4597ebd

Génération d’une clé et d’un certificat permettant d’émettre des certificats

openssl genrsa 4096 > /etc/squid/signingCA.key
openssl req -new -x509 -days 3650 -key /etc/squid/signingCA.key -out /etc/squid/signingCA.crt
cp /etc/squid/signingCA.crt /etc/squid/chain.pem
chown proxy:proxy /etc/squid/signingCA.key /etc/squid/signingCA.crt /etc/squid/chain.pem

Le changement de propriétaire n’est peut-être pas nécessaire, par contre, la présence de la chaîne semble l’être. Un essai en ne renseignant que le certificat signingCA.key dans la configuration n’était pas concluant.

Configuration de squid

Voir les patchs joints. Ajout des options aux lignes http_port et ajout d’acl basiques

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/signingCA.crt key=/etc/squid/signingCA.key cafile=/etc/squid/chain.pem

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump bump all

Préparation du répertoire des certificats

/usr/lib/squid/security_file_certgen -c -s /var/spool/squid/ssl_db -M 4MB

Ce répertoire appartient à root.

#3 Updated by Benjamin Bohard over 1 year ago

  • Status changed from Nouveau to En cours

#4 Updated by Emmanuel GARETTE over 1 year ago

  • Status changed from En cours to Résolu

#5 Updated by Emmanuel GARETTE over 1 year ago

  • % Done changed from 0 to 100

#6 Updated by Fabrice Barconnière over 1 year ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) set to 0.0

Also available in: Atom PDF