 |
SSL / Man-in-the-Middle (Ortadaki Adam) Modu / SSL/MITM Mode
Squid’in HTTPS trafiğini gözetleyebilmesini (içeriğini okuyabilmesini) sağlamak için kullanılan bir şifre çözme (decrypt) yöntemidir.
Normalde HTTPS bağlantıları uçtan uca şifrelenir, yani:
Ama SSL/MITM (veya ssl_bump) ile Squid, HTTPS bağlantıyı “ortada durarak” iki farklı SSL oturumu kurar:
Bu sayede:
-
Squid, gelen HTTPS trafiğini açabilir, filtreleyebilir, denetleyebilir veya loglayabilir. Ancak bunun için istemci cihazlara Squid’in CA sertifikasının yüklenmesi gerekir.
Squid GUI / Web Arayüzlerinde “SSL/MITM Mode” Ne İşe Yarar?
SSL/MITM Mode:
-
Disabled (Kapalı): HTTPS trafiğe dokunulmaz. Sadece CONNECT tüneli kurulur. Trafik şifrelidir, Squid içeriği göremez.
-
Splice All: Trafik şifre çözülmeden (decrypt etmeden) sadece yönlendirilir. Daha az denetim, ama daha güvenli.
-
Bump All: Tüm HTTPS trafiği çözümlenir (decrypt edilir), incelenir. En fazla kontrol sağlar, ancak tarayıcılar sertifika uyarısı verir.
-
Custom (Gelişmiş/Elle): ssl_bump kuralları ile hangi durumlarda bump, splice, peek, terminate gibi işlemler yapılacağını ayarlarsınız.
Squid'de SSL/MITM Çalışma Adımları (ssl_bump ile)
MITM işlemi genellikle üç adımda gerçekleşir:
SslBump1 — İlk bağlanma: Tarayıcı bağlanır, Squid ilk el sıkışmayı görür.
SslBump2 — Sunucuya bağlanma: Squid gerçek sunucuya bağlanır ve onun sertifikasını görür.
SslBump3 — Karar ve işlem: Squid, bağlantıyı bump (decrypt) mı edecek, yoksa splice (dokunmadan tünelleyecek) mi karar verir.
Seçenekler
1. SSL/MITM Mode: Splice All
-
Bu modda, tüm SSL/TLS bağlantıları "splice" edilir, yani orijinal sunucuyla doğrudan bir bağlantı kurulur ve trafik şifreli olarak aktarılır.
-
proxy trafiği çözmez veya müdahale etmez.
-
Trafiği pasif olarak izlemek veya şifreli bağlantıları olduğu gibi yönlendirmek istendiğinde kullanılır. Güvenlik testi yapılmaz.
2. Splice Whitelist, Bump Otherwise
-
Belirli bir "whitelist" (izin verilenler listesi) tanımlanır. Bu listedeki sunucularla bağlantılar "splice" edilir (doğrudan iletilir), diğer tüm bağlantılar "bump" edilir (proxytarafından çözülerek müdahale edilir).
-
Güvenilen sunuculara müdahale edilmezken, diğer tüm trafik incelenebilir veya değiştirilebilir. Örneğin, güvenli siteler (bankalar) bypass edilirken diğer siteler analiz edilir.
3. Splice All
4. Custom
-
Kullanıcı tanımlı kurallara göre hangi bağlantıların "splice" edileceğini, hangilerinin "bump" edileceğini belirler. Özel filtreleme kuralları (örneğin, domain, IP, port bazlı) uygulanabilir. Esnek bir yaklaşım isteniyorsa, örneğin yalnızca belirli alt domainlere veya portlara müdahale etmek için kullanılır.
| Mod Adı |
Splice Ettiği Trafik |
Bump Ettiği Trafik |
| Splice All |
Tüm bağlantılar |
Hiçbiri |
| Splice Whitelist, Bump Otherwise |
Whitelist'teki sunucular |
Whitelist dışındakiler |
| Custom |
Kullanıcı tanımlı |
Kullanıcı tanımlı |
|
