Security для интернет-шлюзов (Kaspersky Web Traffic Security 6.x) на Debian Linux 11

[SanSanich]

Kaspersky Web Traffic Security 6.1 Версия: 6.1.0.4762

Debian Linux 11 -  Linux 5.10.0-13-amd64 on x86_64

на сервере 2 сетевых интерфейса

1 eno1: inet 192.168.7.3/24 brd 192.168.7.255 — Wan тот что смотрит в интернет
2 eno2: inet 192.168.3.1/24 brd 192.168.3.255 — Lan тот что смотрит в сеть

на клиенской машине

eno2: inet 192.168.3.5/24 brd 192.168.3.255

в веб интерфейсе нет пункта Параметры → Встроенный прокси-сервер

в инструкции написано

"Управление параметрами встроенного прокси-сервера в веб-интерфейсе программы

При развертывании ISO-образа Kaspersky Web Traffic Security вы можете управлять параметрами встроенного прокси-сервера через веб-интерфейс программы."

Есть 2 варианта вопроса

1) Глупый вопрос.. но лучше его задам.  если ставить Kaspersky Web Traffic Security на реальную машину то он рулить правами сквид не будет??  то есть будет обычным антивирусом? не списки с рейтингами сайтов.. не отчёты..  ничего

2) Надеюсь что просто я что то не так делаю?

так как  squidview видит соединение и https работает

168.3.5   1 https://rr8---sn-gvnuxaxjvh-gv8l.googlevideo.com/videoplayback?
168.3.5   1 https://rr8---sn-gvnuxaxjvh-gv8l.googlevideo.com/videoplayback?
168.3.5    0  www.youtube.com:443
168.3.5 https://www.youtube.com/youtubei/v1/next?
168.3.5   1 https://rr8---sn-gvnuxaxjvh-gv8l.googlevideo.com/videoplayback?
168.3.5    0  yt3.ggpht.com:443                            
168.3.5    0 https://yt3.ggpht.com/ytc/AKedOLRjXp11hOaKGRW4fAKJS6Oihi3T4fepqsMHjiuzuw=s400-c-k-c0x00ffffff-no-rj
168.3.5 https://www.youtube.com/api/stats/qoe?
168.3.5   1 https://rr8---sn-gvnuxaxjvh-gv8l.googlevideo.com/videoplayback? .....

но касперский не видит ничего.. см скрин во вложении.. и с трафиком ничего не делает.. не режет по ip.. не по спискам с рейтингами сайтов..

может я что то делаю не так..

инструкция по которой ставил..
 

1) Запустите утилиту настройки локализации. Для этого выполните команду:

# dpkg-reconfigure locales

Откроется окно Configuring locales.

• Выберите en_US.UTF8 и нажмите на кнопку OK.

• В окне настройки языка по умолчанию выберите en_US.UTF-8 и нажмите на кнопку OK.

2 обновляемся и ставим необходимые пакеты

обновляем и ставим пакеты

# apt-get -y update && apt-get -y upgrade && apt-get -y install wget fish mc vim fakeroot build-essential devscripts libssl-dev libkrb5-dev libsasl2-dev openssl libssl-dev pkg-config locate ntpdate ntp net-tools python

2.1 установите правильные дату и время.

# ntpdate pool.ntp.br

3) ставим и запускаем nginx — для работы вэб интерфейса касперского

 

# apt -y install nginx && systemctl enable nginx && service nginx start && service nginx status

4) ставим сквид

hразрешаем порты в iptables

#

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT && iptables -A INPUT -p tcp --dport 3128 -j ACCEPT && iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT && iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT && iptables -A INPUT -p tcp --dport 22 -j ACCEPT && iptables -A INPUT -p tcp --dport 9045 -j ACCEPT && iptables -A INPUT -p tcp --dport 1344 -j ACCEPT && iptables -A INPUT -p udp --dport 53 -j ACCEPT && iptables -A INPUT -p tcp --dport 443 -j ACCEPT && iptables -A INPUT -p tcp --dport 80 -j ACCEPT && iptables -A INPUT -p tcp --dport 705 -j ACCEPT && iptables -A INPUT -p tcp --dport 161 -j ACCEPT && iptables -A INPUT -p tcp --dport 162 -j ACCEPT && iptables -A INPUT -p tcp --dport 3128 -j ACCEPT && iptables -A INPUT -p tcp --dport 389 -j ACCEPT && iptables -A INPUT -p tcp --dport 363 -j ACCEPT && iptables -A INPUT -p tcp --dport 123 -j ACCEPT

создаём папки

# mkdir -p /var/log/squid && mkdir -p /etc/squid/ssl && chown proxy:proxy /var/log/squid && chown proxy:proxy /etc/squid/ssl && chmod 700 /var/log/squid && chmod 700 /etc/squid/ssl && mkdir -p /download && chmod 700 /download && cd /download

Ставим squid

качаем и распаковываем

собираем с параметрами для работы с SSL

# ./configure --prefix=/usr --localstatedir=/var --libexecdir=/usr/lib/squid --datadir=/usr/share/squid --sysconfdir=/etc/squid --enable-ssl-crtd --with-openssl --enable-translation --enable-cpu-profiling --disable-dependency-tracking -enable-delay-pools --enable-icmp --enable-linux-netfilter --with-large-files --enable-auth-negotiate=kerberos --with-default-user=proxy --with-logdir=/var/log/squid --with-pidfile=/var/run/squid.pid

# make
# make install

5 Настраиваем сквид на работу с сертификатом

нужно сделать символическую ссылку на запуск утилиты updatedb, связанной с locate

# updatedb

Добавьте конфигурацию KeyUsage в область V3_CA. Можно просто раскоментировать строку убрав символ # вначале нужной строки

Ps/ вместо можете vim использовать удобный вам текстовый редактор — nano, vi, emacs.. и т.д.

# vim /etc/ssl/openssl.cnf

[ v3_ca ]

keyUsage = cRLSign, keyCertSign

Создать самозаверяющий сертификат на 10 лет ?

# cd /etc/squid

# openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 -keyout bump.key -out bump.crt

# openssl x509 -in bump.crt -outform DER -out bump.der

Импортируйте файл bump.der в список доверенных корневых центров сертификации на компьютерах пользователей.

создаём папки если не созданы

# mkdir /usr/local/squid/etc/ssl_cert -p && chown proxy:proxy /usr/local/squid/etc/ssl_cert -R && chmod 700 /usr/local/squid/etc/ssl_cert -R && cd /usr/local/squid/etc/ssl_cert

Генерим файл параметров для алгоритма Diffie-Hellman. Для этого выполните команду:

# openssl dhparam -outform PEM -out /etc/squid/bump_dhparam.pem 2048

права

# chown proxy:proxy /etc/squid/bump* && chmod 400 /etc/squid/bump* && chown proxy:proxy /var/cache/squid/ && chmod 700 /var/cache/squid/

# mkdir -p /var/lib/squid

# rm -rf /var/lib/squid/ssl_db

# /usr/lib/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MB

# chown -R proxy:proxy /var/lib/squid

настраиваем конфиг

# cp /etc/squid/squid.conf /download/squid.conf && echo '' >/etc/squid/squid.conf && vim /etc/squid/squid.conf

 

acl localnet src 192.168.3.0/24

acl step1 at_step SslBump1

ssl_bump peek step1

ssl_bump bump all

acl SSL_ports port 443

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

 

acl intermediate_fetching transaction_initiator certificate-fetching

http_access allow intermediate_fetching

 

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager

http_access deny manager

http_access allow localnet

http_access allow localhost

http_access deny all

 

http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB tls-cert=/etc/squid/bump.crt tls-key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem

#http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/bump.crt key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,NO_SSLv2,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pe

 

sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB

coredump_dir /var/cache/squid

cache_dir ufs /var/cache/squid 1000 16 256 # 1GB as Cache

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern -i (/cgi-bin/|\?) 0 0% 0

refresh_pattern . 0 20% 4320

error_directory /usr/share/squid/errors/ru

sslproxy_cert_error allow all

 

ssl_bump stare all

 

# vim /etc/init.d/squid

кидаем скрипт загрузки.. выкладывать не буду

Делаем скрипт исполняемым и добавляем в автозагрузку:
# chmod a+x /etc/init.d/squid && update-rc.d squid defaults

# service squid start && service squid status

сертификат в доверенные в браузер на пользовательских машинах

/etc/squid/bump.crt

#####################################################################

смотрим логи

apt install squidview

sudo squidview

 

[SanSanich]

P.S. Сперва пытался запустить каперского на ГосЛинух7.1 результат.. всё вроде ставиться, но трафик тоже не отображается на графиках.. ну думаю что наши может Centos 7 поломали, пока обои в нём меняли на гослинуксовские.. поставил чистый Debian 11 х64.. импорто-замещение в лучших российских традициях... но  результат тот же.. ставить виртуальную машину под и так не очень "лёгкий" антивирус.. бездарно растрачивать ресурсы железа.. Уже месяц бьюсь.. серьёзная программа.. должно быть всё просто.. наверное что то не так сделал.. где то что то не проставил.. пересмотрел.. 3 раза переустановил всё с нуля.. разные параметры компилирования сквид и т.д...результата - 0

Edited April 22, 2022 by SanSanich

[SanSanich]

Разобрался.. завёл

добавил в конец

vim /etc/squid/squid.conf

 

......

 

acl acl_kav_GET method GET

# ICAP OPTIONS
icap_enable on
icap_send_client_ip on
icap_service is_kav_resp respmod_precache 0 icap://127.0.0.1:1344/av/respmod
icap_service is_kav_req reqmod_precache 0 icap://127.0.0.1:1344/av/reqmod
icap_class ic_kav_resp is_kav_resp
icap_class ic_kav_req is_kav_req
icap_access ic_kav_req allow all !acl_kav_GET
icap_access ic_kav_resp allow a

 

apt-get -y install   c-icap

 

в каспере прописал  Параметры - Общие -  Адрес ICAP-сервера 127.0.0.1

 

service squid restart

 

и о чудо.. месяц работы в ковыряния по форумам закончен