Squid usato come Reverse Proxy per protezione di Exchange OWA

Qui di seguito, riporto una configurazione utilizzabile con Squid, in questo caso la 3.1.15, per consentire di anteporre un reverse proxy al vero e proprio server OWA.

Il vantaggio di questa architettura consiste nel non “esporre” in DMZ un server membro di Dominio, la configurazione proposta lavora con un server OWA di versione 2003 (non ho avuto modo di utilizzarla con altre versioni), ma può essere ripresa per proteggere servizi web che richiedono autenticazione ad esempio altri mailserver.

Il tunnel HTTPs viene terminato sul reverse proxy e da questo le richieste vengono inoltrate al server WEB in HTTP

Nel caso specifico di questa configurazione Squid è installato su un sistema OPENBsd ma può tranquillamente essere utilizzato su altre distribuzioni, unico accorgimento è che deve essere compilato con l’opzione ‘–enable-ssl’.

In rete sono disponibili numerosi pacchetti già preparati e pronti per l’installazione, queste distribuzioni, di solito sono compilate con un grande numero di opzioni, per la maggior parte non necessarie.

E’ consigliabile, dato che si utilizza a “protezione” di un servizio, che Squid sia compilato con le sole opzioni necessarie, questo al fine di rendere meno vulnerabile il sistema stesso.

in questo caso le opzioni di compilazione sono:

#squid –-v (comando per ottenere le info sull’installazione di Squid)

Output:

Squid Cache: Version 3.1.15
configure options: ‘–enable-ssl’ ‘–enable-err-language=eng’ ‘-disable-ipv6’ –enable-ltdl-convenience

File squid.conf

cache_effective_user squiduser
cache_effective_group wheel

https_port 443 accel vhost cert=/usr/local/squid/certificato/dns1.crt key=/usr/local/squid/certificato/dns1.key # cert e key sono il certificato e la chiave con cui viene attivato SSL il certificato e relativa chiave devono essere generati in precedenza
cache_peer 10.1.1.1 parent 80 0 no-query originserver login=PASS proxy-only # cache_peer è il riferimento al server a cui squid redirige le chiamate in ingresso

front-end-https=auto name=webmail
redirect_rewrites_host_header off

acl TUTTI src all #definizione ACL chiamata TUTTI con source all ossia accesso libero alla cache Squid
http_access allow TUTTI #consente accesso all’ ACL TUTTI alla cache

#definizione della posizione dei log del formato e della rotazione
logfile_rotate 30
emulate_httpd_log on
log_mime_hdrs off
access_log /var/log/squid/log/access.log
cache_store_log /var/log/squid/log/store.log
cache_log /var/log/squid/log/cache.log

#definizione della posizione della cache
cache_dir ufs /var/log/squid/cache 100 16 256
cache_mem 50 MB
pid_filename /var/run/squid.pid

riferimenti:

http://wiki.squid-cache.org/SquidFaq/ReverseProxy

http://wiki.squid-cache.org/ConfigExamples/Reverse/VirtualHosting

http://wiki.squid-cache.org/ConfigExamples/Reverse/OutlookWebAccess

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...