[Sysadmins] Squid & Proxifier

[Sysadmins] Squid & Proxifier

[Gosha]

Hi All!

С удивлением обнаружил следующее.
В настройках squid доступ в и-нет регулируется вот таким образом:

acl AllowDomains dstdomain .разрешенный.домен

acl HOST1 src ip-адрес

http_access allow HOST1 AllowDomains

Все работает нормально. Пускает на разрешенные домены и больше никуда.

Изучая отчет, сгенерированный sarg-ом, с удивлением обнаружил,
что одна из машин сети спокойно посещает в и-нете все что угодно.
Оказалось, что "пытливый" пользователь (Windows) установил себе 
программу Proxifier:

http://www.proxifier.com/documentation/intro.htm

ее основное предназначение - выпускать через прокси те приложения,
которые самостоятельно этого делать не умеют, однако она же спокойно
каким-то образом обходит установленные у меня в squid-е ограничения
в виде dstdomain. Единственно, если прописать для этой машины: 
http_access deny HOST1, то тогда машина полностью блокируется от
доступа в и-нет даже с этой интересной программой, а как только
появляется любой ограничивающий http_access allow HOST1 ....
спокойно плюет на все ограничения.

Может кто сталкивался с таким и знает как средствами squid-а "побороть"
эту замечательную программу?

-- 
Best regards!
Igor Solovyov

Re: [Sysadmins] Squid & Proxifier

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 737 bytes --]

Здравствуйте Gosha
  В сообщении от 9 декабря 2007 Gosha написал(a):
 > Может кто сталкивался с таким и знает как средствами squid-а
 > "побороть"
 > эту замечательную программу?
Вроде, никак. Основываюсь не на собственном опыте, а на статьях из 
журнала Хакер: как сделать то, что делает эта программа. Там правда не 
упоминалась конкретная программа, но что надо сделать, что-бы прокинуть 
через открытый порт другие порты (теория) очень хорошо описывалось.


-- 
  А ещё говорят так  (fortune):
 
Time washes clean Love's wounds unseen. That's what someone told me; But 
I don't know what it means. -- Linda Ronstadt, "Long Long Time" 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Squid & Proxifier

[Timur Batyrshin]

В письме от Вск, 09 Дек 2007, 08:23 Gosha пишет:
> С удивлением обнаружил следующее.
> В настройках squid доступ в и-нет
> регулируется вот таким образом:
>
> acl AllowDomains dstdomain .разрешенный.домен
>
> acl HOST1 src ip-адрес
>
> http_access allow HOST1 AllowDomains
>
> Все работает нормально. Пускает на
> разрешенные домены и больше никуда.
>
> Изучая отчет, сгенерированный sarg-ом, с
> удивлением обнаружил,
> что одна из машин сети спокойно посещает
> в и-нете все что угодно.
> Оказалось, что "пытливый" пользователь
> (Windows) установил себе
> программу Proxifier:
>
> http://www.proxifier.com/documentation/intro.htm
>
> ее основное предназначение - выпускать
> через прокси те приложения,
> которые самостоятельно этого делать не
> умеют, однако она же спокойно
> каким-то образом обходит установленные
> у меня в squid-е ограничения
> в виде dstdomain. Единственно, если прописать
> для этой машины:
> http_access deny HOST1, то тогда машина полностью
> блокируется от
> доступа в и-нет даже с этой интересной
> программой, а как только
> появляется любой ограничивающий http_access
> allow HOST1 ....
> спокойно плюет на все ограничения.
>
> Может кто сталкивался с таким и знает
> как средствами squid-а "побороть"
> эту замечательную программу?

Нужно запретить метод http CONNECT
Примерно так:

acl CONNECT method CONNECT
http_access deny CONNECT

Re: [Sysadmins] Squid & Proxifier

[Gosha]

Hi!

Timur Batyrshin пишет:

>> Может кто сталкивался с таким и знает
>> как средствами squid-а "побороть"
>> эту замечательную программу?
> 
> Нужно запретить метод http CONNECT
> Примерно так:
> 
> acl CONNECT method CONNECT
> http_access deny CONNECT

Хм... Действительно в access.log видно, что используется метод
CONNECT. А этот метод CONNECT был мною специально открыт для
обеспечения работоспособности клиент-банковской программы и еще
одной специфичной программы в том числе и для этого хоста.

Видимо придется делать что-то типа:

http_access allow HOST1 CONNECT SpecialsDST
http_access allow HOST1 !CONNECT AllowDomains

где acl SpecialsDST - адреса, для которых нужен метод CONNECT.

Или это будет бесполезно? И все равно в этом случае программа сумеет как 
написал Хихин Руслан "прокинуть через открытый порт другие порты"?

Впрочем завтра попробую. :-)

--
Best regards!
Igor Solovyov

Re: [Sysadmins] Squid & Proxifier

[Timur Batyrshin]

В письме от Вск, 09 Дек 2007, 12:36 Gosha пишет:
>>> Может кто сталкивался с таким и знает
>>> как средствами squid-а "побороть"
>>> эту замечательную программу?
>>
>> Нужно запретить метод http CONNECT
>> Примерно так:
>>
>> acl CONNECT method CONNECT
>> http_access deny CONNECT
>
> Хм... Действительно в access.log видно, что
> используется метод
> CONNECT. А этот метод CONNECT был мною
> специально открыт для
> обеспечения работоспособности
> клиент-банковской программы и еще
> одной специфичной программы в том числе
> и для этого хоста.

Он и для HTTPS-прокси для ICQ и т.п. может
использоваться.

> Видимо придется делать что-то типа:
>
> http_access allow HOST1 CONNECT SpecialsDST
> http_access allow HOST1 !CONNECT AllowDomains

Как работает (и будет ли) !CONNECT не знаю -- я
просто делаю
http_access deny CONNECT
сразу после разрешительной строчки.

> где acl SpecialsDST - адреса, для которых нужен
> метод CONNECT.

Ага, у меня еще и по порту режется.

Re: [Sysadmins] Squid & Proxifier

[Gosha]

Hi!

Timur Batyrshin пишет:

> Он и для HTTPS-прокси для ICQ и т.п. может
> использоваться.

Т.е. получается, что нет лекарства от этого "чуда",
если нужно выпускать аську и https разрешать?
Ведь тогда он через любой открытый порт для CONNECT
сможет пролезать?
И есть только один реальный способ:

> http_access deny CONNECT
> сразу после разрешительной строчки.

Или я что-то не так понял?

--
Best regards!
Igor Solovyov

Re: [Sysadmins] Squid & Proxifier

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 659 bytes --]

Gosha пишет:
> Hi!
> 
> Timur Batyrshin пишет:
> 
>> Он и для HTTPS-прокси для ICQ и т.п. может
>> использоваться.
> 
> Т.е. получается, что нет лекарства от этого "чуда",
> если нужно выпускать аську и https разрешать?
> Ведь тогда он через любой открытый порт для CONNECT
> сможет пролезать?
> И есть только один реальный способ:
> 
>> http_access deny CONNECT
>> сразу после разрешительной строчки.
> 
> Или я что-то не так понял?

А не нужно давать CONNECT на весь Интернет.
Тем более по всем портам.
Для https вполне достаточно дать CONNECT на 443 порт.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

Re: [Sysadmins] Squid & Proxifier

[Gosha]

Hi!

Maxim Tyurin пишет:

>> Ведь тогда он через любой открытый порт для CONNECT
>> сможет пролезать?
>> И есть только один реальный способ:
>>
>>> http_access deny CONNECT
>>> сразу после разрешительной строчки.
>> Или я что-то не так понял?
> 
> А не нужно давать CONNECT на весь Интернет.
> Тем более по всем портам.
> Для https вполне достаточно дать CONNECT на 443 порт.

Так этого и будет prixifier-у достаточно. :-)

--
Best regards!
Igor Solovyov

Re: [Sysadmins] Squid & Proxifier

[Olvin]

Gosha пишет:
>>> Ведь тогда он через любой открытый порт для CONNECT
>>> сможет пролезать?
>>> И есть только один реальный способ:
>>>> http_access deny CONNECT
>>>> сразу после разрешительной строчки.
>>> Или я что-то не так понял?
>> А не нужно давать CONNECT на весь Интернет.
>> Тем более по всем портам.
>> Для https вполне достаточно дать CONNECT на 443 порт.
> Так этого и будет prixifier-у достаточно. :-)

Для этого ещё надо, чтобы именно заданный dst пропускал (как прокси) 
запросы на 443 порт. Это там у них что - открытый прокси? Или я чего-то 
не понял в исходной ситуации?

Re: [Sysadmins] Squid & Proxifier

[Gosha]

Hi!

Olvin пишет:

>>> А не нужно давать CONNECT на весь Интернет.
>>> Тем более по всем портам.
>>> Для https вполне достаточно дать CONNECT на 443 порт.
>> Так этого и будет prixifier-у достаточно. :-)
> 
> Для этого ещё надо, чтобы именно заданный dst пропускал (как прокси) 
> запросы на 443 порт. Это там у них что - открытый прокси? Или я чего-то 
> не понял в исходной ситуации?

Так дело не в том, что на том конце, а в том, что этот proxifier
получается, что использует любой разрешенный для CONNECT порт.
:-(
Т.е. если хосту с proxifier открыт метод CONNECT хоть на какой-нибудь 
порт, то он минует ограничения http_access для этого хоста.

Другое дело, что стоит прописать методу CONNECT конкретные разрешенные 
dst, а все остальные запретить, но я это смогу проверить только завтра
или даже послезавтра. Хотя такое решение вызывает сомнение по поводу
https. Он нужен клиентам без конкретных dst. А если я его так открою,
то вроде получается опять дыра для proxifier-а.
Хотя я может и не прав.

--
Best regards
Igor Solovyov

Re: [Sysadmins] Squid & Proxifier

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 1393 bytes --]

Gosha пишет:
> Hi!
> 
> Olvin пишет:
> 
>>>> А не нужно давать CONNECT на весь Интернет.
>>>> Тем более по всем портам.
>>>> Для https вполне достаточно дать CONNECT на 443 порт.
>>> Так этого и будет prixifier-у достаточно. :-)
>> Для этого ещё надо, чтобы именно заданный dst пропускал (как прокси) 
>> запросы на 443 порт. Это там у них что - открытый прокси? Или я чего-то 
>> не понял в исходной ситуации?
> 
> Так дело не в том, что на том конце, а в том, что этот proxifier
> получается, что использует любой разрешенный для CONNECT порт.
> :-(
> Т.е. если хосту с proxifier открыт метод CONNECT хоть на какой-нибудь 
> порт, то он минует ограничения http_access для этого хоста.
> 
> Другое дело, что стоит прописать методу CONNECT конкретные разрешенные 
> dst, а все остальные запретить, но я это смогу проверить только завтра
> или даже послезавтра. Хотя такое решение вызывает сомнение по поводу
> https. Он нужен клиентам без конкретных dst. А если я его так открою,
> то вроде получается опять дыра для proxifier-а.
> Хотя я может и не прав.

Не прав.
Если ты разрешишь только https (т.е. CONNECT только на уделенный 443
порт) то proxifier может лазить только по https.

P.S. Единственное исключение - если он будет по 443 порту лезть на
другой прокси и с него дальше.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

Re: [Sysadmins] Squid & Proxifier

[Gosha]

Hi!

Maxim Tyurin пишет:

>> Другое дело, что стоит прописать методу CONNECT конкретные разрешенные 
>> dst, а все остальные запретить, но я это смогу проверить только завтра
>> или даже послезавтра. Хотя такое решение вызывает сомнение по поводу
>> https. Он нужен клиентам без конкретных dst. А если я его так открою,
>> то вроде получается опять дыра для proxifier-а.
>> Хотя я может и не прав.
> 
> Не прав.
> Если ты разрешишь только https (т.е. CONNECT только на уделенный 443
> порт) то proxifier может лазить только по https.

Он именно так и делает. В его настройках по-умолчанию видно, что
лезет он именно по https и даже вписаны порты 443 и еще пятьсот-какойто, 
на память сейчас не помню. Хотя там есть возможность прописать и любой 
другой порт.

> P.S. Единственное исключение - если он будет по 443 порту лезть на
> другой прокси и с него дальше.

Он возможно так и делает. Хотя в его доке не очень освещено все это,
сказано только, что:

- Bypass firewall restrictions (connect to restricted ports).
- Use three types of proxy servers: SOCKS v4, SOCKS v5, and HTTP.

-- 
Best regards!
Gosha

Re: [Sysadmins] Squid & Proxifier

[Maxim Tyurin]

gosha@anti.su writes:

> Hi!
>
> Maxim Tyurin пишет:
>
>>> Другое дело, что стоит прописать методу CONNECT конкретные разрешенные 
>>> dst, а все остальные запретить, но я это смогу проверить только завтра
>>> или даже послезавтра. Хотя такое решение вызывает сомнение по поводу
>>> https. Он нужен клиентам без конкретных dst. А если я его так открою,
>>> то вроде получается опять дыра для proxifier-а.
>>> Хотя я может и не прав.
>> 
>> Не прав.
>> Если ты разрешишь только https (т.е. CONNECT только на уделенный 443
>> порт) то proxifier может лазить только по https.
>
> Он именно так и делает. В его настройках по-умолчанию видно, что
> лезет он именно по https и даже вписаны порты 443 и еще пятьсот-какойто, 
> на память сейчас не помню. Хотя там есть возможность прописать и любой 
> другой порт.
>
>> P.S. Единственное исключение - если он будет по 443 порту лезть на
>> другой прокси и с него дальше.
>
> Он возможно так и делает. Хотя в его доке не очень освещено все это,
> сказано только, что:

Так взять tcpdump и посмотреть что он делает.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [Sysadmins] Squid & Proxifier

[Olvin]

Gosha пишет:
>>>> А не нужно давать CONNECT на весь Интернет.
>>>> Тем более по всем портам.
>>>> Для https вполне достаточно дать CONNECT на 443 порт.
>>> Так этого и будет prixifier-у достаточно. :-)
>> Для этого ещё надо, чтобы именно заданный dst пропускал (как прокси) 
>> запросы на 443 порт. Это там у них что - открытый прокси? Или я чего-то 
>> не понял в исходной ситуации?
> Так дело не в том, что на том конце, а в том, что этот proxifier
> получается, что использует любой разрешенный для CONNECT порт.

использовать можно попытаться, а получится ли? Если у меня разрешёно 
соединение на 443 порт какой-либо машины, но там на этом порту ничего не 
слушает, то ломись-не ломись, а ничего не получится.

> Т.е. если хосту с proxifier открыт метод CONNECT хоть на какой-нибудь 
> порт, то он минует ограничения http_access для этого хоста.

Не минует.

> Другое дело, что стоит прописать методу CONNECT конкретные разрешенные 
> dst, а все остальные запретить, но я это смогу проверить только завтра
> или даже послезавтра. Хотя такое решение вызывает сомнение по поводу
> https. Он нужен клиентам без конкретных dst.

Вот в этом и причина того, что лезет куда попало. А почему нельзя 
разрешить только на конкретных dst? Странно как-то...

Re: [Sysadmins] Squid & Proxifier

[Olvin]

Gosha пишет:
> С удивлением обнаружил следующее.
> В настройках squid доступ в и-нет регулируется вот таким образом:
> acl AllowDomains dstdomain .разрешенный.домен
> acl HOST1 src ip-адрес
> http_access allow HOST1 AllowDomains

а где http_access deny all в этом месте?

> Все работает нормально. Пускает на разрешенные домены и больше никуда.
> Изучая отчет, сгенерированный sarg-ом, с удивлением обнаружил,
> что одна из машин сети спокойно посещает в и-нете все что угодно.
> Оказалось, что "пытливый" пользователь (Windows) установил себе 
> программу Proxifier:

А вы разрешили пропуск всех портов на заданные хосты или только 
некоторых? Т.е. метод CONNECT разрешён в squid'е для каких портов?

Re: [Sysadmins] Squid & Proxifier

[Gosha]

Hi!

Olvin пишет:

>> В настройках squid доступ в и-нет регулируется вот таким образом:
>> acl AllowDomains dstdomain .разрешенный.домен
>> acl HOST1 src ip-адрес
>> http_access allow HOST1 AllowDomains
> 
> а где http_access deny all в этом месте?

в самом конце :-)

>> Оказалось, что "пытливый" пользователь (Windows) установил себе 
>> программу Proxifier:
> 
> А вы разрешили пропуск всех портов на заданные хосты или только 
> некоторых? Т.е. метод CONNECT разрешён в squid'е для каких портов?

для Safe_ports из примера конфига, поставляемого в пакете squid
и еще для некоторых специфичных (Citrix-клиенты) портов.

--
Best regards!
Igor Solovyov