Ebben mi a meglepő? Az IT termékek tele vannak bugokkal. Javítják őket best-effort vagy risk analysis alapon.
Továbbá a Squid open source tudtommal. Bármikor patchelheti bárki, akinek van rá ideje, energiája.
Mellesleg 6.5 az utolsó stable verzió - 2023. nov. 6-án jött ki. Ha valaki régebbi RHEL-t használ, régebbi Squiddal. RH adott ki patcheket 5.5-höz (lásd: https://access.redhat.com/errata/RHSA-2023:6266). Nem néztem végig az összes felsorolt CVE-t, lehet köztük olyan, amit még tényleg nem javítottak ki.
Mellesleg ha valakinek komolyabb szintű biztonságra van szüksége, akkor ott van például a CC EAL minősítés. Használjon olyan szoftvert, ami eléri a CC EAL 4-5 szintet. Megjegyzem, hogy a jelenlegi RHEL 9 NEM rendelkezik CC EAL minősítéssel. PP compliant megszerzése is csak folyamatban van 9.0-ra. Ami szerintem piszkosul ciki.
Link az érdeklődőknek: https://access.redhat.com/articles/2918071
Részt vettem CC EAL 2 minősítés megszerzésében egy projektben egy adott termékre. Nem volt egyszerű, holott a cég és a fejlesztők már régóta készültek rá.
Állítom, hogy a legtöbb projekt, legtöbb cég számára még egy ilyen belépő szintű tanúsítás megszerzése is "lehetetlen kihívást" jelent.
Hát ami 1-1 ekvivalens tudásban Squiddal, olyanról én nem tudok. MS vonalon meg abszolút nem, mióta nincs ISA / TMG / Forefront és társai.
Amiről hallottam, de nem próbáltam még ki: Apache Traffic Server (https://trafficserver.apache.org/). Ha sok időm lesz egyszer, akkor kipróbálom.
Link? Mikor utoljára láttam, az appliance imageből kellett volna valami configot kiműteni, és abban turkálva az látszódott, hogy még az OS is saját volt alatta. Egészen meglepődtem, azt hittem rosszul látok, de találtam a neten mindenféle elemzést meg előadást is amik megerősítették (tehát nem, nem linux, és ezek a marhák még saját fs-t is írtak hozzá).
Az úgy van, hogy a Squid megvehető Cisco, SonicWall, Sophos felirattal és dobozban is. Talán azok egy picit jobbak lehetnek vagy van rajtuk némi patkolás.
Én mindent értek. Az Openssl ugyanez volt pepitában annó. Ahogy kiderült a Heartbleed bug után hogy egy rakás trágya az egész kódbázis érdekes módon mindjárt lett refaktoring meg céges invesztálás az Openssl-be, mivel kb megkerülhetetlen volt a library.
Elég komoly felhasználói bázisa van a Squid proxy-nak is és rengeteg enterprise termékbe van beépítve. Szóval pl a Cisco (Cisco WSA pl) is megerőltethette volna magát vagy donációval vagy javításokkal.
Ahogy 2 év!? után nyilvános lett a bug lista elkezdték javítani a 6.4->6.5 commitok erről szólnak kb.
Szerintem nagyon messzire vezet az alap probléma: Rengeteg cég (igen, Cisco is) beépít rengeteg open source, 3rd party komponenst a termékeikbe. Aztán ha ezekben a külső komponensekben találnak valami CVE-t, akkor a cég 3 dolgot tehet: nem foglalkozik vele (lásd például: consumer routerek gyártói) vagy rákényszeríti az ügyfeleit az újabb termékvonalra vagy frissíti a saját termékét, új release-t ad ki. Ez utóbbit csak akkor lépi meg, ha ez megéri neki. Magyarul pénze van belőle.
PfSense túlreagálásáról: Nem biztos, hogy annyira túlreagálják. Szerintem. Csak próbálják nyomás alatt tartani a többi gyártót security szempontból. Mert ami jelenleg van az IT-ben security szempontból, az egy szemétdomb. Szerény véleményem szerint.
azert ezt korrekten csak ugy tudjak kivitelezni, ha valami alternativat raknak bele a Squid helyett, mert az, hogy kivagjak belole az egyetlen csomagot ami forward proxy -kent tud mukodni es nem kap mast helyette, az enyhen szolva is inkorrekt, foleg a fizetos ugyfelekkel szemben.
Konkrétan van olyan másik open source forward proxy megoldás ami tud basic auth/negotiate/ntlm/kerberos proxy authentikációt , ldap authorizációt , cachelést, ICAP-ot és SSL bump-ot?
Én kerestem,de nem találtam.
Egyébként alapvetően az user auth ami a killer fícsör szerintem.
Semmilyen open source tűzfal megoldást nem látok ami tudna user identity alapú policy enforcement-et akár proxy/vagy nem proxy/agent alapú megoldással. Vannak , vagy inkább voltak ezekre kisebb nagyobb hackek (authpf pl),de komplett megoldással én még nem találkoztam.
Most abba ne menjünk bele hogy az enterprise megoldások is leginkább orbitális hackelések :)
mint ahogy itt sokan irtak a Squid szamos appliance -ben implementalasra kerult, maximum nagyon rejtve van...az, hogy a Netgate egyszercsak gondol egyet es kihajitja nem biztos, hogy megterulo dontes.
"Elég komoly felhasználói bázisa van a Squid proxy-nak"
Volt, 10-15-20 éve. Legalább 10 éve egyszerűen nem éri meg proxizni, cachelni, mert:
- olyan netsebességek vannak, hogy semmi értelme
- ha több felhasználó esik rá (márpedig nyilván akkor van értelme, mert 1 userre a böngésző cache is tökéletes) az lesz a szük keresztmetszet cpu, hálózat, diszk vagy valami miatt
- minden https-en megy, azt nem lehet transzparensen proxyzni; állítgatással 10 helyen meg senki nem fog bíbelődni
- rengeteg idióta site tolja a max-age: 0 és hasonló dolgokat, ami miatt megint értelmét veszti
Ezzel nem azt mondom hogy "mentség" a problémára, csak hogy én se használom már régóta, és nem is emlékszek mikor láttam utoljára bárhol is.
Az ugye megvan, hogy a forward proxy-t nem ezen feature-k miatt használják manapság is? Hanem például szűrik, hogy miket érhetnek el a szerverek a neten. Illetve így egyszerűen naplózható a http / https forgalom.
Reverse proxyt csináltam már Apache, Nginx, HAProxy alapokon. Tudom, hogy Apache képes (majdnem mindenre is), de eszembe nem jutna forward proxyként használni. Tudom, bennem van a hiba. ;)
Hozzászólások
5.0.5 volt auditálva és 6.4 az az utolsó verzió....
Ebben mi a meglepő? Az IT termékek tele vannak bugokkal. Javítják őket best-effort vagy risk analysis alapon.
Továbbá a Squid open source tudtommal. Bármikor patchelheti bárki, akinek van rá ideje, energiája.
Mellesleg 6.5 az utolsó stable verzió - 2023. nov. 6-án jött ki. Ha valaki régebbi RHEL-t használ, régebbi Squiddal. RH adott ki patcheket 5.5-höz (lásd: https://access.redhat.com/errata/RHSA-2023:6266). Nem néztem végig az összes felsorolt CVE-t, lehet köztük olyan, amit még tényleg nem javítottak ki.
Hogy konkrét is legyek pár CVE-nél:
- CVE-2023-46847 (https://bugzilla.redhat.com/show_bug.cgi?id=2245910): 6.4-ben fixálták.
- CVE-2023-46847 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46847): 6.4-ben fixálták.
- CVE-2023-46848 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46848): 6.4-ben fixálták.
Mellesleg ha valakinek komolyabb szintű biztonságra van szüksége, akkor ott van például a CC EAL minősítés. Használjon olyan szoftvert, ami eléri a CC EAL 4-5 szintet. Megjegyzem, hogy a jelenlegi RHEL 9 NEM rendelkezik CC EAL minősítéssel. PP compliant megszerzése is csak folyamatban van 9.0-ra. Ami szerintem piszkosul ciki.
Link az érdeklődőknek: https://access.redhat.com/articles/2918071
Részt vettem CC EAL 2 minősítés megszerzésében egy projektben egy adott termékre. Nem volt egyszerű, holott a cég és a fejlesztők már régóta készültek rá.
Állítom, hogy a legtöbb projekt, legtöbb cég számára még egy ilyen belépő szintű tanúsítás megszerzése is "lehetetlen kihívást" jelent.
Amúgy van valami alternativa enterprise környezetben a Squid-ra?
Miután a Microsoft valami érthetetlen okból kifolyólag kivégezte a Frontfront-ot, csak Squid-ot láttam.
Hát ami 1-1 ekvivalens tudásban Squiddal, olyanról én nem tudok. MS vonalon meg abszolút nem, mióta nincs ISA / TMG / Forefront és társai.
Amiről hallottam, de nem próbáltam még ki: Apache Traffic Server (https://trafficserver.apache.org/). Ha sok időm lesz egyszer, akkor kipróbálom.
:)
az legtöbb 'enterspájz megoldás' alatt squid van, a különbség leginkább hogy ki mennyire akarja ezt a tényt elrejteni az ügyfelei elől. :)
zrubi.hu
Bluecoat
AFAIK a Blue Coat egy rebrandelt squid.
Link? Mikor utoljára láttam, az appliance imageből kellett volna valami configot kiműteni, és abban turkálva az látszódott, hogy még az OS is saját volt alatta. Egészen meglepődtem, azt hittem rosszul látok, de találtam a neten mindenféle elemzést meg előadást is amik megerősítették (tehát nem, nem linux, és ezek a marhák még saját fs-t is írtak hozzá).
Az úgy van, hogy a Squid megvehető Cisco, SonicWall, Sophos felirattal és dobozban is. Talán azok egy picit jobbak lehetnek vagy van rajtuk némi patkolás.
Én mindent értek. Az Openssl ugyanez volt pepitában annó. Ahogy kiderült a Heartbleed bug után hogy egy rakás trágya az egész kódbázis érdekes módon mindjárt lett refaktoring meg céges invesztálás az Openssl-be, mivel kb megkerülhetetlen volt a library.
Elég komoly felhasználói bázisa van a Squid proxy-nak is és rengeteg enterprise termékbe van beépítve. Szóval pl a Cisco (Cisco WSA pl) is megerőltethette volna magát vagy donációval vagy javításokkal.
Ahogy 2 év!? után nyilvános lett a bug lista elkezdték javítani a 6.4->6.5 commitok erről szólnak kb.
https://github.com/squid-cache/squid/commits/v6
Persze páran már elkezdték "túlreagálni" a dolgot, pl a PfSense-ből el akarják távolítani.
https://www.netgate.com/blog/deprecation-of-squid-add-on-package-for-pf…
Szerintem nagyon messzire vezet az alap probléma: Rengeteg cég (igen, Cisco is) beépít rengeteg open source, 3rd party komponenst a termékeikbe. Aztán ha ezekben a külső komponensekben találnak valami CVE-t, akkor a cég 3 dolgot tehet: nem foglalkozik vele (lásd például: consumer routerek gyártói) vagy rákényszeríti az ügyfeleit az újabb termékvonalra vagy frissíti a saját termékét, új release-t ad ki. Ez utóbbit csak akkor lépi meg, ha ez megéri neki. Magyarul pénze van belőle.
PfSense túlreagálásáról: Nem biztos, hogy annyira túlreagálják. Szerintem. Csak próbálják nyomás alatt tartani a többi gyártót security szempontból. Mert ami jelenleg van az IT-ben security szempontból, az egy szemétdomb. Szerény véleményem szerint.
azert ezt korrekten csak ugy tudjak kivitelezni, ha valami alternativat raknak bele a Squid helyett, mert az, hogy kivagjak belole az egyetlen csomagot ami forward proxy -kent tud mukodni es nem kap mast helyette, az enyhen szolva is inkorrekt, foleg a fizetos ugyfelekkel szemben.
FBK
Konkrétan van olyan másik open source forward proxy megoldás ami tud basic auth/negotiate/ntlm/kerberos proxy authentikációt , ldap authorizációt , cachelést, ICAP-ot és SSL bump-ot?
Én kerestem,de nem találtam.
Egyébként alapvetően az user auth ami a killer fícsör szerintem.
Semmilyen open source tűzfal megoldást nem látok ami tudna user identity alapú policy enforcement-et akár proxy/vagy nem proxy/agent alapú megoldással. Vannak , vagy inkább voltak ezekre kisebb nagyobb hackek (authpf pl),de komplett megoldással én még nem találkoztam.
Most abba ne menjünk bele hogy az enterprise megoldások is leginkább orbitális hackelések :)
Pl.: Palo Alto User-ID vagy Cisco PxGrid
Ha valaki tud ilyet ne tartsa magában.
mint ahogy itt sokan irtak a Squid szamos appliance -ben implementalasra kerult, maximum nagyon rejtve van...az, hogy a Netgate egyszercsak gondol egyet es kihajitja nem biztos, hogy megterulo dontes.
FBK
"Elég komoly felhasználói bázisa van a Squid proxy-nak"
Volt, 10-15-20 éve. Legalább 10 éve egyszerűen nem éri meg proxizni, cachelni, mert:
- olyan netsebességek vannak, hogy semmi értelme
- ha több felhasználó esik rá (márpedig nyilván akkor van értelme, mert 1 userre a böngésző cache is tökéletes) az lesz a szük keresztmetszet cpu, hálózat, diszk vagy valami miatt
- minden https-en megy, azt nem lehet transzparensen proxyzni; állítgatással 10 helyen meg senki nem fog bíbelődni
- rengeteg idióta site tolja a max-age: 0 és hasonló dolgokat, ami miatt megint értelmét veszti
Ezzel nem azt mondom hogy "mentség" a problémára, csak hogy én se használom már régóta, és nem is emlékszek mikor láttam utoljára bárhol is.
"Sose a gép a hülye."
Az ugye megvan, hogy a forward proxy-t nem ezen feature-k miatt használják manapság is? Hanem például szűrik, hogy miket érhetnek el a szerverek a neten. Illetve így egyszerűen naplózható a http / https forgalom.
Forward proxynak tökéletes az apache vagy nginx is, sőt még jobb is.
"Sose a gép a hülye."
Reverse proxyt csináltam már Apache, Nginx, HAProxy alapokon. Tudom, hogy Apache képes (majdnem mindenre is), de eszembe nem jutna forward proxyként használni. Tudom, bennem van a hiba. ;)
Plz elaborate
Proxy nem csak cache-re jó. Autentikáció, tartalomszűrés, víruskeresés (tudom, https, de ez is megugorható céges környezetben).