SQUID3 + UBUNTU LUCID 10.04 + KERBEROS AUTH + ACTIVE DIRECTORY

12:07 Marcell C. Ribeiro

Squid e suas autenticações

Pessoal, depois de 2 anos utilizando Squid + NTLM na empresa ele começou a dar

problemas, eu realizei uma pesquisa sobre as diversas maneiras de autenticação, vou

resumir para quem quer aprender um pouco sobre como autenticar o Squid.

Para realizar a autenticação o Squid utiliza os chamados helpers, que nada mais são que

interfaces que realizam a autenticação e retorna um OK ou um ERR para o proxy. A forma

como essa autenticação vai ser negociada é o que define sua segurança, eficiência e

compatibilidade. Cabe ao responsável decidir a melhor forma a ser utilizada.

Existem basicamente 4 formas de autenticação:

Basic (passando a senha em texto puro)

A Autenticação Basic é a mais comum, compatível e fácil de ser configurada, porém a

mais insegura, qualquer interceptação de pacote é possível capturar a senha do usuário

que está navegando. Ela pode ser implementada com diversos helpers, por exemplo pam,

httpd, ldap, nsca etc. Há diversos tutoriais sobre esse tipo de autenticação.

Digest (passando o hash da senha)

Esse tipo de autenticação invés de passar a senha em texto puro passa o hash em MD5

ou SHA-1, isso dificulta um pouco a captura de senhas, porém senhas inferiores a 15

caracteres são facilmente quebradas com ataque de rainbowtables ou de dicionário. Há

tutoriais explicando como implementar esse tipo de autenticação com LDAP, porém não

achei para o Active Directory, somente para Open LDAP.

ntlm (utilizando challenge response)

Na autenticação NTLM é realizado um challenge response, ao autenticar o usuário se

identifica e recebe um desafio do servidor, o que trafega pela rede é o hash da senha com

a resposta do desafio, caso o pacote seja capturado o atacante não terá a senha e sim a

senha + alguma coisa, isso dificulta a quebra da senha e aumenta um pouco a segurança.

Esse método porém possui 2 defeitos, devido ao desafio, para cada requisição http no

proxy ele gera 3 registro no proxy 2 HTTP_DENIED 407 e um HTTP_MISS ou HIT no

momento que a autenticação dá certo, para cada requisição é necessário essa

autenticação, o que perde um pouco de performance.

Outro problema é a incompatibilidade. Esse tipo de autenticação também já não é tão

segura, tanto que vem desabilitado por padrão o suporte a NTLM no Windows7, para

quem quiser testar mesmo assim pode seguir o tutorial do próprio site do Squid:

* http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory

negotiate

Esse é o tipo de autenticação que abordaremos no artigo, baseia-se na emissão de tickets.

Para configuração é necessário gerar um keymap no AD para o srvsquid funcionando da

seguinte forma, o srvsquid (nome do servidor Squid) confia no srvdc1 (nome do servidor

do AD), o usuário paulo se autentica no servidor srvdc1 e ganha um ticket, uma espécie de

"crachá", onde ele autentica seus acessos ao servidor de arquivos, impressão etc. Ao

tentar acessar a internet é solicitada autenticação e ele mostra esse "crachá" para o

srvsquid, o srvsquid então verifica a validade do crachá com o srvdc1 e se estiver ok ele

dá o acesso, tudo isso é feito de forma segura.

Os tickets duram em média 5 minutos, o que torna improvável a quebra de uma senha

com esse nível de criptografia em tão pouco tempo, após 5 minutos o usuário solicita um

novo ticket. O processo de autenticação é mais leve em termo de performance.

O porém dessa autenticação é a incompatibilidade, só funciona com Internet Explorer 7

pra cima e com o Firefox 3 ou superior (não foram testados Chrome, Opera, Safari etc).

Para questão de compatibilidade é possível configurar uma autenticação do tipo Basic

como alternativa, será descrito no artigo.

Instalando o Kerberos

Instale o Ubuntu Server 10.04 32 bits (versão utilizada).

* Foi utilizado idioma em Português (não creio que vá influenciar se mudar)

* Configurada rede manualmente (Ex: 192.168.1.2)

* Certifique-se que o acesso à internet está configurado

Atualiza a lista de pacotes:

$ sudo apt-get update

Instale o Kerberos:

$ sudo apt-get install krb5-kdc krb5-config krb5-clients libpam-krb5 krb5-user

Faça uma cópia do arquivo krb5.conf:

$ sudo cp /etc/krb5.conf /etc/krb5.conf.OLD

Edite o arquivo /etc/krb5.conf, apague tudo e cole todo o código abaixo, depois configure

de acordo com seu IP e domínio.

[libdefaults]

default_realm = MEUDOMINIO.COM.BR (usar letra maiúscula)

dns_lookup_realm = no

dns_lookup_kdc = no

ticket_lifetime = 24h

forwardable = yes

# The following krb5.conf variables are only for MIT Kerberos.

krb4_config = /etc/krb.conf

krb4_realms = /etc/krb.realms

kdc_timesync = 1

ccache_type = 4

forwardable = true

proxiable = true

# for Windows 2003

default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

# For Windows XP:

default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

# The following libdefaults parameters are only for Heimdal Kerberos.

v4_instance_resolve = false

v4_name_convert = {

host = {

rcmd = host

ftp = ftp

}

plain = {

something = something-else

}

}

fcc-mit-ticketflags = true

[realms]

MEUDOMINIO.COM.BR = {

kdc = 192.168.1.1 (Ip do windows 2003 com AD)

admin_server = 192.168.1.1 (Ip do windows 2003 com AD)

dafault_domain = meudominio.com.br

}

[domain_realm]

.meudominio.com.br = MEUDOMINIO.COM.BR

meudominio.com.br = MEUDOMINIO.COM.BR

[kdc]

profile = /etc/krb5kdc/kdc.conf

[appdefaults]

pam = {

debug = false

ticket_lifetime = 36000

renew_lifetime = 36000

forwardable = true

krb4_convert = false

}

[login]

krb4_convert = true

krb4_get_tickets = false

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

Configurando o Active Directory

Abra o Active Directory Users and Computer.

Linux: Squid3 + Ubuntu Lucid 10.04 + Kerberos Auth + AD

Crie um novo usuário no Active Directory "srvsquid", desmarque a opção para mudar a

senha no próximo logon, marque a opção que a senha nunca expira, coloque uma senha

grande (20 dígitos) e complexa.

Adicione um computer com o nome "srvsquid".

No seu servidor DNS adicione um registro para o srvsquid IP 192.168.1.2 (isso é

realmente importante, não pule esse passo).

O DNS reverso deve estar habilitado para o srvsquid.

Baixe o arquivo WindowsServer2003-KB892777-SupportTools-x86-ENU.exe do site da

Microsoft, instale no seu servidor ou em alguma máquina rodando Windows XP.

Abra o cmd: iniciar ---> executar ---> cmd

Vá para a pasta onde foi instalado o Support Tools.

cd c:\"arquivos de programas"\"Support Tools"

Digite o comando para gerar um keytab para o srvsquid:

ktpass -princ HTTP/srvsquid.meudominio.com.br@MEUDOMINIO.COM.BR -mapuser srvsquid -crypto rc4-hmac-nt -pass SENHA_DO_USR_SRVSQUID -ptype KRB5_NT_PRINCIPAL -out c:\srvsquid.keytab

O arquivo srvsquid.keytab será gerado no c:\, reserve esse arquivo, você precisará dele

mais tarde.

Instalando e configurando o Squid3

No srvsquid edite o arquivo /etc/hosts e adicione as linhas:

192.168.1.2 srvsquid.meudominio.com.br srvsquid

192.168.1.1 srvdc1.meudominio.com.br srvdc1

Edite o arquivo /etc/resolv.conf e coloque essa configuração:

search meudominio.com.br

nameserver IP-DO-DNS-PRIMÁRIO

nameserver IP-DO-DNS-SECUNDÁRIO

Teste o DNS reverso com o comando:

$ dig -x 192.168.1.2

Na parte ANSWER da saída do comando deve retornar o nome

srvsquid.meudominio.com.br.

Instale o Squid3:

$ sudo apt-get update

$ sudo apt-get install squid3

Copie de forma segura o keytab gerado no passo anterior no Windows para o srvsquid.

Copie para /etc/squid3/srvsquid.keytab depois apague a cópia do c:\.

Dê owner para o usuário proxy:

$ sudo chmod proxy:proxy /etc/squid3/srvsquid.keytab

Dê permissão somente leitura 400 no arquivo:

$ sudo chmod 400 /etc/squid3/squid.keytab

Edite o arquivo /etc/enviroment e adicione a linha:

KRB5_KTNAME=/etc/squid3/srvsquid.keytab

Edite o arquivo /etc/init.d/squid3 e adicione a linha abaixo no script logo em baixo da linha

PATH=/bin:/usr/bin:/sbin:/usr/sbin:

export KRB5_KTNAME=/etc/squid3/srvsquid.keytab

Faça cópia do arquivo de configuração original do Squid:

$ sudo cp /etc/squid3/squid.conf /etc/squid3/squid.conf.ORIGINAL

Edite o arquivo squid.conf e cole a configuração abaixo:

Obs.:

* No arquivo tem a configuração negotiate e um exemplo de configuração basic via LDAP

para compatibilidade, caso seja necessário utilizar proxy para sistemas que não aceitem

negotiate. Caso seja habilitada essa opção a senha trafegará em texto puro quando

utilizado LDAP.

* Colocar na ordem, pois se colocar primeiro o LDAP ele vai priorizar a autenticação texto

puro.

Conteúdo do squid.conf:

auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d -s HTTP/meudominio.com.br@MEUDOMINIO.COM.BR

auth_param negotiate children 20

auth_param negotiate keep_alive on

#Segue a configuração BASIC LDAP, basta descomentar as 4 linhas abaixo.

#O usuário fornecido deve ter permissão de consultar a base LDAP.

#auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "DC=meudominio,DC=com,DC=br" -D "CN=USUARIOLDAP,OU=usuarios,OU=informatica,DC=meudominio,DC=com,DC=br" -w "SENHADOUSUARIO" -f sAMAccountName=%s -P -v 3 -h 192.168.1.1

#auth_param basic children 20

#auth_param basic realm Autenticacao internet

#auth_param basic credentialsttl 2 hours

acl auth proxy_auth REQUIRED

acl manager proto cache_object

acl localhost src 127.0.0.1/32

acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl SSL_ports port 443

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

http_access allow auth

http_access deny all

http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access deny all

icp_access deny all

htcp_access deny all

http_port 3128

hierarchy_stoplist cgi-bin ?

access_log /var/log/squid3/access.log squid

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern (cgi-bin|\?) 0 0% 0

refresh_pattern . 88032234 0 20% 4320

icp_port 3130

coredump_dir /var/spool/squid3

Configurando os navegadores

Os navegadores testados foram o IE 7 e o Firefox 3.0 ou superior.

As máquinas clientes foram testadas com Windows XP, Vista e 7. Ambos precisam estar

logados no domínio para funcionar.

Estou realizando testes com o Ubuntu 10.04 desktop para autenticar via kerberos, mas

ainda não tive sucesso, assim que tiver progresso atualizo. Quem tiver alguma crítica,

sugestão ou melhoria pode enviar.

Para contornar esse problema foi ativada a autenticação BASIC LDAP no squid.conf da

página anterior. Essa autenticação é compatível com o Linux, inclusive quando exporta o

proxy pelo comando "export http_proxy=http://user:senha@srvsquid.meudominio.com.br",

porém ela envia a senha em texto puro.

ATENÇÃO:

* Para configurar os navegadores é necessário na configuração do proxy adicionar o

FQDN, ou seja, ao invés de colocar srvsquid ou o IP deve ser configurado o nome +

domínio, Ex.: srvsquid.meudominio.com.br nas opções de proxy, por isso a importância de

se configurar o DNS e o DNS reverso. A porta se não foi alterada é 3128.

* A autenticação Kerberos, para funcionar, o relógio e data do SRVSQUID e do SRVDC1

precisa estar sincronizados, você pode fazer isso configurando NTP, network time

protocol. Há vários tutoriais disponíveis, ou você mesmo pode configurar na mão para que

ambos fiquem no máximo com 2 minuto de diferença.

Referências:

Getting Squid to authenticate with kerberos and Windows 2008/2003/7/XP - Server Fault

Squid kerberos authentication and ldap authorization in Active Directory « Klaubert's Blog

ConfigExamples/Authenticate/Kerberos - Squid Web Proxy Wiki

Autor: Vinicius Domingues (VOL)