Select Page

NETWAYS Blog

NETWAYS stellt sich vor – Patrick Dolinic

This entry is part 3 of 34 in the series NETWAYS stellt sich vor

 

 

Name: Patrick Dolinic

Alter: 32

Position bei NETWAYS: Junior Consultant

Bei NETWAYS seit: September 2020

   

 

Wie bist du zu NETWAYS gekommen und was genau gehört zu Deinem Aufgabenbereich?

Gegen Ende meines Psychologiestudiums war der Wunsch sehr stark, keine geschlossene Software zum Arbeiten mehr zu benutzen und eine Firma zu finden, die moralisch und ethisch meinen Grundgedanken folgt. Das heißt, es mussten Growth-Mindset, Privacy und das Erlernen von Open Source Technologien & Computersicherheit möglich sein. Ich wollte unbedingt Linux Sysadmin werden, auch wenn das nach einem Psychologie Master erstmal verwunderlich klingt, ist es das, was mir am meisten Freude macht. Als ich dann auf der NETWAYS-Webseite die Vielzahl an möglichen Weiterbildungen sah, war die Bewerbung noch in der selben Nacht unterwegs.

 

Was macht Dir an Deiner Arbeit am meisten Spaß?

Die Möglichkeit mich komplett Linux hinzugeben, vom Kernel hin bis zu den Netzwerklayern, von aktuellen Trends und warum sie das sind. Dazu kommt, dass man hier von jahrelanger Erfahrung der Ausbilder profitiert und man Antworten auf Fragen findet, die normalerweise extrem schwer zu googlen sind. Auch erlauben es Projekte, die man bekommt, Dinge drumherum zu erforschen, diese sicherheitstechnisch abzusichern, abzuschießen und mit extra Konditionen zu testen. Mittlerweile denke ich, dass es eine Voraussetzung ist, Systeme sicher zu halten und habe gemerkt, dass meine Ausbilder das Wort “Computersicherheit” teilweise gar nicht mehr benutzen, sondern nur noch auf gemachte / mögliche Fehlerquellen hinweisen.

 

Was machst Du, wenn Du mal nicht bei NETWAYS bist?

Prinzipiell sollte ich eigentlich weniger vor dem Rechner hängen und mehr Sport treiben, aber als Nerd ist das halt so ‘nen Ding! Wenn ich also Freizeit habe und meine Zeit nicht mit zocken vergeude *zwinker*, schau ich meistens bei Reddit oder Twitter nach dem aktuellen Computersicherheitsgeschehen, oder schaue Youtubern dabei, zu wie sie CTFs lösen. Noch bin ich wohl ein relativ großer Newbie beim Lösen von CTFs, da ich zu viel schaue und zu wenig mache, aber ich hoffe, das wird sich im Laufe der nächsten Zeit ändern. Ansonsten versuche ich überall Linux draufzuknallen, wo es noch nicht drauf ist, manchmal auch öfters.

 

Wie geht es in Zukunft bei Dir weiter?

Tiefer in Web-Technologien & Betriebssystemkerne abtauchen, schauen, was man da so alles findet und monitoren & automatisieren kann, und bei so vielen Azubiprojekten wie möglich Sicherheits-/Konfigurationsfehler berücksichtigen. Wenn ich bisher eines gelernt habe, dann ist es das: Wenn etwas nicht klappt, schau in die Logs!

Patrick Dolinic
Patrick Dolinic
Junior Consultant

Nachdem Patrick sein Psychologiestudium abgeschlossen hat, ist er 2020 zu NETWAYS, wo er nun sein Hobby zum Beruf macht: Endlich kann er sich voll und ganz der Linux-Welt widmen und sein Faible für Computersicherheit ausleben. Wenn er nicht gerade arbeitet, arbeitet oder zockt er. Nebenbei versucht er beim Joggen 8 km zu reißen, schafft aktuell aber nicht mal die ersten 7.

Squid 4 Proxy mit LDAP & MITM SSL-Bump

Im Zuge meiner Ausbildung bei NETWAYS durfte ich mich diese Woche mit Squid auseinandersetzen. Dabei merkte ich, dass man sich bezüglich LDAP & SSL-BUMP wirklich nur auf die offiziellen Squid Dokus und die Red Hat Dokus verlassen konnte.

Squid ist ein Caching Proxy für Web Seiten das HTTP, HTTPS, FTP und vieles mehr unterstützt. Es reduziert Bandbreite und verbessert Aufrufzeiten. Dabei kann es den effektiven Netzwerkdurchsatz verbessern.

  • Es ermöglicht Caching und Verteilung.
  • Es erlaubt Content Filtering.
  • Es unterstützt LDAP-Anbindung für die Authentifizierung.
  • Es kann als transparent / MITM Proxy genutzt werden.

 

 

Ubuntu 20.04.01 Server: Die für SSL Bump benötigten Kompilerflags lauten --enable-ssl-crtd & --with-openssl. Aktuell ist Squid in Version 4 mit diesen Flags in den Ubuntu-Server-Repos nicht vorkompiliert, sodass man man sich Squid praktisch selbst damit bauen muss. Ob die Flags aktiv sind kann man folgendermaßen checken:

$ squid -v | grep ssl

CentOS 8: Unter CentOS kommt Squid direkt mit SSL-Bump vorkompiliert.

  • Der folgende Artikel basiert auf Squid Version 4.4 unter CentOS 8.

 

Vorab-Konfiguration

  • Firewallregeln sollten Squid entsprechend angepasst werden.
$ sudo firewall-cmd --permanent --add-port=3128/tcp
$ sudo firewall-cmd --reload
  • Falls jemand sich wie ich noch nicht so sehr mit SELinux auskennt, empfiehlt es sich die SELinux Policies erstmal auf Permissive zu stellen. Dies geschieht in der /etc/selinux/config. Später nach erfolgreicher Installation sollte man sie wieder zurück auf Enforcing setzen.
SELINUX=permissive

LDAP

  • Das Root Zertifikat der Umgebung muss heruntergeladen, in den Zertifikatsordner des Squid Servers geschoben und aktualisiert werden damit LDAP signiert via TLS funktioniert.
$ sudo cp ROOT_ZERTIFIKAT.cer /etc/pki/ca-trust/
$ sudo update-ca-trust

Die auth_param Parameter sollten schon in der Konfigurationsdatei /etc/squid/squid.conf stehen und entsprechend aktiviert und vervollständigt werden.

  • Wichtig ist es exakt passend Base/Domain/Suchfilter und Server zu übergeben. Hilfreich hierzu sind die Man Page von basic_ldap_auth sowie ldapsearch.
  • Folgendes Beispiel basiert auf einer Microsoft Active-Directory Umgebung was an dem -f Suchparameter erkannt werden kann. Zwingend wichtig ist es hier das %s für den User mitzugeben.
Das –R Flag muss manchmal gesetzt werden um Referrals nicht zu folgen, da ansonsten mehrere Aufrufe stattfinden und Konflikte auslösen womit Squid LDAP verweigern wird.

 

auth_param basic program /usr/lib64/squid/basic_ldap_auth -b "dc=FIRST_DOMAIN,dc=SECOND_DOMAIN,dc=ROOT_DOMAIN"
-D "CN=LDAP/USERNAME,OU=SERVICEGROUP,OU=COMPANY,OU=NET,OU=COMPANY,DC=FIRST_DOMAIN,DC=SECOND_DOMAIN,DC=TOP_DOMAIN"
-w "password" -f "(&(objectCategory=Person)(samAccountName=%s))" -R -H ldaps://FIRST_DOMAIN.SECOND_DOMAIN.TOP_DOMAIN:636
auth_param basic children 5
auth_param basic realm Hi this is your Squid Proxy speaking
auth_param basic credentialsttl 5 minutes
#Falls die LDAP Authentifizierung nicht durching,HTTP Traffic sperren.
acl ldap-auth proxy_auth REQUIRED
http_access deny !ldap-auth

 

  • Jetzt braucht Squid noch einen Neustart
$ sudo systemctl restart squid
  • Innerhalb weniger Sekunden sollte die LDAP/AD Passwortabfrage kommen.

 

read more…

Patrick Dolinic
Patrick Dolinic
Junior Consultant

Nachdem Patrick sein Psychologiestudium abgeschlossen hat, ist er 2020 zu NETWAYS, wo er nun sein Hobby zum Beruf macht: Endlich kann er sich voll und ganz der Linux-Welt widmen und sein Faible für Computersicherheit ausleben. Wenn er nicht gerade arbeitet, arbeitet oder zockt er. Nebenbei versucht er beim Joggen 8 km zu reißen, schafft aktuell aber nicht mal die ersten 7.

Veranstaltungen

Wed 20

Icinga 2 Advanced Training (englisch class) | Online

January 19 @ 09:00 - January 21 @ 17:00
Feb 02

Elastic Stack Training | Online

February 2 @ 09:00 - February 4 @ 17:00
Feb 10

GitLab Fundamentals Training | Online

February 10 @ 09:00 - February 11 @ 17:00
Feb 23

Terraform mit OpenStack Training | Online

February 23 @ 09:00 - February 24 @ 17:00
Feb 23

Fundamentals for Puppet | Online

February 23 @ 09:00 - February 25 @ 17:00