ProHoster > Blog > vaovao amin'ny Internet > Famoahana maharitra ny mpizara proxy Squid 5

Famoahana maharitra ny mpizara proxy Squid 5

Taorian'ny fampandrosoana telo taona, dia naseho ny famoahana tsy tapaka ny mpizara proxy Squid 5.1, vonona hampiasaina amin'ny rafitra famokarana (ny famoahana 5.0.x dia manana ny satan'ny version beta). Rehefa nomena ny sampana 5.x ny toeran'ny stable, manomboka izao dia ny famahana ny vulnerabilities sy ny olana momba ny fahamarinan-toerana ihany no hatao ao, ary azo atao ihany koa ny fanatsarana kely. Ny famolavolana endri-javatra vaovao dia hatao ao amin'ny sampana andrana vaovao 6.0. Ireo mpampiasa ny sampana 4.x stable teo aloha dia asaina mikasa hifindra any amin'ny sampana 5.x.

Fanavaozana lehibe ao amin'ny Squid 5:

  • Ny fampiharana ny ICAP (Internet Content Adaptation Protocol), ampiasaina amin'ny fampidirana amin'ny rafitra fanamarinana votoaty ivelany, dia nanampy fanohanana ho an'ny rafitra fametahana data (trailer), izay ahafahanao mametaka lohapejy fanampiny misy metadata amin'ny valiny, napetraka aorian'ny hafatra. vatana (ohatra, azonao atao ny mandefa checksum sy ny antsipiriany momba ny olana hita).
  • Rehefa mamindra fangatahana dia ampiasaina ny algorithm "Happy Eyeballs", izay mampiasa avy hatrany ny adiresy IP voaray tsy miandry ny adiresy IPv4 sy IPv6 rehetra mety ho azo ampiasaina mba hamahana azy. Raha tokony hampiasa ny fikirana "dns_v4_first" mba hamaritana ny filaharan'ny fampiasana ny fianakaviana adiresy IPv4 na IPv6, dia raisina an-tsaina izao ny filaharan'ny valintenin'ny DNS: raha toa ka, eo am-piandrasana ny famahana azy, adiresy IP Raha voaray ny valiny DNS AAAA voalohany, dia hampiasaina ny adiresy IPv6 vokatr'izany. Noho izany, ny fanamboarana ny fianakaviana adiresy tiana dia atao amin'ny ambaratonga firewall, DNS, na fanombohana amin'ny alàlan'ny safidy "--disable-ipv6". Ity fanovana natolotra ity dia manatsara ny fotoana fametrahana fifandraisana TCP ary mampihena ny fiantraikan'ny fahatarana amin'ny famahana ny DNS amin'ny fahombiazana.
  • Raha ampiasaina amin'ny torolàlana "external_acl", dia nampiana ny mpitantana "ext_kerberos_sid_group_acl" ho fanamarinana miaraka amin'ny fanamarinana vondrona ao amin'ny Active Directory mampiasa Kerberos. Raha manontany ny anaran'ny vondrona dia ampiasao ny ldapsearch utility omen'ny fonosana OpenLDAP.
  • Ny fanohanana ny endrika Berkeley DB dia tsy ampiasaina noho ny olana momba ny fahazoan-dàlana. Ny sampana Berkeley DB 5.x dia tsy nokarakaraina nandritra ny taona maro ary mijanona amin'ny vulnerabilities tsy voafehy, ary ny fifindrana mankany amin'ny famoahana vaovao dia voasakana amin'ny alàlan'ny fanovana fahazoan-dàlana amin'ny AGPLv3, ny fepetra takiana amin'izany dia mihatra amin'ny fampiharana mampiasa BerkeleyDB amin'ny endrika tranomboky - Ny angisy dia omena eo ambanin'ny fahazoan-dàlana GPLv2, ary ny AGPL dia tsy mifanaraka amin'ny GPLv2. Raha tokony ho Berkeley DB, ny tetikasa dia nafindra tamin'ny fampiasana ny TrivialDB DBMS, izay, tsy toy ny Berkeley DB, dia natao ho an'ny fidirana mifanandrify amin'ny angon-drakitra. Ny fanohanan'ny Berkeley DB dia tazonina amin'izao fotoana izao, fa ny "ext_session_acl" sy ny "ext_time_quota_acl" dia manoro hevitra ny hampiasa ny karazana fitahirizana "libtdb" fa tsy "libdb".
  • Fanampiana fanampiny ho an'ny CDN-Loop HTTP lohapejy, voafaritra ao amin'ny RFC 8586, izay ahafahanao mahita tadivavarana rehefa mampiasa tambajotra fanaterana votoaty (ny lohapejy dia manome fiarovana amin'ny toe-javatra rehefa misy fangatahana eo amin'ny dingan'ny fanodinana eo anelanelan'ny CDN noho ny antony sasany miverina any amin'ny CDN tany am-boalohany, mamorona loop tsy misy farany).
  • Ny mekanika SSL-Bump, izay ahafahanao manakana ny votoatin'ny fivoriana HTTPS miafina, dia nanampy fanohanana amin'ny famerenana ny fangatahana HTTPS voasokajy (naverina) amin'ny alàlan'ny mpizara proxy hafa voatondro ao amin'ny cache_peer, mampiasa tonelina mahazatra mifototra amin'ny fomba HTTP CONNECT ( Tsy tohanana ny fandefasana amin'ny HTTPS, satria tsy mbola afaka mitondra TLS ao anatin'ny TLS i Squid). SSL-Bump dia ahafahanao mametraka fifandraisana TLS amin'ny mpizara kendrena rehefa nahazo ny fangatahana HTTPS voasakana voalohany ary mahazo ny taratasy fanamarinana. Aorian'izany, Squid dia mampiasa ny anaran'ny mpampiantrano avy amin'ny tena taratasy fanamarinana azo avy amin'ny mpizara ary mamorona taratasy fanamarinana dummy, izay maka tahaka ny mpizara nangatahana rehefa mifandray amin'ny mpanjifa, ary manohy mampiasa ny fifandraisana TLS napetraka amin'ny mpizara kendrena handraisana data ( mba tsy hitondran'ny fanoloana ny fampitandremana mivoaka amin'ny navigateur eo amin'ny lafiny mpanjifa, mila ampidirinao ao amin'ny magazay certificat root ny certificat ampiasainao hamoronana certificat foronina).
  • Nampiana torolalana mark_client_connection sy mark_client_pack hamatotra ny marika Netfilter (CONNMARK) amin'ny fifandraisana TCP mpanjifa na fonosana tsirairay.

Nafana tamin'ny ombelahin-tongony, navoaka ny famoahana ny Squid 5.2 sy Squid 4.17, izay nametrahana ireo vulnerabilities:

  • CVE-2021-28116 - Fitsidihana vaovao rehefa manodina hafatra WCCPv2 noforonina manokana. Ny vulnerability dia mamela ny mpanafika hanimba ny lisitry ny router WCCP fantatra ary hamindra ny fifamoivoizana avy amin'ny mpanjifa mpizara proxy mankany amin'ny mpampiantrano azy. Ny olana dia miseho amin'ny fanamafisana miaraka amin'ny fanohanan'ny WCCPv2 ihany ary rehefa azo atao ny mandroba ny adiresy IP an'ny router.
  • CVE-2021-41611 - Hadisoana amin'ny fanamarinana Taratasy fanamarinana TLS, mamela ny fidirana amin'ny fampiasana mari-pankasitrahana tsy azo itokisana.

Source: opennet.ru

Mividiana fampiantranoana azo antoka ho an'ny tranokala misy fiarovana DDoS, mpizara VPS VDS 🔥 Mividiana fampiantranoana tranonkala azo antoka miaraka amin'ny fiarovana DDoS, mpizara VPS VDS | ProHoster