Squidのセキュリティ

Back

 公開プロキシ(HTTPアクセラレーター実験)にしたときに踏み台にされた話。
それまでクローズドな設定のsquid.confから、ひろいもの知識で公開サーバー設定に書き換えた時に思いきり穴があった。

acl SSL_ports port 443 563
http_access deny CONNECT !SSL_ports


 このルールを入れてなかったため、ばかばかとAOLプロクシ辺りからSSLコネクトでスパムメールの嵐がやってきたときに、ちょいの間スパム中継してしまった(はぢ)。公開Squidでこのルールをいれることは当たり前のようで、入れなかった場合の危険性についてはどこにも載っていなかったのであった、、、まったく素人は何するかわかりませんな(ぉ。
 よくある「スパムリレー試験CGI」等のチェックではこのSSLコネクトのテストはしてくれないようで、穴があることに気が付かなかった。

 ともあれ、この時思ったのは公開Squidで狙われるスパムリレーの種類がおおまかにわかっていたらよかったなぁ、ということ。結局のところ、25 80 8080 等のポートから普通にアクセスしてくるものはpop before smtpで排除、SSLコネクトは別で上記のルールで排除、ということのようである。

 いじりたがりの人は気をつけませう(私だけかもしれないけど)。



2003 7/22 updated / C's gallery OS X Tips