El Wed, 21 Apr 2010 12:13:09 -0300 Federico Alberto Sayd <[email protected]> escribió: > Federico Alberto Sayd escribió: > > William Alexander Brito Viñas escribió: > >> SITUACIÓN ACTUAL: > >> 1- Debian Leny + Squid 3.0 (transparente, puerto 3128) <redirigido > >> todo el trafico del puerto 80 al 3128> > >> 2- Cantidad de usuarios navegando a traves del proxy: desconocida. > >> > >> OBJETIVOS: > >> 1- Tener los logs de squid completos para su analisis. > >> 2- Utilizar ACL para potencialmente controlar el acceso. > >> > >> PROBLEMA: > >> 1- Páginas HTTPS (puerto 443). > >> SOLUCIONES: > >> 1- Bajar y compilar squid con soporte para SSL y redirigir con > >> iptables el trafico del 443 hacia el 3128. > >> Duda: Antes de hacerlo, en una busqueda encuentro con que > >> existen infinidad de paginas donde manifiestan que no es posible > >> utilizar un proxy transparente en conexiones SSL. > >> http://www.faqs.org/docs/Linux-mini/TransparentProxy.html por > >> ejemplo, es una de estas paginas. ¿Esto significaría que compilar > >> squid no me resolvería nada? Aclaro que estoy tratando de evitar > >> esta solucion en la medida de lo posible. > >> > >> 2- Renunciar a proxy transparente y redirigir todo el trafico > >> saliente --dport 80 hacia un web server con una sola pagina en la > >> que indique a los usuarios como configurar opera, firefox, > >> ie8....o lo que sea para que usen el proxy. > >> Duda: los usuarios que tengan configurada su pagina de inicio > >> por ejemplo al login de yahoo no veran esa página, ademas algunos > >> de estos usuarios (generalmente los que se conectan via wireless a > >> la red) despues se conectan a otras redes (las de sus casas, etc) > >> si ya es un problema explicarles como se configura un navegador > >> para que use un proxy este otro inconveniente es serio ya que en > >> esas otras locaciones, comumente no solo ellos son usarios del > >> equipo. > >> > >> 3- Enmascarar el trafico del puerto 443 hacia afuera. > >> Duda: Esto es lo que hago ahora y como tal no satisface > >> ninguno de los dos objetivos. > >> > >> LA PREGUNTA: > >> ¿Qué otra "alternativa de solucion" se le puede dar esta situacion > >> que por lo demas no debe ser muy fuera de lo común y que satisfaga > >> ambos objetivos? > >> > >> A todos GRACIAS MUCHAS por su tiempo. > >> > >> > >> > >> ------------------------------------------------------------------------ > >> Connect to the next generation of MSN Messenger Get it now! > >> <http://imagine-msn.com/messenger/launch80/default.aspx?locale=en-us&source=wlmailtagline> > >> > >> > > Mirate la directiva ssl_bump de Squid. > > > > Yo tampoco sabía que ya había soporte para SSL en Squid 3 mirando > > un poco vi que se le llama squid-in-the-middle y significa que en > > vez de ver los certificados de los sitios seguros a los que te > > conectas, recibes el certificado de squid y por lo tanto lo tienes > > que aceptar. Squid es el que se encarga de verificar el certificado > > del sitio al que te conectas, y establecer el canal seguro, pero > > puede pasar que el certificado no sea valido o sea autofirmado, > > allí tienes que empezar a poner acl's para indicar como debe > > comportarse squid. Ten en cuenta que si lo configuras mal puede > > suponer un riesgo de seguridad. > > > > Saludos > > > > > > > Me olvidé de algunos links: > > http://www.eu.squid-cache.org/mail-archive/squid-users/200910/0125.html > > http://wiki.squid-cache.org/Features/SslBump > > Saludos > > > > Pero así el proxy desencriptaría la transmisión y la volvería a encriptar, no? Es decir, que si por un casual logran entrar en tu proxy, pueden ver todo el tráfico, incluido contraseñas de bancos, documentación personal, etc O lo estoy entendiendo yo mal?
-- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
