La mala noticia es que no lograste conseguir nada...
El tráfico entre tu proxy y los clientes sigue PLANITO Planito
planito. Por tanto, hasta con tcpdump en modo promiscuo le bajan los
pantalones a tu Proxy.
Sí, seeeeee, el wpad se coge por SSL (ssl que no es válido, Cuba)
ooooooh, que lindo
Pero el tráfico sigue PLANO
Lamento aseverar que:
"no hiciste nada"
Yo estoy viendo como puedo hacer lo mismo que hace Nauta. La página
que te pide los datos.
Estuve husmeando la del hotel vedado pero no llegué a ninguna
conclusión.
Thread name: "[Gutl-l] Incrementar la seguridad en el Proxy(Squid)"
Mail number: 1
Date: Tue, Apr 07, 2015
In reply to: Michael González Medina
>
> Buenas tardes:
>
> Antes que nada aclarar, que, cuando me refiero a seguridad en el
> Proxy(Squid), estoy hablando de, la comunicación entre el cliente y
> el servidor. Este tema se ha tocado varias veces y existen otras
> variantes(como el Kerberos, LDAP, helpers del Squid hechos para
> esto, etc) pero... siempre hay un pero... existen
> holgazanes/vagos/paranoicos como yo, a los que estas soluciones les
> resulta un tanto engorrosas o... no compatible por filosofía etc...
No hace mucho alguien me dijo que usar autenticación digest, resolvía
el problema. A ese alguien, que no puedo adjetivar porque es de la FAR
y suele leer esto; le respondí que al interceptar tráfico, bastaría
con coger el tabaco digest producto de la autenticación y replicarlo
en el servidor, para que el supuesto método infalible fallase.
La única opción es SSL. Por suerte squid3 presume de soporte SSL, pero
lamentablemente los navegadores NO. O sea, no hablan SSL con el proxy.
Me parece que lo único que te queda por hacer, es algo como lo que
hace nauta...
> En fin, que buscando y probando, he logrado el tópico de este correo
> pero, sin usar ninguna de las soluciones anteriores sino, una un
> poco mas sencilla, pero que por ello, no deja de ser válida,
> cual...:
>
> Web Proxy Autodiscovery Protocol(WPAD) sobre SSL
>
> me explico:
>
> Mediante el queridísimo servidor de páginas web Apache, montamos un
> Virtualhost(mencionar aquí *muy importante* que se le debe habilitar
> el soporte para SSL lo cual es crítico en este caso[lo explico mas
> adelante]), en este, ponemos el script "proxy.pac" (que es el que
> contiene la información del proxy), luego en los clientes(es decir
> en los navegadores[Firefox]) configuramos la red como "configuración
> automática del proxy" y le ponemos la url del Virtualhost, y listo!
>
> La diferencia del método tradicional (sin soporte para SSL) es...
> que... mientras, en el método anterior, si se conecta un
> sniffer(hablo de sniffer porque es lo mas común para monitorear
> redes en busca de datos etc..) y se monitorean las conexiones, se
> podían obtener datos relevantes en cuanto a user/pass etc.. sin
> embargo, al estar comunicándose sobre SSL el sniffer no puede ver
> con la misma facilidad dichos datos, por lo que, sí, creo que ahora
> la comunicación entre cliente-servidor es un tanto más segura,
>
> saludos,
>
> PD: Se aceptan críticas/debates , dale Lázaro, "pichea" que yo se
> que este tema te encanta.
--
-------- Warning! ------------
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.
A continuación, la firma de una herramienta inútil:
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
