El 07/04/15 a las 15:36, låzaro escribió:
La mala noticia es que no lograste conseguir nada...
El tráfico entre tu proxy y los clientes sigue PLANITO Planito
planito. Por tanto, hasta con tcpdump en modo promiscuo le bajan los
pantalones a tu Proxy.
Sí, seeeeee, el wpad se coge por SSL (ssl que no es válido, Cuba)
ooooooh, que lindo
Pero el tráfico sigue PLANO
Lamento aseverar que:
"no hiciste nada"
Yo estoy viendo como puedo hacer lo mismo que hace Nauta. La página
que te pide los datos.
Estuve husmeando la del hotel vedado pero no llegué a ninguna
conclusión.
Thread name: "[Gutl-l] Incrementar la seguridad en el Proxy(Squid)"
Mail number: 1
Date: Tue, Apr 07, 2015
In reply to: Michael González Medina
Buenas tardes:
Antes que nada aclarar, que, cuando me refiero a seguridad en el
Proxy(Squid), estoy hablando de, la comunicación entre el cliente y
el servidor. Este tema se ha tocado varias veces y existen otras
variantes(como el Kerberos, LDAP, helpers del Squid hechos para
esto, etc) pero... siempre hay un pero... existen
holgazanes/vagos/paranoicos como yo, a los que estas soluciones les
resulta un tanto engorrosas o... no compatible por filosofía etc...
No hace mucho alguien me dijo que usar autenticación digest, resolvía
el problema. A ese alguien, que no puedo adjetivar porque es de la FAR
y suele leer esto; le respondí que al interceptar tráfico, bastaría
con coger el tabaco digest producto de la autenticación y replicarlo
en el servidor, para que el supuesto método infalible fallase.
La única opción es SSL. Por suerte squid3 presume de soporte SSL, pero
lamentablemente los navegadores NO. O sea, no hablan SSL con el proxy.
Me parece que lo único que te queda por hacer, es algo como lo que
hace nauta...
En fin, que buscando y probando, he logrado el tópico de este correo
pero, sin usar ninguna de las soluciones anteriores sino, una un
poco mas sencilla, pero que por ello, no deja de ser válida,
cual...:
Web Proxy Autodiscovery Protocol(WPAD) sobre SSL
me explico:
Mediante el queridísimo servidor de páginas web Apache, montamos un
Virtualhost(mencionar aquí *muy importante* que se le debe habilitar
el soporte para SSL lo cual es crítico en este caso[lo explico mas
adelante]), en este, ponemos el script "proxy.pac" (que es el que
contiene la información del proxy), luego en los clientes(es decir
en los navegadores[Firefox]) configuramos la red como "configuración
automática del proxy" y le ponemos la url del Virtualhost, y listo!
La diferencia del método tradicional (sin soporte para SSL) es...
que... mientras, en el método anterior, si se conecta un
sniffer(hablo de sniffer porque es lo mas común para monitorear
redes en busca de datos etc..) y se monitorean las conexiones, se
podían obtener datos relevantes en cuanto a user/pass etc.. sin
embargo, al estar comunicándose sobre SSL el sniffer no puede ver
con la misma facilidad dichos datos, por lo que, sí, creo que ahora
la comunicación entre cliente-servidor es un tanto más segura,
saludos,
PD: Se aceptan críticas/debates , dale Lázaro, "pichea" que yo se
que este tema te encanta.
totalmente cierto, acabo de comprobarlo.... nada, continuo buscando
opciones,
saludos,
--
Michael González Medina
Administrador de Red
Centro Nacional de Sanidad Vegetal
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
