Thread name: "Re: [Gutl-l] Incrementar la seguridad en el Proxy(Squid) [1/2Solucion]" Mail number: 11 Date: Tue, Apr 07, 2015 In reply to: Michael González Medina > > El 07/04/15 a las 16:56, Michael González Medina escribió: > >El 07/04/15 a las 16:48, Carlos R Laguna escribió: > >>El 07/04/15 a las 16:06, ERNESTO TUR LAURENCIO escribió: > >>>Como bien dices la idea de blindar más aún las conexiones > >>>mediante el uso de SSL es una, lo que ya sabes que vas a > >>>sacrificar velocidad de acceso por nivel de cifrado. > >>> > >>>Mientras no aparezca la indicada, goza con la equivocada. > >>> > >>>Salu2 > >>> > >>>-----Mensaje original----- > >>>De: gutl-l-boun...@jovenclub.cu > >>>[mailto:gutl-l-boun...@jovenclub.cu] En nombre de Michael > >>>González Medina > >>>Enviado el: martes, 07 de abril de 2015 02:39 p.m. > >>>Para: Lista cubana de soporte tecnico en Tecnologias Libres > >>>Asunto: [Gutl-l] Incrementar la seguridad en el Proxy(Squid) > >>> > >>>Buenas tardes: > >>> > >>>Antes que nada aclarar, que, cuando me refiero a seguridad en > >>>el Proxy(Squid), estoy hablando de, la comunicación entre el > >>>cliente y el servidor. Este tema se ha tocado varias veces y > >>>existen otras variantes(como el Kerberos, LDAP, helpers del > >>>Squid hechos para esto, > >>>etc) pero... siempre hay un pero... existen > >>>holgazanes/vagos/paranoicos como yo, a los que estas > >>>soluciones les resulta un tanto engorrosas o... > >>>no compatible por filosofía etc... > >>> > >>>En fin, que buscando y probando, he logrado el tópico de este > >>>correo pero, sin usar ninguna de las soluciones anteriores > >>>sino, una un poco mas sencilla, pero que por ello, no deja de > >>>ser válida, cual...: > >>> > >>>Web Proxy Autodiscovery Protocol(WPAD) sobre SSL > >>> > >>>me explico: > >>> > >>>Mediante el queridísimo servidor de páginas web Apache, > >>>montamos un Virtualhost(mencionar aquí *muy importante* que se > >>>le debe habilitar el soporte para SSL lo cual es crítico en > >>>este caso[lo explico mas adelante]), en este, ponemos el > >>>script "proxy.pac" (que es el que contiene la información del > >>>proxy), luego en los clientes(es decir en los > >>>navegadores[Firefox]) configuramos la red como "configuración > >>>automática del proxy" y le ponemos la url del Virtualhost, y > >>>listo! > >>> > >>>La diferencia del método tradicional (sin soporte para SSL) > >>>es... que... > >>>mientras, en el método anterior, si se conecta un > >>>sniffer(hablo de sniffer porque es lo mas común para > >>>monitorear redes en busca de datos > >>>etc..) y se monitorean las conexiones, se podían obtener datos > >>>relevantes en cuanto a user/pass etc.. sin embargo, al estar > >>>comunicándose sobre SSL el sniffer no puede ver con la misma > >>>facilidad dichos datos, por lo que, sí, creo que ahora la > >>>comunicación entre cliente-servidor es un tanto más segura, > >>> > >>>saludos, > >>> > >>>PD: Se aceptan críticas/debates , dale Lázaro, "pichea" que yo > >>>se que este tema te encanta. > >>> > >>> > >>> > >>> > >>>______________________________________________________________________ > >>>Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > >>>Gutl-l@jovenclub.cu > >>>https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l > >>Tus opciones son, Kerberos > >>SSL, Firefox y Chrome lo soportan aunque no esta muy documentado. > >> > >> > >cierto Carlos, lo que pasa es que no me quiero enredar ni con > >Kerberos ni con LDAP para autenticar usuarios de un proxy, de > >cualquier forma, muchas gracias por tu respuesta. > > > >Por ejemplo, estoy "sniffeando" el esquema el digest y hasta > >ahora... no veo el texto plano con el user y pass, así que.... > >pudiera(dejame cruzar los dedos.... ;-) ) ser una opción, > > > >saludos, > > > Bueno vamos mejorando, ya me he cansado de "sniffear" el trafico de > datos entre cliente y servidor para autenticar en el Proxy y no > aparece el texto plano por ninguna parte, en cambio el metodo digest > usa nuevos campos como el nonce y el cnonce donde al parecer viajan > encriptados los datos del password(el campo user sigue siendo plano) > pero bueno, ya creo que ahora si, esta un pelin mas seguro, > > saludos, > > PD: No obstante sigo a la busqueda de perfeccionar esto hasta donde > sea posible.
En digest, el servidor del lado de hallá, almacena el password cifrado y el cliente le envía dicho password cifrado, el servidor lo compara con el que tiene almacenado y lo mache. Lo cual no es muy diferente de si yo te intercepto el password y te lo mando cifrado :D sin importarme cual sea este xD -- -------- Warning! ------------ 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. A continuación, la firma de una herramienta inútil: -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que est� limpio.
______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l