Re: анонимайзеры и выход в инет - есть выход?
21.04.2009 21:45, Murat D. Kadirov пишет: 21:37 Tue 21 Apr, Alexander GQ Gerasiov wrote: Когда к нам приходит коннект, мы смотрим, куда он направлен (до ната/редиректа), подключаемся к удаленному узлу, получаем с него сертификат, выдираем оттуда subject, вставляем в свой сертификат-заготовку, подписываем его локальным CA, после чего заворачиваем TCP сессию клиента на наш локальный прокси с заданным сертификатом. Клиент ни о чем не догадывается. Можно еще локальный CA назвать VeryVerySign. Для правдоподобности. Естественно, что всё это прокатывает только с подконтрольной сетью, где мы можем внедрить свои сертификаты. У остальных пользователей будет выскакивать Unknown CA. Мм.. это вроде последняя демонстрация нападения на сертификаты не помню кто демонитрировал на какой-то конфе по безопасносте с месяц тому назад, не? Последняя - это скорее всего более сложный вариант, основанный на найденной возможности довольно быстро находить/строить коллизии в md5 и, соответственно, сделать поддельный сертификат, который будет валиден с точки зрения любого браузера без внедрения своего CA. Но это уже даже близко не реалтаймовый путь, да и работает только с теми кто еще использует md5. -- With MBR Max CCSA/CCSE -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: анонимайзеры и выход в инет - есть выход?
21.04.2009 20:15, Alexander GQ Gerasiov пишет: Tue, 21 Apr 2009 13:50:30 +0300 Peter Pentchev r...@ringlet.net wrote: On Tue, Apr 21, 2009 at 01:57:30PM +0400, Sapytsky Ilya wrote: я сюда написАл сюда от того, что мне надоело тратить час в день на эту фигню... Что бы не делал, не остановишь достаточно умных людей, у которых есть внешний сервак и которые знают как поставить stunnel + dante. Порт 443 не заблокируешь, так stunnel и на порте 443 может работать как front-end для dante. Порт 443 можно терминировать на локальный прокси с автогенерируемым сертификатом, подписанным CA, стоящим на всех машинах в офисе. Гемморойно, но технически вполне реализуемо. Более того, кто-то из вендоров такую железку делал. То ли Cisco, то ли Juniper. Aladdin еще с их webssl вспоминается. Это, кстати, вполне себе еще один повод не считать https панацеей. Это если не смотреть на сертификат сервера. Правда в случае наличия правильного CA смотреть будут далеко не все. Но эти же люди и так жалуются на FF3 что он их что-то спрашивать начал при посещении сайтов с самоподписанными сертификатами ли сертификатами от неизвестных CA. -- With MBR Max CCSA/CCSE -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
анонимайзеры и выход в инет - есть выход?
Добрый день! Есть ли где в инете список анонимных прокси и анонимайзеров? Расказываю ситуацию: есть контора, в которой доступ к вебу через прокси. Банерорезку использую squirm и есть немалый файл с запретами. Появились умные люди, которые обходят запрет и ходят везде. есть ли где пополняемый список анонимайзеров, ну порносайтов, банеров для запретов? Административные меры есть, но пока применять их не охота, ибо пока не очень достают... Спасибо!
Re: анонимайзеры и выход в инет - есть выход?
On Tue, Apr 21, 2009 at 01:57:30PM +0400, Sapytsky Ilya wrote: я сюда написАл сюда от того, что мне надоело тратить час в день на эту фигню... Что бы не делал, не остановишь достаточно умных людей, у которых есть внешний сервак и которые знают как поставить stunnel + dante. Порт 443 не заблокируешь, так stunnel и на порте 443 может работать как front-end для dante. Всего лучшего, Петр -- Peter Pentchev r...@ringlet.netr...@space.bgr...@freebsd.org PGP key:http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 The rest of this sentence is written in Thailand, on pgpx6MfL83EhB.pgp Description: PGP signature
Re: анонимайзеры и выход в инет - есть выход?
Peter Pentchev пишет: On Tue, Apr 21, 2009 at 01:57:30PM +0400, Sapytsky Ilya wrote: я сюда написАл сюда от того, что мне надоело тратить час в день на эту фигню... Что бы не делал, не остановишь достаточно умных людей, у которых есть внешний сервак и которые знают как поставить stunnel + dante. Порт 443 не заблокируешь, так stunnel и на порте 443 может работать как front-end для dante. Такие люди не будут отсиживать 40 часов в неделю на работе за халявным интернетом. -- -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: анонимайзеры и выход в инет - есть выход?
В Втр, 21/04/2009 в 12:59 +0400, Sapytsky Ilya пишет: Добрый день! Есть ли где в инете список анонимных прокси и анонимайзеров? Расказываю ситуацию: есть контора, в которой доступ к вебу через прокси. Банерорезку использую squirm и есть немалый файл с запретами. Появились умные люди, которые обходят запрет и ходят везде. есть ли где пополняемый список анонимайзеров, ну порносайтов, банеров для запретов? Административные меры есть, но пока применять их не охота, ибо пока не очень достают... Если начальство установило лимит на трафик, может логичнее посылать пользователя к начальству с рапортом об увеличении месячного лимита и обьяснением почему лимита не хватает? С приложением распечатки статистики интернетхождений? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
