Re: [FUG-BR] Conexão Browser - Proxy com Criptografi a
Em 12 de fevereiro de 2010 19:58, Adiel adiel.netad...@gmail.com escreveu: Mauricio, boa noite. Você pode experimentar tambem usar uma placa aceleradora de criptografia rodando em cima do OpenBSD . http://www.openbsd.org/crypto.html Em 12 de fevereiro de 2010 20:38, Mauricio Rabello Silva mauri...@bsd.com.br escreveu: Ola Adiel, Vou dar uma pesquisada nesta solução.. Não precisa migrar pro Open, o FreeBSD também suporta várias placas de criptografia atravéz do módulo cryptodev (dê uma olhada na manpage dele), e sim criptografia é grande sugadora de CPU. Quanto mais forte mais vai pesar, penso que você já deveria colocar uma quarta máquina nesse pool de proxies, e aproveite que CPU tá barato hoje em dia e coloque um quad-core. --- Nilson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Conexão Browser - Proxy com Criptografi a
On Feb 12, 2010, at 7:04 PM, Mauricio Rabello Silva wrote: Ola Pessoal, Estou com uma duvida do que é melhor implantar, Pois hoje a nossa rede funciona da seguinte maneira: Temos alguns servidores proxys, autenticado via ldap, e todo a conexão entre os proxy e os clientes passa em texto puro. Estamos estudando uma solução para que a conexão entre os clientes e os proxys seja autenticada. Já testamos o Stunnel, mas achamos que o desempenho cai muito. e não colocamos em produção. Agora estou testando o proxy via https_port, com ssl, Mas estou com dificuldade em fazer o browser negociar o certificado com o servidor proxy [Squid], Vi também soluções com o squid sslbump e também com sasl, mas ainda não cheguei a testar. Gostaria de saber se alguem utiliza alguma solução para este caso? Se a performance cai muito para criptografia? Alguem tem material, sobre a uma possivel solução? Vale lembrar que a rede onde eu trabalho, são 70 mil usuários, em 3 servidores, e cada servidor fica em media com 1000 conexões tcp, abertas. Mauricio, Primeira pergunta... https na rede interna pra que ? Nesse tamanho de rede imagino que você utilize switchs e assim é impossível que um usuário capture o trafego de outra porta (sem ter acesso ao gerenciamento do switch). Se você não esta utilizando proxy transparente (e sim socks), as conexões https dos clientes _são_ seguras e você não tem com o que se preocupar. Segundo li na documentação essa opção é utilizada quando você faz proxy reverso (proxy para seus servidores www) e assim você pode instalar o(s) certificado(s) do(s) seu(s) site(s) no squid ao invés de faze-lo no servidor http. Se o squid preve apenas esse tipo de utilização, não tenho certeza se vai funcionar da maneira que você quer... De qualquer maneira, você precisaria de um certificado válido para o browser reconhecer o certificado do squid sem reclamar (você também pode gerar os certificados para uso interno no openssl, procure a documentação a respeito). Att., Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Conexão Browser - Proxy com Criptografi a
Ola Pessoal, Estou com uma duvida do que é melhor implantar, Pois hoje a nossa rede funciona da seguinte maneira: Temos alguns servidores proxys, autenticado via ldap, e todo a conexão entre os proxy e os clientes passa em texto puro. Estamos estudando uma solução para que a conexão entre os clientes e os proxys seja autenticada. Já testamos o Stunnel, mas achamos que o desempenho cai muito. e não colocamos em produção. Agora estou testando o proxy via https_port, com ssl, Mas estou com dificuldade em fazer o browser negociar o certificado com o servidor proxy [Squid], Vi também soluções com o squid sslbump e também com sasl, mas ainda não cheguei a testar. Gostaria de saber se alguem utiliza alguma solução para este caso? Se a performance cai muito para criptografia? Alguem tem material, sobre a uma possivel solução? Vale lembrar que a rede onde eu trabalho, são 70 mil usuários, em 3 servidores, e cada servidor fica em media com 1000 conexões tcp, abertas. -- -- Mauricio Rabello Silva Analista de Redes Natal-RN - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Conexão Browser - Proxy com Criptografi a
Mauricio, boa noite. Você pode experimentar tambem usar uma placa aceleradora de criptografia rodando em cima do OpenBSD . http://www.openbsd.org/crypto.html -- Adiel de Lima http://www.4itsolutions.com.br/ Experimente Open Source !! http://www.debian.com/ http://www.freebsd.org/ http://www.openoffice.org/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Conexão Browser - Proxy com Criptografi a
O grande problema é que estes proxys estão sempre com load alto.. Em 12 de fevereiro de 2010 18:20, irado furioso com tudo ir...@bsd.com.brescreveu: Em Fri, 12 Feb 2010 18:04:49 -0300 Mauricio Rabello Silva mauri...@bsd.com.br, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Se a performance cai muito para criptografia? depende muito de seu hardware. Toda cripto usa intensivamente CPU e ram, pouca ram e cpu lerda causarão problemas, aumentando dependendo da demanda. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Se 5 bilhões de pessoas acreditam em uma coisa estúpida, essa coisa continua sendo estúpida Anatole France - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Mauricio Rabello Silva Analista de Redes Natal-RN Atenciosamente, -- -- Maurício Rabello Analista de Redes - Setor de Redes e Internet Universidade Potiguar Laureate International Universities Ramal 1250 - 1274 As informações contidas nesta mensagem são CONFIDENCIAIS, protegidas pelo sigilo legal e por direitos autorais. A divulgação, distribuição, reprodução ou qualquer forma de utilização do teor deste documento depende de autorização do emissor, sujeitando-se o infrator às sanções legais.O emissor desta mensagem utiliza o recurso somente no exercício do seu trabalho ou em razão dele, eximindo-se o empregador de qualquer responsabilidade por utilização indevida ou pessoal. Caso esta comunicação tenha sido recebida por engano, favor avisar imediatamente, respondendo esta mensagem. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Conexão Browser - Proxy com Criptografi a
Ola Adiel, Vou dar uma pesquisada nesta solução.. Em 12 de fevereiro de 2010 18:58, Adiel adiel.netad...@gmail.com escreveu: Mauricio, boa noite. Você pode experimentar tambem usar uma placa aceleradora de criptografia rodando em cima do OpenBSD . http://www.openbsd.org/crypto.html -- Adiel de Lima http://www.4itsolutions.com.br/ Experimente Open Source !! http://www.debian.com/ http://www.freebsd.org/ http://www.openoffice.org/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Mauricio Rabello Silva Analista de Redes Natal-RN Atenciosamente, -- -- Maurício Rabello Analista de Redes - Setor de Redes e Internet Universidade Potiguar Laureate International Universities Ramal 1250 - 1274 As informações contidas nesta mensagem são CONFIDENCIAIS, protegidas pelo sigilo legal e por direitos autorais. A divulgação, distribuição, reprodução ou qualquer forma de utilização do teor deste documento depende de autorização do emissor, sujeitando-se o infrator às sanções legais.O emissor desta mensagem utiliza o recurso somente no exercício do seu trabalho ou em razão dele, eximindo-se o empregador de qualquer responsabilidade por utilização indevida ou pessoal. Caso esta comunicação tenha sido recebida por engano, favor avisar imediatamente, respondendo esta mensagem. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd