Re: proxy transparente (squid 3) y SSL
William Alexander Brito Viñas escribió: SITUACIÓN ACTUAL: 1- Debian Leny + Squid 3.0 (transparente, puerto 3128) redirigido todo el trafico del puerto 80 al 3128 2- Cantidad de usuarios navegando a traves del proxy: desconocida. OBJETIVOS: 1- Tener los logs de squid completos para su analisis. 2- Utilizar ACL para potencialmente controlar el acceso. PROBLEMA: 1- Páginas HTTPS (puerto 443). SOLUCIONES: 1- Bajar y compilar squid con soporte para SSL y redirigir con iptables el trafico del 443 hacia el 3128. Duda: Antes de hacerlo, en una busqueda encuentro con que existen infinidad de paginas donde manifiestan que no es posible utilizar un proxy transparente en conexiones SSL. http://www.faqs.org/docs/Linux-mini/TransparentProxy.html por ejemplo, es una de estas paginas. ¿Esto significaría que compilar squid no me resolvería nada? Aclaro que estoy tratando de evitar esta solucion en la medida de lo posible. 2- Renunciar a proxy transparente y redirigir todo el trafico saliente --dport 80 hacia un web server con una sola pagina en la que indique a los usuarios como configurar opera, firefox, ie8o lo que sea para que usen el proxy. Duda: los usuarios que tengan configurada su pagina de inicio por ejemplo al login de yahoo no veran esa página, ademas algunos de estos usuarios (generalmente los que se conectan via wireless a la red) despues se conectan a otras redes (las de sus casas, etc) si ya es un problema explicarles como se configura un navegador para que use un proxy este otro inconveniente es serio ya que en esas otras locaciones, comumente no solo ellos son usarios del equipo. 3- Enmascarar el trafico del puerto 443 hacia afuera. Duda: Esto es lo que hago ahora y como tal no satisface ninguno de los dos objetivos. LA PREGUNTA: ¿Qué otra alternativa de solucion se le puede dar esta situacion que por lo demas no debe ser muy fuera de lo común y que satisfaga ambos objetivos? A todos GRACIAS MUCHAS por su tiempo. Connect to the next generation of MSN Messenger Get it now! http://imagine-msn.com/messenger/launch80/default.aspx?locale=en-ussource=wlmailtagline Mirate la directiva ssl_bump de Squid. Yo tampoco sabía que ya había soporte para SSL en Squid 3 mirando un poco vi que se le llama squid-in-the-middle y significa que en vez de ver los certificados de los sitios seguros a los que te conectas, recibes el certificado de squid y por lo tanto lo tienes que aceptar. Squid es el que se encarga de verificar el certificado del sitio al que te conectas, y establecer el canal seguro, pero puede pasar que el certificado no sea valido o sea autofirmado, allí tienes que empezar a poner acl's para indicar como debe comportarse squid. Ten en cuenta que si lo configuras mal puede suponer un riesgo de seguridad. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bcf155e.7040...@uncu.edu.ar
Re: proxy transparente (squid 3) y SSL
Federico Alberto Sayd escribió: William Alexander Brito Viñas escribió: SITUACIÓN ACTUAL: 1- Debian Leny + Squid 3.0 (transparente, puerto 3128) redirigido todo el trafico del puerto 80 al 3128 2- Cantidad de usuarios navegando a traves del proxy: desconocida. OBJETIVOS: 1- Tener los logs de squid completos para su analisis. 2- Utilizar ACL para potencialmente controlar el acceso. PROBLEMA: 1- Páginas HTTPS (puerto 443). SOLUCIONES: 1- Bajar y compilar squid con soporte para SSL y redirigir con iptables el trafico del 443 hacia el 3128. Duda: Antes de hacerlo, en una busqueda encuentro con que existen infinidad de paginas donde manifiestan que no es posible utilizar un proxy transparente en conexiones SSL. http://www.faqs.org/docs/Linux-mini/TransparentProxy.html por ejemplo, es una de estas paginas. ¿Esto significaría que compilar squid no me resolvería nada? Aclaro que estoy tratando de evitar esta solucion en la medida de lo posible. 2- Renunciar a proxy transparente y redirigir todo el trafico saliente --dport 80 hacia un web server con una sola pagina en la que indique a los usuarios como configurar opera, firefox, ie8o lo que sea para que usen el proxy. Duda: los usuarios que tengan configurada su pagina de inicio por ejemplo al login de yahoo no veran esa página, ademas algunos de estos usuarios (generalmente los que se conectan via wireless a la red) despues se conectan a otras redes (las de sus casas, etc) si ya es un problema explicarles como se configura un navegador para que use un proxy este otro inconveniente es serio ya que en esas otras locaciones, comumente no solo ellos son usarios del equipo. 3- Enmascarar el trafico del puerto 443 hacia afuera. Duda: Esto es lo que hago ahora y como tal no satisface ninguno de los dos objetivos. LA PREGUNTA: ¿Qué otra alternativa de solucion se le puede dar esta situacion que por lo demas no debe ser muy fuera de lo común y que satisfaga ambos objetivos? A todos GRACIAS MUCHAS por su tiempo. Connect to the next generation of MSN Messenger Get it now! http://imagine-msn.com/messenger/launch80/default.aspx?locale=en-ussource=wlmailtagline Mirate la directiva ssl_bump de Squid. Yo tampoco sabía que ya había soporte para SSL en Squid 3 mirando un poco vi que se le llama squid-in-the-middle y significa que en vez de ver los certificados de los sitios seguros a los que te conectas, recibes el certificado de squid y por lo tanto lo tienes que aceptar. Squid es el que se encarga de verificar el certificado del sitio al que te conectas, y establecer el canal seguro, pero puede pasar que el certificado no sea valido o sea autofirmado, allí tienes que empezar a poner acl's para indicar como debe comportarse squid. Ten en cuenta que si lo configuras mal puede suponer un riesgo de seguridad. Saludos Me olvidé de algunos links: http://www.eu.squid-cache.org/mail-archive/squid-users/200910/0125.html http://wiki.squid-cache.org/Features/SslBump Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bcf1605.5000...@uncu.edu.ar
Re: proxy transparente (squid 3) y SSL
El Wed, 21 Apr 2010 12:13:09 -0300 Federico Alberto Sayd fs...@uncu.edu.ar escribió: Federico Alberto Sayd escribió: William Alexander Brito Viñas escribió: SITUACIÓN ACTUAL: 1- Debian Leny + Squid 3.0 (transparente, puerto 3128) redirigido todo el trafico del puerto 80 al 3128 2- Cantidad de usuarios navegando a traves del proxy: desconocida. OBJETIVOS: 1- Tener los logs de squid completos para su analisis. 2- Utilizar ACL para potencialmente controlar el acceso. PROBLEMA: 1- Páginas HTTPS (puerto 443). SOLUCIONES: 1- Bajar y compilar squid con soporte para SSL y redirigir con iptables el trafico del 443 hacia el 3128. Duda: Antes de hacerlo, en una busqueda encuentro con que existen infinidad de paginas donde manifiestan que no es posible utilizar un proxy transparente en conexiones SSL. http://www.faqs.org/docs/Linux-mini/TransparentProxy.html por ejemplo, es una de estas paginas. ¿Esto significaría que compilar squid no me resolvería nada? Aclaro que estoy tratando de evitar esta solucion en la medida de lo posible. 2- Renunciar a proxy transparente y redirigir todo el trafico saliente --dport 80 hacia un web server con una sola pagina en la que indique a los usuarios como configurar opera, firefox, ie8o lo que sea para que usen el proxy. Duda: los usuarios que tengan configurada su pagina de inicio por ejemplo al login de yahoo no veran esa página, ademas algunos de estos usuarios (generalmente los que se conectan via wireless a la red) despues se conectan a otras redes (las de sus casas, etc) si ya es un problema explicarles como se configura un navegador para que use un proxy este otro inconveniente es serio ya que en esas otras locaciones, comumente no solo ellos son usarios del equipo. 3- Enmascarar el trafico del puerto 443 hacia afuera. Duda: Esto es lo que hago ahora y como tal no satisface ninguno de los dos objetivos. LA PREGUNTA: ¿Qué otra alternativa de solucion se le puede dar esta situacion que por lo demas no debe ser muy fuera de lo común y que satisfaga ambos objetivos? A todos GRACIAS MUCHAS por su tiempo. Connect to the next generation of MSN Messenger Get it now! http://imagine-msn.com/messenger/launch80/default.aspx?locale=en-ussource=wlmailtagline Mirate la directiva ssl_bump de Squid. Yo tampoco sabía que ya había soporte para SSL en Squid 3 mirando un poco vi que se le llama squid-in-the-middle y significa que en vez de ver los certificados de los sitios seguros a los que te conectas, recibes el certificado de squid y por lo tanto lo tienes que aceptar. Squid es el que se encarga de verificar el certificado del sitio al que te conectas, y establecer el canal seguro, pero puede pasar que el certificado no sea valido o sea autofirmado, allí tienes que empezar a poner acl's para indicar como debe comportarse squid. Ten en cuenta que si lo configuras mal puede suponer un riesgo de seguridad. Saludos Me olvidé de algunos links: http://www.eu.squid-cache.org/mail-archive/squid-users/200910/0125.html http://wiki.squid-cache.org/Features/SslBump Saludos Pero así el proxy desencriptaría la transmisión y la volvería a encriptar, no? Es decir, que si por un casual logran entrar en tu proxy, pueden ver todo el tráfico, incluido contraseñas de bancos, documentación personal, etc O lo estoy entendiendo yo mal? -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100421171811.29841...@multimensaje.es
Re: proxy transparente (squid 3) y SSL
El mié, 21-04-2010 a las 17:18 +0200, Pedro M. López escribió: Pero así el proxy desencriptaría la transmisión y la volvería a encriptar, no? Es decir, que si por un casual logran entrar en tu proxy, pueden ver todo el tráfico, incluido contraseñas de bancos, documentación personal, etc O lo estoy entendiendo yo mal? Si es tal y como lo han explicado pues si, un hombre-en-el-medio de libro. Un saludo JulHer signature.asc Description: Esta parte del mensaje está firmada digitalmente
Re: proxy transparente (squid 3) y SSL
El mié, 21-04-2010 a las 17:18 +0200, Pedro M. López escribió: Pero asà el proxy desencriptarÃa la transmisión y la volverÃa a encriptar, no? Es decir, que si por un casual logran entrar en tu proxy, pueden ver todo el tráfico, incluido contraseñas de bancos, documentación personal, etc O lo estoy entendiendo yo mal? Si es tal y como lo han explicado pues si, un hombre-en-el-medio de libro. Un saludo JulHer La doc dice lo siguiente: While decrypted, the traffic can be inspected using ICAP O sea que el tráfico desencriptado puede ser inspeccionado usando el protocolo ICAP, que es un protocolo para pasar contenido por servicios dedicados como antivirus, o escaners de malware. Al parecer si no usas ICAP el tráfico no sale sin cifrar fuera de Squid. Por lo que yo veo, no creo que se pueda simplemente esnifear el tráfico con tcpdump, por ejemplo, y ver el tráfico sin cifrar. Todo esto surge de deducir que el descifrado y el cifrado lo hace el mismo proceso de Squid. Pero me imagino que eso no significa que por algún otro método la información pueda ser obtenida. Yo no lo he probado pero la página de la documentación alega que el user agent o sea el navegador seguramente generará una advertencia de un posible ataque man-in-the-middle. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/46d9e6c221e2a22494021d50b121a0e1.squir...@webmail.uncu.edu.ar
proxy transparente (squid 3) y SSL
SITUACIÓN ACTUAL: 1- Debian Leny + Squid 3.0 (transparente, puerto 3128) redirigido todo el trafico del puerto 80 al 3128 2- Cantidad de usuarios navegando a traves del proxy: desconocida. OBJETIVOS: 1- Tener los logs de squid completos para su analisis. 2- Utilizar ACL para potencialmente controlar el acceso. PROBLEMA: 1- Páginas HTTPS (puerto 443). SOLUCIONES: 1- Bajar y compilar squid con soporte para SSL y redirigir con iptables el trafico del 443 hacia el 3128. Duda: Antes de hacerlo, en una busqueda encuentro con que existen infinidad de paginas donde manifiestan que no es posible utilizar un proxy transparente en conexiones SSL. http://www.faqs.org/docs/Linux-mini/TransparentProxy.html por ejemplo, es una de estas paginas. ¿Esto significaría que compilar squid no me resolvería nada? Aclaro que estoy tratando de evitar esta solucion en la medida de lo posible. 2- Renunciar a proxy transparente y redirigir todo el trafico saliente --dport 80 hacia un web server con una sola pagina en la que indique a los usuarios como configurar opera, firefox, ie8o lo que sea para que usen el proxy. Duda: los usuarios que tengan configurada su pagina de inicio por ejemplo al login de yahoo no veran esa página, ademas algunos de estos usuarios (generalmente los que se conectan via wireless a la red) despues se conectan a otras redes (las de sus casas, etc) si ya es un problema explicarles como se configura un navegador para que use un proxy este otro inconveniente es serio ya que en esas otras locaciones, comumente no solo ellos son usarios del equipo. 3- Enmascarar el trafico del puerto 443 hacia afuera. Duda: Esto es lo que hago ahora y como tal no satisface ninguno de los dos objetivos. LA PREGUNTA: ¿Qué otra alternativa de solucion se le puede dar esta situacion que por lo demas no debe ser muy fuera de lo común y que satisfaga ambos objetivos? A todos GRACIAS MUCHAS por su tiempo. _ Connect to the next generation of MSN Messenger http://imagine-msn.com/messenger/launch80/default.aspx?locale=en-ussource=wlmailtagline
Re: proxy transparente (squid 3) y SSL
William Alexander Brito Viñas wrote: 1- Bajar y compilar squid con soporte para SSL y redirigir con iptables el trafico del 443 hacia el 3128. Duda: Antes de hacerlo, en una busqueda encuentro con que existen infinidad de paginas donde manifiestan que no es posible utilizar un proxy transparente en conexiones SSL. http://www.faqs.org/docs/Linux-mini/TransparentProxy.html por ejemplo, es una de estas paginas. ¿Esto significaría que compilar squid no me resolvería nada? Aclaro que estoy tratando de evitar esta solucion en la medida de lo posible. Esa información es vieja, hoy en dia squid sí funciona como https proxy cache, tienes que generar certificados en el propio servidor. 2- Renunciar a proxy transparente y redirigir todo el trafico saliente --dport 80 hacia un web server con una sola pagina en la que indique a los usuarios como configurar opera, firefox, ie8o lo que sea para que usen el proxy. No, hacer eso es cualquier cosa menos efectivo. 3- Enmascarar el trafico del puerto 443 hacia afuera. Duda: Esto es lo que hago ahora y como tal no satisface ninguno de los dos objetivos. Ya lo estas haciendo, porque ahora estas haciendo nat hacia afuera en el puerto 443, cualquier usuario puede poner un ssh externo escuchando en el puerto 443 y túnel mediante navegar de incógnito (lo puedes descubrir mediante las consultas dns). LA PREGUNTA: ¿Qué otra alternativa de solucion se le puede dar esta situacion que por lo demas no debe ser muy fuera de lo común y que satisfaga ambos objetivos? No la hay, si los usuarios especifican en sus browsers que usen tu proxy:3128 para todos los protocolos (ftp, http, https) podrán navegar sin problemas porque squid hace un bypass en el tráfico https. El paquete squid en Debian no esta compilado con soporte ssl, asi que te bajas el source con apt-get source squid y lo compilas y empiezas a probar. Saludos -- La Voluntad es el único motor de nuestros logros. http://ngen.com.ar/blog -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/6122df04692f77bf88527c5b43b10abe.squir...@mail.ngen.com.ar
