Re: анонимайзеры и выход в инет - есть выход?

To: debian-russian@lists.debian.org
Subject: Re: анонимайзеры и выход в инет - есть выход?
From: Alexander GQ Gerasiov <gq@cs.msu.su>
Date: Tue, 21 Apr 2009 21:37:19 +0400
Message-id: <20090421213719.5137f3b8@desktopvm.lvknet>
In-reply-to: <20090421171126.GI12656@nano.ioffe.rssi.ru>
References: <dbf157780904210159s181f7fd4h687abf3afd52533a@mail.gmail.com> <49ED8D6A.1010809@generali.garant.ua> <dbf157780904210257t2639fcbaq4c19b92eac127493@mail.gmail.com> <20090421105030.GA948@straylight.m.ringlet.net> <20090421201516.69b7200f@desktopvm.lvknet> <20090421171126.GI12656@nano.ioffe.rssi.ru>

Tue, 21 Apr 2009 21:11:26 +0400
Иван Лох <loh@1917.com> wrote:

> On Tue, Apr 21, 2009 at 08:15:16PM +0400, Alexander GQ Gerasiov wrote:
> > Tue, 21 Apr 2009 13:50:30 +0300
> > Peter Pentchev <roam@ringlet.net> wrote:
> > 
> > > On Tue, Apr 21, 2009 at 01:57:30PM +0400, Sapytsky Ilya wrote:
> > > > я сюда написАл сюда от того, что мне надоело тратить час в день
> > > > на эту фигню...
> > > 
> > > Что бы не делал, не остановишь достаточно умных людей, у которых
> > > есть внешний сервак и которые знают как поставить stunnel + dante.
> > > Порт 443 не заблокируешь, так stunnel и на порте 443 может
> > > работать как front-end для dante.
> > Порт 443 можно терминировать на локальный прокси с автогенерируемым
> > сертификатом, подписанным CA, стоящим на всех машинах в офисе.
> > 
> > Гемморойно, но технически вполне реализуемо. Более того, кто-то из
> > вендоров такую железку делал. То ли Cisco, то ли Juniper.
> 
> The monkey in the middle? В dsniff какая-то приблуда была...
Там это на более примитивном уровне, насколько я могу судить. Он всегда
представляется заданным сертификатом. А можно сделать красивее:

Когда к нам приходит коннект, мы смотрим, куда он направлен (до
ната/редиректа), подключаемся к удаленному узлу, получаем с него
сертификат, выдираем оттуда subject, вставляем в свой
сертификат-заготовку, подписываем его локальным CA, после чего
заворачиваем TCP сессию клиента на наш локальный прокси с заданным
сертификатом. Клиент ни о чем не догадывается. Можно еще локальный CA
назвать VeryVerySign. Для правдоподобности. Естественно, что всё это
прокатывает только с подконтрольной сетью, где мы можем внедрить свои
сертификаты. У остальных пользователей будет выскакивать "Unknown CA".

-- 
Best regards,
 Alexander GQ Gerasiov

 Contacts:
 e-mail:    gq@cs.msu.su             Jabber:  gq@jabber.ru
 Homepage:  http://gq.net.ru         ICQ:     7272757
 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D  79B8 0641 D82A E3E3 CE1D

Reply to:

Follow-Ups:
- Re: анонимайзеры и выход в инет - есть выход?
  - From: "Murat D. Kadirov" <banderols@gmail.com>

References:
- анонимайзеры и выход в инет - есть выход?
  - From: Sapytsky Ilya <sova00@gmail.com>
- Re: анонимайзеры и выход в инет - есть выход?
  - From: Игорь Чумак <i.chumak@generali.garant.ua>
- Re: анонимайзеры и выход в инет - есть выход?
  - From: Sapytsky Ilya <sova00@gmail.com>
- Re: анонимайзеры и выход в инет - есть выход?
  - From: Peter Pentchev <roam@ringlet.net>
- Re: анонимайзеры и выход в инет - есть выход?
  - From: Alexander GQ Gerasiov <gq@cs.msu.su>
- Re: анонимайзеры и выход в инет - есть выход?
  - From: Иван Лох <loh@1917.com>

Prev by Date: Re: Права 755 на /root в Lenny
Next by Date: Re: анонимайзеры и выход в инет - есть выход?
Previous by thread: Re: анонимайзеры и выход в инет - есть выход?
Next by thread: Re: анонимайзеры и выход в инет - есть выход?
Index(es):
- Date
- Thread