Re: proxy über ssh-tunnel klappt nur bei http nicht https

To: debian-user-german@lists.debian.org
Cc: debian-user-german@lists.debian.org
Subject: Re: proxy über ssh-tunnel klappt nur bei http nicht https
From: Stefan Bauer <stefan.bauer@cubewerk.de>
Date: Mon, 10 May 2010 13:45:15 +0200
Message-id: <[🔎] 4BE7F1CB.8040708@cubewerk.de>
In-reply-to: <[🔎] hs8pu4$s4e$00$1@news.t-online.com>
References: <[🔎] 4BE4320D.5080303@cubewerk.de> <[🔎] hs8jv4$4q0$03$1@news.t-online.com> <[🔎] 4BE7DB73.6040503@cubewerk.de> <[🔎] hs8pu4$s4e$00$1@news.t-online.com>

Am 10.05.2010 13:16, klaus zerwes schrieb:
> On 05/10/2010 12:20 PM, Stefan Bauer wrote:
>> Am 10.05.2010 11:34, klaus zerwes schrieb:
>>> SSH Tunnel ist Proxy-Technisch in etwa so wie ein "transparent Proxy".
>>> Und das funktioniert nicht für SSL, da das in etwa auch die Technik
>>> eines "man in the middle" Angriffes wäre.
>> Hier musst du mir genauer erklären, was du mir eigentlich sagen
>> willst. Bitte auch nochmal meine erste Mail lesen, damit wir nicht
>> aneinander vorbei reden.
> 
> Du baust einen SSH-Tunnel auf, der localhost:8080 an kunde.ath.cx:8080 
> weiterleitet.

Terminiert wird auf dem internen Interface localhost.

> Bei HTTPS/TLS/SSL wird das so nicht funktionieren (OK, es gibt wohl 
> Möglichkeiten, wenn MITM und Der Server-Endpunkt zusammenarbeiten, aber 
> das lasssen wir mal hier sein).
> HTTPS setzt eine End-Zu-End Verschlüsselung ein. Somit kann der Proxy 
> nicht transparent arbeiten weil die Authentifizierung der Endpunkte (SSL 
> Handshake) fehlschlägt und der Proxy mit dem verschlüsselten Header 
> nicht umgehen kann.
> Wenn man im Browser einen HTTPS Proxy Konfiguriert, sieht das ein 
> bisschen anders aus. Dann setzt der Browser einen speziellen Header und 
> der Proxy öffnet eine eigenen Kanal für den Datentransfer (ohne ihn zu 
> entschlüsseln) (CONNECT - Method). Diese HTTPS-Seiten werden in der 
> Regel vom Proxy auch nie zwischengespeicher. (Auch hier gibt es die 
> bekannten Ausnahmen die die Regel bestätigen. Man kann, wenn man dem 
> Client ein entsprechendes Zertifikat unterjubelt, dann sogar 
> Content-Filtering betreiben.)

Alles korrekt - steht nur garnicht zur Debatte.

Squid bzw. Dansguardian bietet genau das, was hier aber nicht klappt
in meinem Fall über einen SSH-Tunnel - jedoch im lokalen Netzwerk.
Simple Weiterleitung der Anfragen ohne Caching. Hat eben den
Vorteil, dass der Client einen Proxy mit Port definiert und wenn er
HTTPS nutzen will, geht das auch über den Proxy, ohne
Inhaltskontrolle und was auch immer. Es wird einfach durchgereicht.

>>> Die einzige Lösung die mir auf die Schnelle einfällt wäre ein VPN
>>> aufzubauen und dann den Proxy im Browser eintragen - dann sollte es
>>> problemlos gehen.
>> Wo ist in deinen Augen der Unterschied, ob ich mit SSH oder VPN
>> einen Tunnel zum Proxyserver grabe?
> 
> Portforwarding vs. Routing

Leider trotzdem unnötig kompliziert. Ich hab hier nur einen
Testfall, wo ich den entfernten Proxy testen muss und genau hier
scheint Squid/Dansguardian ein Problem zu haben. Die Randbedingungen
bleiben die selben - ob SSH-Tunnel oder VPN.

Stefan

-- 
Stefan Bauer -----------------------------------------
PGP: E80A 50D5 2D46 341C A887 F05D 5C81 5858 DCEF 8C34
-------- plzk.de - Linux - because it works ----------

Reply to:

References:
- proxy über ssh-tunnel klappt nur bei http nicht https
  - From: Stefan Bauer <stefan.bauer@cubewerk.de>
- Re: proxy über ssh-tunnel klappt nur bei http nicht https
  - From: klaus zerwes <kzerwes@web.de>
- Re: proxy über ssh-tunnel klappt nur bei http nicht https
  - From: Stefan Bauer <stefan.bauer@cubewerk.de>
- Re: proxy über ssh-tunnel klappt nur bei http nicht https
  - From: klaus zerwes <kzerwes@web.de>

Prev by Date: Re: proxy über ssh-tunnel klappt nur bei http nicht https
Next by Date: Re: proxy über ssh-tunnel klappt nur bei http nicht https
Previous by thread: Re: proxy über ssh-tunnel klappt nur bei http nicht https
Next by thread: Re: proxy über ssh-tunnel klappt nur bei http nicht https
Index(es):
- Date
- Thread