[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Transparenten Proxy (Squid) unter Lenny nur für 2 Workstations

Hallo

Hans-Dietrich Kirmse wrote on Thu, 16 Sep 2010 18:06:31 +0200:
> Am 16.09.2010 00:39, schrieb Maxx:
> > Ralf Oertner wrote on Wed, 15 Sep 2010 23:22:06 +0200:
> >> Es gibt ca 10 Rechner von denen 2 für die Kinder mit
> >> Jugenschutzfiltern die im Proxy Squid integriert sind ausgerüstet
> >> werden sollen.
> >>
> >> Damit das ganze nicht so leicht zu umgehen ist wollte ich Squid
> >> als transparenten Proxy für diese beiden PCs einrichten.
> >
> > Warum ist ein transparenter Proxy nicht so leicht zu umgehen?
> 
> kann ich auch nicht nachvollziehen. Wenn es um Sicherheit geht,
> dann ist doch auch ein Problem, wenn jemand den Proxy umgeht oder
> Seiten besucht, die gesperrt hätten sein müssen aber nicht sind,
> dann gezielt Einfluß nehmen zu können. Und m.E. braucht man dazu
> das Login zu jeder (eventuell interessierenden) Seite im Logfile.
> Und das geht zumindest hinreichend sicher doch nur mit Anmeldung am
> Proxy. Für mich wäre ein transparenter Proxy für ein Kinderheim
> damit schon aus dem Rennen.

Auch ein Grund, klar.
 
> > Ein transparenter Proxy macht m.E. vor allem da Sinn, wo
> > wechselnde Rechner ins Netz gehen. Das erspart die ständige und
> > lästige Umkonfiguration.
> 
> Es geht doch m.E. um die Einrichtung des Browsers. Wenn man z.B.
> beim Firefox unter  Extras > Einstellungen > Erweitert > Netzwerk > 
> Verbindungen (Einstellungen)  aufruft, dann hat man doch die
> Auswahl zwischen
>   * kein Proxy
>   * die Proxy-Einstellungen für dieses Netzwerk automatisch erkennen
>   * die Proxy-Einstellungen des Systems verwenden
>   * Manuelle Proxy-Konfiguration
>   * Automatische Proxy-Konfigurations-URL:
> 
> Mit diesem Umkonfigurieren ist doch sicher gemeint, dass man hier
> den 4. Punkt verwendet, also "Manuelle Proxy-Konfiguration". Der 1.
> Punkt ist ebenfalls uninteressant. Aber schon der letzte Punkt mit
> der URL auf eine .pac-Datei würde das Problem schon entschärfen
> (denke ich zumindest). Unklar ist mir, was der 2. und der 3. Punkt
> bedeutet. Aber wenn das erstmal jemand erklären könnte, würde
> vielleicht dieses eher ominöse "ständige und lästige
> Umkonfiguration" gegenstandslos sein. Da alle 5 Punkte über
> Radiobuttons ausgewählt werden, haben der 2. und der 
> 3. Punkt offensichtlich nichts mit der pac-Datei zu tun. (oder
> doch?)

Punkt 2 deiner Liste: Es wird automatisch nach einer .pac-Datei im
Nezt gesucht. Dauert allerdings eine Weile ;)

Punkt 3: Es wird der systemweit eingestellte Proxy genommen (bei
Linux in der Umgebungsvariable HTTP_PROXY= abgelegt, bei Windows so
weit ich weiß die Einstellung des Explorers)

Punkt 5: Wer mit seinem Rechner zwischen Netzen mit und
ohne .pac-Datei wechselt, hat trotzdem ein Problem.

> Ich sehe zwar nur den Nachteil, dass damit keine Anmeldung möglich
> ist, siehe oben. Für mich wären andere Nachteile aber auch von
> Interesse.

Kein FTP, kein HTTPS über transparenten Proxy möglich, weil es
Punkt-zu-Punkt-Verbindungen sind. Diese Seiten werden also auch
nicht gefiltert. 
Bei einem eingestellten Proxy "weiß" der Browser von dem Proxy und
fordert für eine HTTPS-Verbindung einen entsprechenden Tunnel an.

Prinzipiell wäre ein transparenter HTTPS-Proxy auch möglich, der
agiert aber als Man in the Middle. Der User baut also eine
verschlüsselte, gesicherte Verbindung zum Proxy auf, dieser dann eine
weitere zum eigentlichen Ziel. Abgesehen davon, dass alle
Informationen auf dem Proxy unverschlüsselt mitgelesen werden
könnten, hat der User auch keine Möglichkeit, das Zertifikat des
eigentlichen Verbindungsziels zu prüfen. Er sieht ja nur das
Zertifikat des Proxys (was er auch erst einmal akzeptieren muss,
womit der Proxy so transparent auch nicht mehr ist *g*).

-- 
Maxx <linux@houdek.de>
Reply to: