Re: Anmeldung an Squid

To: debian-user-german@lists.debian.org
Subject: Re: Anmeldung an Squid
From: Axel Freyn <axel-freyn@gmx.de>
Date: Sun, 19 Sep 2010 13:29:16 +0200
Message-id: <20100919112916.GB24241@axel>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <4C950D05.7010506@gmx.de>
References: <4C94E09A.8010601@gmx.de> <20100918192127.55a188dd.linux@houdek.de> <4C950D05.7010506@gmx.de>

Hallo Hans-Dietrich,

> Ich denke, dass ist eindeutig: "Denken Sie daran, dass diese nur den  
> Datenverkehr sichert Squid <-> LDAP-Server, nicht-Browser <-> Squid."
>
> Bei uns ist der Squid und der LDAP auf der gleichen Maschine. Es geht  
> mir gerade um die Verbindung Browser <-> Squid. Das ist mein Problem!

Im Prinzip sehe ich zwei Möglichkeiten:
a) du kannst die Kommunikation Browser <-> squid KOMPLETT verschlüsseln.
   Ich weiß auf die Schnelle keine Lösung, wie es mit squid alleine
   geht, sondern du müsstest meiner Meinung nach entweder VPN verwenden,
   oder z.B. ssh: Wenn du bei jedem Client-Neustart automatisch eine
   ssh-Verbindung zum Server öffnest, und dann den Web-Verkehr über
   diesen ssh-Tunnel zum Server laufen lässt, ist es sicher. Im Prinzip:
   ssh -L 3128:servername:3128 servername 
   leitet den lokalen Port 3128 an den server weiter. Wenn am Server auf
   3128 SQUID läuft, kannst du am Client als proxy-Server
   "localhost:3128" eintragen -- dann ist alles verschlüsselt (auch die
   Webseiten, die übertragen werden). Die ssh-Anmeldung kannst Du ja
   z.B. mit einem Passwort-losen Schlüssel machen (damit sie
   automatisch läuft) und dem ssh-Account auf dem Server dann keinerlei
   Rechte geben.
b) Du musst ein Anmelde-Protokoll verwenden, das deine Browser
   unterstützen und das es nicht erforderlich macht, Passwörter im
   Klartext zu übertragen. Da bietet sich Kerberos an -- Wenn du mal ein
   laufendes Kerberos-Setup hast, kann auch z.B. Iceweasel sich über
   Kerberos am Squid anmelden ==> es fällt soger die Passwort-Abfrage an
   den Benutzer weg, da die einmalige Passwort-Eingabe bei der Anmeldung
   genügt.

Unabhängig davon ist aber meiner Ansicht nach auch noch die Frage, ob
diese "Sicherheitslücke" wirklich die schlimmste ist? Als Beispiel:
Wenn Du Homeverzeichnisse auf dem Server hast: Werden die verschlüsselt
übertragen - oder kann die jeder User abhören? (Wenn du nfs 3 verwendest,
kann jeder, der an einem lokalen Rechner einen root-Account hat, fremde
Home-Verzeichnisse lesen & schreiben...) Dann braucht ein Angreifer die
fremden Passwörter ja gar nicht mehr... (Noch schlimmer: Wenn ein User
z.B. Thunderbird zum Mail-Lesen verwendet & sein Passwort permanent
gespeichert hat -- dann genügt der Lesezugriff auf das Home-Verzeichnis,
damit der Angreifer das Passwort hat)

Іch denke, WENN du dich gegen derartige Angriffe schützen willst, ist
die beste Chance, ALLES zu verschlüsseln: also direkt auf IP-Ebene ein
verschlüsseltes Protokoll zu verwenden.

HTH,

Axel

Reply to:

Follow-Ups:
- Re: Anmeldung an Squid
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>

References:
- Anmeldung an Squid
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>
- Re: Anmeldung an Squid
  - From: Maxx <linux@houdek.de>
- Re: Anmeldung an Squid
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>

Prev by Date: Re: Anmeldung an Squid
Next by Date: Re: Opera Passwort auslesen
Previous by thread: Re: Anmeldung an Squid
Next by thread: Re: Anmeldung an Squid
Index(es):
- Date
- Thread