Re: Anmeldung an Squid
Hallo Hans-Dietrich,
> Ich denke, dass ist eindeutig: "Denken Sie daran, dass diese nur den
> Datenverkehr sichert Squid <-> LDAP-Server, nicht-Browser <-> Squid."
>
> Bei uns ist der Squid und der LDAP auf der gleichen Maschine. Es geht
> mir gerade um die Verbindung Browser <-> Squid. Das ist mein Problem!
Im Prinzip sehe ich zwei Möglichkeiten:
a) du kannst die Kommunikation Browser <-> squid KOMPLETT verschlüsseln.
Ich weiß auf die Schnelle keine Lösung, wie es mit squid alleine
geht, sondern du müsstest meiner Meinung nach entweder VPN verwenden,
oder z.B. ssh: Wenn du bei jedem Client-Neustart automatisch eine
ssh-Verbindung zum Server öffnest, und dann den Web-Verkehr über
diesen ssh-Tunnel zum Server laufen lässt, ist es sicher. Im Prinzip:
ssh -L 3128:servername:3128 servername
leitet den lokalen Port 3128 an den server weiter. Wenn am Server auf
3128 SQUID läuft, kannst du am Client als proxy-Server
"localhost:3128" eintragen -- dann ist alles verschlüsselt (auch die
Webseiten, die übertragen werden). Die ssh-Anmeldung kannst Du ja
z.B. mit einem Passwort-losen Schlüssel machen (damit sie
automatisch läuft) und dem ssh-Account auf dem Server dann keinerlei
Rechte geben.
b) Du musst ein Anmelde-Protokoll verwenden, das deine Browser
unterstützen und das es nicht erforderlich macht, Passwörter im
Klartext zu übertragen. Da bietet sich Kerberos an -- Wenn du mal ein
laufendes Kerberos-Setup hast, kann auch z.B. Iceweasel sich über
Kerberos am Squid anmelden ==> es fällt soger die Passwort-Abfrage an
den Benutzer weg, da die einmalige Passwort-Eingabe bei der Anmeldung
genügt.
Unabhängig davon ist aber meiner Ansicht nach auch noch die Frage, ob
diese "Sicherheitslücke" wirklich die schlimmste ist? Als Beispiel:
Wenn Du Homeverzeichnisse auf dem Server hast: Werden die verschlüsselt
übertragen - oder kann die jeder User abhören? (Wenn du nfs 3 verwendest,
kann jeder, der an einem lokalen Rechner einen root-Account hat, fremde
Home-Verzeichnisse lesen & schreiben...) Dann braucht ein Angreifer die
fremden Passwörter ja gar nicht mehr... (Noch schlimmer: Wenn ein User
z.B. Thunderbird zum Mail-Lesen verwendet & sein Passwort permanent
gespeichert hat -- dann genügt der Lesezugriff auf das Home-Verzeichnis,
damit der Angreifer das Passwort hat)
Іch denke, WENN du dich gegen derartige Angriffe schützen willst, ist
die beste Chance, ALLES zu verschlüsseln: also direkt auf IP-Ebene ein
verschlüsseltes Protokoll zu verwenden.
HTH,
Axel
Reply to: