[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Anmeldung an Squid

Hallo Axel,

Am 19.09.2010 13:29, schrieb Axel Freyn:

Hallo Hans-Dietrich,


Ich denke, dass ist eindeutig: "Denken Sie daran, dass diese nur den
Datenverkehr sichert Squid<->  LDAP-Server, nicht-Browser<->  Squid."

Bei uns ist der Squid und der LDAP auf der gleichen Maschine. Es geht
mir gerade um die Verbindung Browser<->  Squid. Das ist mein Problem!


Im Prinzip sehe ich zwei Möglichkeiten:
a) du kannst die Kommunikation Browser<->  squid KOMPLETT verschlüsseln.
    Ich weiß auf die Schnelle keine Lösung, wie es mit squid alleine
    geht, sondern du müsstest meiner Meinung nach entweder VPN verwenden,
    oder z.B. ssh: Wenn du bei jedem Client-Neustart automatisch eine
    ssh-Verbindung zum Server öffnest, und dann den Web-Verkehr über
    diesen ssh-Tunnel zum Server laufen lässt, ist es sicher. Im Prinzip:
    ssh -L 3128:servername:3128 servername
    leitet den lokalen Port 3128 an den server weiter. Wenn am Server auf
    3128 SQUID läuft, kannst du am Client als proxy-Server
    "localhost:3128" eintragen -- dann ist alles verschlüsselt (auch die
    Webseiten, die übertragen werden). Die ssh-Anmeldung kannst Du ja
    z.B. mit einem Passwort-losen Schlüssel machen (damit sie
    automatisch läuft) und dem ssh-Account auf dem Server dann keinerlei
    Rechte geben.
die Lösung gefällt mir nicht. Die Anleitung, wie ich sie in der Antwort auf die Mail von Uwe angegeben habe wird ja derzeit so überarbeitet, dass der Server automatisch so konfiguriert wird. Dazu werden Debian-Pakete gebaut, die nichts weiter machen, als über die Abhängigkeiten die eigentlichen Debian-Pakete zu installieren und über die Maintainer-Scripte die Konfiguration zu übernehmen. - serverseitige Lösungen sind okay (sofern sie von Laien wie mir bewältigt werden können), aber clientseitig soll es möglichst einfach sein. Das ist hier nicht der Fall. 


b) Du musst ein Anmelde-Protokoll verwenden, das deine Browser
    unterstützen und das es nicht erforderlich macht, Passwörter im
    Klartext zu übertragen. Da bietet sich Kerberos an -- Wenn du mal ein
    laufendes Kerberos-Setup hast, kann auch z.B. Iceweasel sich über
    Kerberos am Squid anmelden ==>  es fällt soger die Passwort-Abfrage an
    den Benutzer weg, da die einmalige Passwort-Eingabe bei der Anmeldung
    genügt.
Oh ja - Kerberos. Das würde ich gerne haben wollen. Aber wie schon gesagt, ich bin Laie. Aber mir ist schon bewußt, dass ein SSO (nur) mit Kerberos machbar ist. 


Unabhängig davon ist aber meiner Ansicht nach auch noch die Frage, ob
diese "Sicherheitslücke" wirklich die schlimmste ist?


ja, denn alle anderen Passwörter gehen verschlüsselt übers Netz.


Als Beispiel:
Wenn Du Homeverzeichnisse auf dem Server hast: Werden die verschlüsselt
übertragen - oder kann die jeder User abhören?
was meinst du damit? die Inhalte werden nicht verschlüsselt übertragen. Aber die Passworte natürlich schon. 


(Wenn du nfs 3 verwendest,
kann jeder, der an einem lokalen Rechner einen root-Account hat, fremde
Home-Verzeichnisse lesen&  schreiben...)
an meiner Schule werden derzeit keine eigentlichen Linux-Clients eingesetzt. NFS ist derzeit auf unseren Server noch nicht installiert, kommt aber noch. Aber dann ist/wird doch standardmäßig eine Option gesetzt, dass root keinen Zugriff erhält. oder irre ich mich da? 


Dann braucht ein Angreifer die
fremden Passwörter ja gar nicht mehr... (Noch schlimmer: Wenn ein User
z.B. Thunderbird zum Mail-Lesen verwendet&  sein Passwort permanent
gespeichert hat


für unseren Server steht eine Lösung mit dem Webmailer Roundcube bereit.
Da die Anmeldung durch den Apache mit TLS verschlüsselt wird, sehe ich hier kein Problem.
Und falls man doch Thunderbird einsetzt, da muss man doch beim Mail holen das Passwort eingeben, welches mit dem Mailserver abgeglichen wird. Bei mir/uns wurde das Passwort nicht abgespeichert. (aus der Erinnerung bei Nutzung auf Arktur) 


-- dann genügt der Lesezugriff auf das Home-Verzeichnis,
damit der Angreifer das Passwort hat)
Bei uns hat (normalerweise) nur der User Leserecht auf sein Homeverzeichnis (also nicht wie es bei Debian üblich ist). 


Іch denke, WENN du dich gegen derartige Angriffe schützen willst, ist
die beste Chance, ALLES zu verschlüsseln: also direkt auf IP-Ebene ein
verschlüsseltes Protokoll zu verwenden.
Hm, auch wenn ich an anderer Stelle für Kontrolle und Nachvollziehbarkeit etc. plädiert habe, trotzdem geht es "nur" um eine Schule, da ist es schon sinnvoll, die Passwörter zu schützen, aber alle Daten zu verschlüsseln, das halte ich für überzogen.
Lange Rede - kurzer Sinn: dass das Passwort bei der Squidanmeldung im Klartext übers Netz geht, das ist aus meiner Sicht die Schwachstelle.
Die Lösung mit dem Digest ist machbar, die Lösung mit der Anmeldung an der Domäne kann ich noch nicht einschätzen, könnte aber besser sein. Die Kerberoslösung ist derzeit für mich/uns nicht zu leisten (fehlendes KnowHow und Zeit). 

Viele Grüße
Hans-Dietrich
Reply to: