Re: Anmeldung an Squid
Hallo Axel,
Am 19.09.2010 13:29, schrieb Axel Freyn:
Hallo Hans-Dietrich,
Ich denke, dass ist eindeutig: "Denken Sie daran, dass diese nur den
Datenverkehr sichert Squid<-> LDAP-Server, nicht-Browser<-> Squid."
Bei uns ist der Squid und der LDAP auf der gleichen Maschine. Es geht
mir gerade um die Verbindung Browser<-> Squid. Das ist mein Problem!
Im Prinzip sehe ich zwei Möglichkeiten:
a) du kannst die Kommunikation Browser<-> squid KOMPLETT verschlüsseln.
Ich weiß auf die Schnelle keine Lösung, wie es mit squid alleine
geht, sondern du müsstest meiner Meinung nach entweder VPN verwenden,
oder z.B. ssh: Wenn du bei jedem Client-Neustart automatisch eine
ssh-Verbindung zum Server öffnest, und dann den Web-Verkehr über
diesen ssh-Tunnel zum Server laufen lässt, ist es sicher. Im Prinzip:
ssh -L 3128:servername:3128 servername
leitet den lokalen Port 3128 an den server weiter. Wenn am Server auf
3128 SQUID läuft, kannst du am Client als proxy-Server
"localhost:3128" eintragen -- dann ist alles verschlüsselt (auch die
Webseiten, die übertragen werden). Die ssh-Anmeldung kannst Du ja
z.B. mit einem Passwort-losen Schlüssel machen (damit sie
automatisch läuft) und dem ssh-Account auf dem Server dann keinerlei
Rechte geben.
die Lösung gefällt mir nicht. Die Anleitung, wie ich sie in der Antwort
auf die Mail von Uwe angegeben habe wird ja derzeit so überarbeitet,
dass der Server automatisch so konfiguriert wird. Dazu werden
Debian-Pakete gebaut, die nichts weiter machen, als über die
Abhängigkeiten die eigentlichen Debian-Pakete zu installieren und über
die Maintainer-Scripte die Konfiguration zu übernehmen. - serverseitige
Lösungen sind okay (sofern sie von Laien wie mir bewältigt werden
können), aber clientseitig soll es möglichst einfach sein. Das ist hier
nicht der Fall.
b) Du musst ein Anmelde-Protokoll verwenden, das deine Browser
unterstützen und das es nicht erforderlich macht, Passwörter im
Klartext zu übertragen. Da bietet sich Kerberos an -- Wenn du mal ein
laufendes Kerberos-Setup hast, kann auch z.B. Iceweasel sich über
Kerberos am Squid anmelden ==> es fällt soger die Passwort-Abfrage an
den Benutzer weg, da die einmalige Passwort-Eingabe bei der Anmeldung
genügt.
Oh ja - Kerberos. Das würde ich gerne haben wollen. Aber wie schon
gesagt, ich bin Laie. Aber mir ist schon bewußt, dass ein SSO (nur) mit
Kerberos machbar ist.
Unabhängig davon ist aber meiner Ansicht nach auch noch die Frage, ob
diese "Sicherheitslücke" wirklich die schlimmste ist?
ja, denn alle anderen Passwörter gehen verschlüsselt übers Netz.
Als Beispiel:
Wenn Du Homeverzeichnisse auf dem Server hast: Werden die verschlüsselt
übertragen - oder kann die jeder User abhören?
was meinst du damit? die Inhalte werden nicht verschlüsselt übertragen.
Aber die Passworte natürlich schon.
(Wenn du nfs 3 verwendest,
kann jeder, der an einem lokalen Rechner einen root-Account hat, fremde
Home-Verzeichnisse lesen& schreiben...)
an meiner Schule werden derzeit keine eigentlichen Linux-Clients
eingesetzt. NFS ist derzeit auf unseren Server noch nicht installiert,
kommt aber noch. Aber dann ist/wird doch standardmäßig eine Option
gesetzt, dass root keinen Zugriff erhält. oder irre ich mich da?
Dann braucht ein Angreifer die
fremden Passwörter ja gar nicht mehr... (Noch schlimmer: Wenn ein User
z.B. Thunderbird zum Mail-Lesen verwendet& sein Passwort permanent
gespeichert hat
für unseren Server steht eine Lösung mit dem Webmailer Roundcube bereit.
Da die Anmeldung durch den Apache mit TLS verschlüsselt wird, sehe ich
hier kein Problem.
Und falls man doch Thunderbird einsetzt, da muss man doch beim Mail
holen das Passwort eingeben, welches mit dem Mailserver abgeglichen
wird. Bei mir/uns wurde das Passwort nicht abgespeichert. (aus der
Erinnerung bei Nutzung auf Arktur)
-- dann genügt der Lesezugriff auf das Home-Verzeichnis,
damit der Angreifer das Passwort hat)
Bei uns hat (normalerweise) nur der User Leserecht auf sein
Homeverzeichnis (also nicht wie es bei Debian üblich ist).
Іch denke, WENN du dich gegen derartige Angriffe schützen willst, ist
die beste Chance, ALLES zu verschlüsseln: also direkt auf IP-Ebene ein
verschlüsseltes Protokoll zu verwenden.
Hm, auch wenn ich an anderer Stelle für Kontrolle und
Nachvollziehbarkeit etc. plädiert habe, trotzdem geht es "nur" um eine
Schule, da ist es schon sinnvoll, die Passwörter zu schützen, aber alle
Daten zu verschlüsseln, das halte ich für überzogen.
Lange Rede - kurzer Sinn: dass das Passwort bei der Squidanmeldung im
Klartext übers Netz geht, das ist aus meiner Sicht die Schwachstelle.
Die Lösung mit dem Digest ist machbar, die Lösung mit der Anmeldung an
der Domäne kann ich noch nicht einschätzen, könnte aber besser sein. Die
Kerberoslösung ist derzeit für mich/uns nicht zu leisten (fehlendes
KnowHow und Zeit).
Viele Grüße
Hans-Dietrich
Reply to: