Re: proxy transparente (squid 3) y SSL
El Wed, 21 Apr 2010 12:13:09 -0300
Federico Alberto Sayd <fsayd@uncu.edu.ar> escribió:
> Federico Alberto Sayd escribió:
> > William Alexander Brito Viñas escribió:
> >> SITUACIÓN ACTUAL:
> >> 1- Debian Leny + Squid 3.0 (transparente, puerto 3128) <redirigido
> >> todo el trafico del puerto 80 al 3128>
> >> 2- Cantidad de usuarios navegando a traves del proxy: desconocida.
> >>
> >> OBJETIVOS:
> >> 1- Tener los logs de squid completos para su analisis.
> >> 2- Utilizar ACL para potencialmente controlar el acceso.
> >>
> >> PROBLEMA:
> >> 1- Páginas HTTPS (puerto 443).
> >> SOLUCIONES:
> >> 1- Bajar y compilar squid con soporte para SSL y redirigir con
> >> iptables el trafico del 443 hacia el 3128.
> >> Duda: Antes de hacerlo, en una busqueda encuentro con que
> >> existen infinidad de paginas donde manifiestan que no es posible
> >> utilizar un proxy transparente en conexiones SSL.
> >> http://www.faqs.org/docs/Linux-mini/TransparentProxy.html por
> >> ejemplo, es una de estas paginas. ¿Esto significaría que compilar
> >> squid no me resolvería nada? Aclaro que estoy tratando de evitar
> >> esta solucion en la medida de lo posible.
> >>
> >> 2- Renunciar a proxy transparente y redirigir todo el trafico
> >> saliente --dport 80 hacia un web server con una sola pagina en la
> >> que indique a los usuarios como configurar opera, firefox,
> >> ie8....o lo que sea para que usen el proxy.
> >> Duda: los usuarios que tengan configurada su pagina de inicio
> >> por ejemplo al login de yahoo no veran esa página, ademas algunos
> >> de estos usuarios (generalmente los que se conectan via wireless a
> >> la red) despues se conectan a otras redes (las de sus casas, etc)
> >> si ya es un problema explicarles como se configura un navegador
> >> para que use un proxy este otro inconveniente es serio ya que en
> >> esas otras locaciones, comumente no solo ellos son usarios del
> >> equipo.
> >>
> >> 3- Enmascarar el trafico del puerto 443 hacia afuera.
> >> Duda: Esto es lo que hago ahora y como tal no satisface
> >> ninguno de los dos objetivos.
> >>
> >> LA PREGUNTA:
> >> ¿Qué otra "alternativa de solucion" se le puede dar esta situacion
> >> que por lo demas no debe ser muy fuera de lo común y que satisfaga
> >> ambos objetivos?
> >>
> >> A todos GRACIAS MUCHAS por su tiempo.
> >>
> >>
> >>
> >> ------------------------------------------------------------------------
> >> Connect to the next generation of MSN Messenger Get it now!
> >> <http://imagine-msn.com/messenger/launch80/default.aspx?locale=en-us&source=wlmailtagline>
> >>
> > Mirate la directiva ssl_bump de Squid.
> >
> > Yo tampoco sabía que ya había soporte para SSL en Squid 3 mirando
> > un poco vi que se le llama squid-in-the-middle y significa que en
> > vez de ver los certificados de los sitios seguros a los que te
> > conectas, recibes el certificado de squid y por lo tanto lo tienes
> > que aceptar. Squid es el que se encarga de verificar el certificado
> > del sitio al que te conectas, y establecer el canal seguro, pero
> > puede pasar que el certificado no sea valido o sea autofirmado,
> > allí tienes que empezar a poner acl's para indicar como debe
> > comportarse squid. Ten en cuenta que si lo configuras mal puede
> > suponer un riesgo de seguridad.
> >
> > Saludos
> >
> >
> >
> Me olvidé de algunos links:
>
> http://www.eu.squid-cache.org/mail-archive/squid-users/200910/0125.html
>
> http://wiki.squid-cache.org/Features/SslBump
>
> Saludos
>
>
>
>
Pero así el proxy desencriptaría la transmisión y la volvería a
encriptar, no?
Es decir, que si por un casual logran entrar en tu proxy, pueden ver
todo el tráfico, incluido contraseñas de bancos, documentación
personal, etc
O lo estoy entendiendo yo mal?
Reply to: