Re: proxy transparente (squid 3) y SSL

[fsayd@uncu.edu.ar]

> El mié, 21-04-2010 a las 17:18 +0200, Pedro M. López escribió:
>> Pero así el proxy desencriptaría la transmisión y la volvería a
>> encriptar, no?
>> Es decir, que si por un casual logran entrar en tu proxy, pueden ver
>> todo el tráfico, incluido contraseñas de bancos, documentación
>> personal, etc
>> O lo estoy entendiendo yo mal?
>
> Si es tal y como lo han explicado pues si, un hombre-en-el-medio de
> libro.
>
> Un saludo
>
> JulHer
>
>

La doc dice lo siguiente:

"While decrypted, the traffic can be inspected using ICAP"

O sea que el tráfico desencriptado puede ser inspeccionado usando el
protocolo ICAP, que es un protocolo para pasar contenido por servicios
dedicados como antivirus, o escaners de malware. Al parecer si no usas
ICAP el tráfico no sale sin cifrar fuera de Squid.

Por lo que yo veo, no creo que se pueda simplemente esnifear el tráfico
con tcpdump, por ejemplo, y ver el tráfico sin cifrar. Todo esto surge de
deducir que el descifrado y el cifrado lo hace el mismo proceso de Squid.
Pero me imagino que eso no significa que por algún otro método la
información pueda ser obtenida.

Yo no lo he probado pero la página de la documentación alega que el "user
agent" o sea el navegador seguramente generará una advertencia de un
posible ataque man-in-the-middle.

Saludos