Federico Alberto Sayd escribió:
William Alexander Brito Viñas escribió:
SITUACIÓN ACTUAL:
1- Debian Leny + Squid 3.0 (transparente, puerto 3128) <redirigido
todo el trafico del puerto 80 al 3128>
2- Cantidad de usuarios navegando a traves del proxy: desconocida.
OBJETIVOS:
1- Tener los logs de squid completos para su analisis.
2- Utilizar ACL para potencialmente controlar el acceso.
PROBLEMA:
1- Páginas HTTPS (puerto 443).
SOLUCIONES:
1- Bajar y compilar squid con soporte para SSL y redirigir con
iptables el trafico del 443 hacia el 3128.
Duda: Antes de hacerlo, en una busqueda encuentro con que existen
infinidad de paginas donde manifiestan que no es posible utilizar un
proxy transparente en conexiones SSL.
http://www.faqs.org/docs/Linux-mini/TransparentProxy.html por
ejemplo, es una de estas paginas. ¿Esto significaría que compilar
squid no me resolvería nada? Aclaro que estoy tratando de evitar esta
solucion en la medida de lo posible.
2- Renunciar a proxy transparente y redirigir todo el trafico
saliente --dport 80 hacia un web server con una sola pagina en la que
indique a los usuarios como configurar opera, firefox, ie8....o lo
que sea para que usen el proxy.
Duda: los usuarios que tengan configurada su pagina de inicio por
ejemplo al login de yahoo no veran esa página, ademas algunos de
estos usuarios (generalmente los que se conectan via wireless a la
red) despues se conectan a otras redes (las de sus casas, etc) si ya
es un problema explicarles como se configura un navegador para que
use un proxy este otro inconveniente es serio ya que en esas otras
locaciones, comumente no solo ellos son usarios del equipo.
3- Enmascarar el trafico del puerto 443 hacia afuera.
Duda: Esto es lo que hago ahora y como tal no satisface ninguno
de los dos objetivos.
LA PREGUNTA:
¿Qué otra "alternativa de solucion" se le puede dar esta situacion
que por lo demas no debe ser muy fuera de lo común y que satisfaga
ambos objetivos?
A todos GRACIAS MUCHAS por su tiempo.
------------------------------------------------------------------------
Connect to the next generation of MSN Messenger Get it now!
<http://imagine-msn.com/messenger/launch80/default.aspx?locale=en-us&source=wlmailtagline>
Mirate la directiva ssl_bump de Squid.
Yo tampoco sabía que ya había soporte para SSL en Squid 3 mirando un
poco vi que se le llama squid-in-the-middle y significa que en vez de
ver los certificados de los sitios seguros a los que te conectas,
recibes el certificado de squid y por lo tanto lo tienes que aceptar.
Squid es el que se encarga de verificar el certificado del sitio al
que te conectas, y establecer el canal seguro, pero puede pasar que el
certificado no sea valido o sea autofirmado, allí tienes que empezar a
poner acl's para indicar como debe comportarse squid. Ten en cuenta
que si lo configuras mal puede suponer un riesgo de seguridad.
Saludos
Me olvidé de algunos links:
http://www.eu.squid-cache.org/mail-archive/squid-users/200910/0125.html
http://wiki.squid-cache.org/Features/SslBump
Saludos
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bcf1605.5000...@uncu.edu.ar