Si lazaro, de hecho en el correo digo que es una de las variantes que mas he estudiado, y que por ese y otros motivos no me convenció, la idea es crear un debate, quizás la mejor opción sea usar el foro de GUTL, y entre todos lograr una configuración la mas acorde con las exigencias de la OSRI, y que por supuesto garantice la seguridad de la red, se me paso decir que todos mis servicios que dependen de usuarios están enlazados a una misma BD, en este caso el LDAP del señor oscuro, que me brinda muchas ventajas, como el largo de la contraseña, los niveles de dificultad requeridos y el hecho de que esta caduca y debe ser cambiada cada cierto tiempo, para el correo y el jabber no tengo problemas ya que estos usan SSL para su comunicación con la BD, pero el proxy es un tema pendiente. has oído hablar de la autenticación digest?
yo escribí un autenticador que almacena usuarios en una base de datos sqlite y además, soporta ambos esquemas, digest y basic Todo eso al final es MIERDA, porque al autenticarte en digest, mandas un string hexagesimal donde la contraseña está cifrada. Si esnifeas esa conexión, tomas ese digest y los envías, (SIN IMPORTAR CUAL SEA LA CONTRASEÑA) te autenticas igual sin problema. Thread name: "[Gutl-l] Seguridad en Squid" Mail number: 1 Date: Wed, Jan 07, 2015 In reply to: Wilfredo Pérez Mayo > > Saludos Cordiales,y feliz año nuevo para todos los usuarios de la lista. > Colegas, necesito abrir un debate sobre una situación importante que es el > uso del squid como servidor proxy para navegar, y principalmente el aspecto > de la configuración para la solicitud de credenciales, al grano. > El tema es que como todos sabemos el squid solicita credenciales a los > usuarios, siempre y cuando lo tengamos configurado así, y las compara > contra un fichero, una BD etc... > por lo que tenemos dos envíos de usuarios y contraseñas que por lo general > va en texto plano, (entre el cliente y el Squid y el Squid y el servidor > donde esten alojada la BD) para solucionar este tema he investigado sobre > varios helpers que tiene el squid, entre los que se encuentran Digest y > Kerberos (NTLM) pero en el caso del primero solo encrypta la comunicacion > entre el squid y la BD, ya que el helpers es quien convierte las > credenciales en HASH y las valida contra la que esta guardada en el BD, y el > NTLM a parte de que se necesita poner el servidor squid en el dominio tiene > el inconveniente de que no solicita user y pass al iniciar un navegador sino > que usa el ticket kerberos de la secion activa, por supuesto eso es siempre > y cuando esa PC este en el dominio, así que cualquiera que encuentre una > sesión activa puede navegar con el usuario que inicio la sesión, tema > grave. > Pues bien la idea es compartir experiencias para ver cual es la mejor > opción que se puede aplicar en este caso, yo por el momento uso el basic, > pero estoy decidido a eliminar esta vulnerabilidad. > > ----- > > Lic. Wilfredo Pérez Mayo > > Administrador de Red > > Centro de Ingeniería Ambiental de Camagüey > > Avenida Finlay Km 2½, Rpto Puerto Príncipe, > > Camagüey, Camagüey, Cuba. > > e-mail: wilfr...@ciac.cu > > c...@ciac.cu > > Teléfonos: (+53)(-32)262 273, > > (+53)(-32)261 657. > > Website: wp.me/39Gnr [http://wp.me/39Gnr [http://wp.me/39Gnr]] > > -- > Este mensaje ha sido analizado por MailScanner > en busca de virus y otros contenidos peligrosos, > y se considera que está limpio. > > ------------ próxima parte ------------ > Se ha borrado un adjunto en formato HTML... > URL: <http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150107/691b9764/attachment.html [http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150107/691b9764/attachment.html]> > ______________________________________________________________________ > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > Gutl-l@jovenclub.cu > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l [https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l] -- -------- Warning! ------------ 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. A continuación, la firma de una herramienta inútil: -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que est?impio. ------------------------------ _______________________________________________ Gutl-l mailing list Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l [https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l] Fin de Resumen de Gutl-l, Vol 33, Envío 18 ****************************************** ________________________________________________________________ XII Edicion del Evento Nacional de Informatica para Jovenes. INFOCLUB. Abril. 2015. Ver www.jovenclub.cu [http://www.jovenclub.cu/] ________________________________________________________________ -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio. -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio. ------------ próxima parte ------------ Se ha borrado un adjunto en formato HTML... URL: <http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150107/ff737bd7/attachment.html> ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
