El 07/04/15 a las 16:48, Carlos R Laguna escribió:
El 07/04/15 a las 16:06, ERNESTO TUR LAURENCIO escribió:
Como bien dices la idea de blindar más aún las conexiones mediante el
uso de SSL es una, lo que ya sabes que vas a sacrificar velocidad de
acceso por nivel de cifrado.
Mientras no aparezca la indicada, goza con la equivocada.
Salu2
-----Mensaje original-----
De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu]
En nombre de Michael González Medina
Enviado el: martes, 07 de abril de 2015 02:39 p.m.
Para: Lista cubana de soporte tecnico en Tecnologias Libres
Asunto: [Gutl-l] Incrementar la seguridad en el Proxy(Squid)
Buenas tardes:
Antes que nada aclarar, que, cuando me refiero a seguridad en el
Proxy(Squid), estoy hablando de, la comunicación entre el cliente y
el servidor. Este tema se ha tocado varias veces y existen otras
variantes(como el Kerberos, LDAP, helpers del Squid hechos para esto,
etc) pero... siempre hay un pero... existen
holgazanes/vagos/paranoicos como yo, a los que estas soluciones les
resulta un tanto engorrosas o...
no compatible por filosofía etc...
En fin, que buscando y probando, he logrado el tópico de este correo
pero, sin usar ninguna de las soluciones anteriores sino, una un poco
mas sencilla, pero que por ello, no deja de ser válida, cual...:
Web Proxy Autodiscovery Protocol(WPAD) sobre SSL
me explico:
Mediante el queridísimo servidor de páginas web Apache, montamos un
Virtualhost(mencionar aquí *muy importante* que se le debe habilitar
el soporte para SSL lo cual es crítico en este caso[lo explico mas
adelante]), en este, ponemos el script "proxy.pac" (que es el que
contiene la información del proxy), luego en los clientes(es decir en
los navegadores[Firefox]) configuramos la red como "configuración
automática del proxy" y le ponemos la url del Virtualhost, y listo!
La diferencia del método tradicional (sin soporte para SSL) es... que...
mientras, en el método anterior, si se conecta un sniffer(hablo de
sniffer porque es lo mas común para monitorear redes en busca de datos
etc..) y se monitorean las conexiones, se podían obtener datos
relevantes en cuanto a user/pass etc.. sin embargo, al estar
comunicándose sobre SSL el sniffer no puede ver con la misma
facilidad dichos datos, por lo que, sí, creo que ahora la
comunicación entre cliente-servidor es un tanto más segura,
saludos,
PD: Se aceptan críticas/debates , dale Lázaro, "pichea" que yo se que
este tema te encanta.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Tus opciones son, Kerberos
SSL, Firefox y Chrome lo soportan aunque no esta muy documentado.
cierto Carlos, lo que pasa es que no me quiero enredar ni con Kerberos
ni con LDAP para autenticar usuarios de un proxy, de cualquier forma,
muchas gracias por tu respuesta.
Por ejemplo, estoy "sniffeando" el esquema el digest y hasta ahora... no
veo el texto plano con el user y pass, así que.... pudiera(dejame cruzar
los dedos.... ;-) ) ser una opción,
saludos,
--
Michael González Medina
Administrador de Red
Centro Nacional de Sanidad Vegetal
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
