[Gutl-l] Re: Protejer el tráfico entre el Navegador y SQUID

Tue, 17 Sep 2019 18:47:34 -0700

En 17 de septiembre de 2019 8:20:26 a. m. Mike the Wolf <mikethewol...@gmail.com> escribió: 


El lunes, 16 de septiembre de 2019 15:04:55 CDT, Maykel Santiesteban
escribió:

Un saludo, le agradecería cualquier comentario o sugerencia
sobre como resolver este problema.
Normalmente la autenticación del navegador al SQUID se realiza 
en texto plano, por lo que alguien que "escuche" en la red puede
ver la contraseña.
Se puede utilizar NTLMv2 pero esta obsoleto, y versiones 
actuales de Windows Server  esta deshabilitado.
Otro variante es utilizar stunnel para cifrar el trafico 
instalando cliente y servidor pero no tengo idea de cuanto pueda
afectar la experiencia de usuario producto del cifrado.
Existe otra variante que es utilizando un helper de squid que 
es md5, pero lo he visto solo en fichero, lo que complica un
poco el cambio de contraseña del usuario, y el periodo de
vencimiento. Existe una variante con LDAP pero no he encontrado
nada concreto.
Con strongswan no se si pueda resolver. 
Si utilizo kerberos no se si obligatoriamente necesito tener
los usuarios en el dominio AD, y en caso de no tenerlo tendre
que hacerlo con samba ??
Le agradecería que compartieran sus experiencias.
Feliz semana!!!


Creo que tu mejor solución será un esquema de autenticación
Kerberos...aunque si tienes dispositivos en tu red que no utilizen kerberos
siempre tendrás que tener un segundo esquema de autenticación.

_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu

Hasta ahora todos los clientes tanto Windows como Linux soportan Kerberos, 
no es imprescindible estar en un dominio, aunque esto facilita las cosas 
para los clientes Windows que al estar unido a un dominio tanto samba4 como 
Windows server este implementa Kerberos, por lo que la integración SSO está 
dada. Pero solo es necesario configurar el cliente Kerberos, este o no 
unido en un dominio de directorio activo, otra solución tal vez más 
complicada es crear un vpn server en el proxy y que cada cliente se conecte 
a este por esta vía, luego utilizar el proxy con la IP interna de la vpn y 
navegar.




_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu






















					Responder a