[FUG-BR] Conexão Browser - Proxy com Criptografia

Luiz Otavio O Souza lists.br em gmail.com
Sábado Fevereiro 13 13:00:39 BRST 2010 

On Feb 12, 2010, at 7:04 PM, Mauricio Rabello Silva wrote:

> Ola Pessoal,
> 
> 
>  Estou com uma duvida do que é melhor implantar,
> 
> Pois hoje a nossa rede funciona da seguinte maneira:
> 
> Temos alguns servidores proxys, autenticado via ldap, e todo a conexão
> 
> entre os proxy e os clientes passa em texto puro.
> 
>  Estamos estudando uma solução para que a conexão entre os clientes e os
> proxys
> 
> seja autenticada.
> 
> 
> Já testamos o Stunnel, mas achamos que o desempenho cai muito. e não
> colocamos em produção.
> 
> Agora estou testando o proxy via https_port, com ssl,
> 
> Mas estou com dificuldade em fazer o browser negociar o certificado com o
> servidor proxy [Squid],
> 
> Vi também soluções com o squid sslbump e também com sasl, mas ainda não
> cheguei a testar.
> 
> 
> Gostaria de saber se alguem utiliza alguma solução para este caso?
> 
> Se a performance cai muito para criptografia?
> 
> Alguem tem material, sobre a uma possivel solução?
> 
> 
> Vale lembrar que a rede onde eu trabalho,
> 
> são 70 mil usuários, em 3 servidores,
> 
> e cada servidor fica em media com 1000 conexões tcp, abertas.
> 

Mauricio,

Primeira pergunta... https na rede interna pra que ? Nesse tamanho de rede imagino que você utilize switchs e assim é impossível que um usuário capture o trafego de outra porta (sem ter acesso ao gerenciamento do switch).

Se você não esta utilizando proxy transparente (e sim socks), as conexões https dos clientes _são_ seguras e você não tem com o que se preocupar.

Segundo li na documentação essa opção é utilizada quando você faz proxy reverso (proxy para seus servidores www) e assim você pode instalar o(s) certificado(s) do(s) seu(s) site(s) no squid ao invés de faze-lo no servidor http.

Se o squid preve apenas esse tipo de utilização, não tenho certeza se vai funcionar da maneira que você quer...

De qualquer maneira, você precisaria de um certificado válido para o browser reconhecer o certificado do squid sem reclamar (você também pode gerar os certificados para uso interno no openssl, procure a documentação a respeito).

Att.,
Luiz

Mais detalhes sobre a lista de discussão freebsd