[FUG-BR] Squid como Proxy Reverso SSL fazendo cache de https
Sylvio César Teixeira Amorim
scjamorim em bsd.com.br
Terça Maio 15 17:43:47 BRT 2012
Em 15 de maio de 2012 17:35, Otavio Augusto <otavioti em gmail.com> escreveu:
> Em 15 de maio de 2012 17:28, João Mancy <joaocep em gmail.com> escreveu:
>> @Dalton
>>
>> Você está correto.
>>
>> a 443 comunica diretamente não pode ser "decriptografada" ( na teoria ).
>>
>> Sendo que o proxy transparente não bloqueia tal porta.
>>
>> Basta adicionar um https://facebook.com que ele passará.
>>
>> é um problema complexo ( não sei se é isso que você quer ).
>>
>> Li sobre colocar algo forjando certificado ssl , mas aí suas senhas
>> aparecerão "plain-text" no proxy - uma tremenda falha de segurança.
>>
>> Gostei do assunto , a uns 3 meses procuro uma solução para isso.
>>
>> abraço
>>
>>
>> Em 15 de maio de 2012 17:23, Dalton Ferreira Strauss Filho <
>> daltonstrauss em gmail.com> escreveu:
>>
>>>
>>>
>>> -------- Mensagem original --------
>>> De: Sylvio César Teixeira Amorim <scjamorim em bsd.com.br>
>>> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>>> <freebsd em fug.com.br>
>>> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>>> <freebsd em fug.com.br>
>>> Assunto: Re: [FUG-BR] Squid como Proxy Reverso SSL fazendo cache de
>>> https
>>> Data: Tue, 15 May 2012 17:21:17 -0300
>>>
>>>
>>> Em 15 de maio de 2012 17:11, Eduardo Schoedler <listas em esds.com.br>
>>> escreveu:
>>> > Em 15 de maio de 2012 16:59, Sylvio César Teixeira Amorim <
>>> > scjamorim em bsd.com.br> escreveu:
>>> >
>>> >> Senhores,
>>> >>
>>> >> Boa tarde, não sou especialista em squid, mas estou precisando
>>> >> saber algumas coisas tais como:
>>> >>
>>> >> - É possível realizar cache da porta 443 utilizando o squid como proxy
>>> >> reverso SSL?
>>> >> - Qual a vantagem de se fazer proxy reverso SSL caso o squid não faça
>>> >> cache de SSL?
>>> >> - É possível startar duas instâncias do squid, sendo que a segunda
>>> >> instância seja um squid.conf com https_port fazendo proxy reverso SSL?
>>> >> Isto é porque as estações de trabalho do ambiente aqui, tem dois
>>> >> perfis de firefox (um perfil no firefox comum, e outro por meio de uma
>>> >> aplicação web que utiliza a porta 443) por este motivo que seria
>>> >> implantado duas instâncias de squid.
>>> >> A pergunta que não quer calar, se o squid não fizer cache de SSL como
>>> >> proxy reverso SSL, qual a vantagem de se utilizar o squid como proxy
>>> >> reverso SSL?
>>> >>
>>> >
>>> > Não sei quanto ao SSL, mas dê uma olhadinha no Varnish.
>>> >
>>> > Sds,
>>> >
>>> > --
>>> > Eduardo Schoedler
>>> > -------------------------
>>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>> O SSL é o ponto chave, preciso realmente saber isto em cima do squid,
>>> se ele configurado como proxy reverso SSL consegue fazer cache das
>>> páginas SSL.
>>>
>>> Abs,
>>>
>>> Sylvio
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>> Acredito que não seja possível, já que o SSL seria entre cliente e
>>> servidor e isto possibilitaria um ataque de MITM (man-in-the-midle).
>>>
>>> Atenciosamente,
>>> Dalton Strauss
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>> João Luis Mancy dos Santos
>> joaocep at gmail.com (msn too)
>> http://joaocep.blogspot.com
>> http://www.istf.com.br/perguntas/
>> http://www.fug.com.br/content/view/20/69/
>> uin 82889044
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Você poderia usar o squid junto com o apache.
> Na máquina onde vai rodar o site/app fica sem ssl mas se comunica
> apenas com a máquina que tem o squid+apache.
> Na outra máquina voce instala o certificado no apache e configra ele
> como reverse proxy para o site/app em questão, mas ao inves de ele se
> comunicar com a outra máquina ele vai direcionar as requisições para o
> squid ou o Varnish que por sua vez faz requisição para o pc que roda o
> site/app.
> Fica ou um pouco complexo mas deve funcionar.
> Lembrando que nunca implementei isto mas em teoria resolve.
>
>
> --
> Otavio Augusto
> ---------------------
> Consultor de TI
> Citius Tecnologia
> 31 37761866
> 31 88651242
> http://www.citiustecnologia.com.br
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Pois é galera, aqui no trabalho, levantaram a ideia de que colocando
um proxy reverso SSL, a porta 443 seria cacheada e os formulários como
.css, .js, etc.. seriam cacheados no squid sendo utilizado desta forma
e isto aceleraria a resposta do site para o usuário. Eu discordei,
falei que desconheço qualquer funcionalidade do squid que consiga
realizar cache de sites SSL.
Buscando no site do squid, encontrei esta parte:
http://wiki.squid-cache.org/ConfigExamples/Reverse/SslWithWildcardCertifiate
Onde é possível colocar os certificados para serem gerenciados pelo
squid, mas até onde entendi, ele não faz cache de SSL, e sim dá a
vantagem de se ter um tipo de redundância em sites SSL que serão
"protegidos" pelo squid, mas não faria cache de SSL.
Será que é isto mesmo? Se for, porque utilizaria um proxy reverso SSL
para acelerar a conexão se ele não fizer cache de SSL?
Abs,
Sylvio
Mais detalhes sobre a lista de discussão freebsd