[FUG-BR] Squid como Proxy Reverso SSL fazendo cache de https

Otavio Augusto otavioti em gmail.com
Terça Maio 15 17:35:35 BRT 2012


Em 15 de maio de 2012 17:28, João Mancy <joaocep em gmail.com> escreveu:
> @Dalton
>
> Você está correto.
>
> a 443 comunica diretamente não pode ser "decriptografada" ( na teoria ).
>
> Sendo que o proxy transparente não bloqueia tal porta.
>
> Basta adicionar um https://facebook.com que ele passará.
>
> é um problema complexo ( não sei se é isso que você quer ).
>
> Li sobre colocar algo forjando certificado ssl , mas aí suas senhas
> aparecerão "plain-text" no proxy - uma tremenda falha de segurança.
>
> Gostei do assunto , a uns 3 meses procuro uma solução para isso.
>
> abraço
>
>
> Em 15 de maio de 2012 17:23, Dalton Ferreira Strauss Filho <
> daltonstrauss em gmail.com> escreveu:
>
>>
>>
>> -------- Mensagem original --------
>> De: Sylvio César Teixeira Amorim <scjamorim em bsd.com.br>
>> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>> <freebsd em fug.com.br>
>> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
>> <freebsd em fug.com.br>
>> Assunto: Re: [FUG-BR] Squid como Proxy Reverso SSL fazendo cache de
>> https
>> Data: Tue, 15 May 2012 17:21:17 -0300
>>
>>
>> Em 15 de maio de 2012 17:11, Eduardo Schoedler <listas em esds.com.br>
>> escreveu:
>> > Em 15 de maio de 2012 16:59, Sylvio César Teixeira Amorim <
>> > scjamorim em bsd.com.br> escreveu:
>> >
>> >> Senhores,
>> >>
>> >>   Boa tarde, não sou especialista em squid, mas estou precisando
>> >> saber algumas coisas tais como:
>> >>
>> >> - É possível realizar cache da porta 443 utilizando o squid como proxy
>> >> reverso SSL?
>> >> - Qual a vantagem de se fazer proxy reverso SSL caso o squid não faça
>> >> cache de SSL?
>> >> - É possível startar duas instâncias do squid, sendo que a segunda
>> >> instância seja um squid.conf com https_port fazendo proxy reverso SSL?
>> >> Isto é porque as estações de trabalho do ambiente aqui, tem dois
>> >> perfis de firefox (um perfil no firefox comum, e outro por meio de uma
>> >> aplicação web que utiliza a porta 443) por este motivo que seria
>> >> implantado duas instâncias de squid.
>> >> A pergunta que não quer calar, se o squid não fizer cache de SSL como
>> >> proxy reverso SSL, qual a vantagem de se utilizar o squid como proxy
>> >> reverso SSL?
>> >>
>> >
>> > Não sei quanto ao SSL, mas dê uma olhadinha no Varnish.
>> >
>> > Sds,
>> >
>> > --
>> > Eduardo Schoedler
>> > -------------------------
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> O SSL é o ponto chave, preciso realmente saber isto em cima do squid,
>> se ele configurado como proxy reverso SSL consegue fazer cache das
>> páginas SSL.
>>
>> Abs,
>>
>> Sylvio
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>> Acredito que não seja possível, já que o SSL seria entre cliente e
>> servidor e isto possibilitaria um ataque de MITM (man-in-the-midle).
>>
>> Atenciosamente,
>> Dalton Strauss
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> João Luis Mancy dos Santos
> joaocep at gmail.com    (msn too)
> http://joaocep.blogspot.com
> http://www.istf.com.br/perguntas/
> http://www.fug.com.br/content/view/20/69/
> uin 82889044
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Você poderia usar o squid junto com o apache.
Na máquina onde vai rodar o site/app fica sem ssl mas se comunica
apenas com a máquina que tem o squid+apache.
Na outra máquina voce instala o certificado no apache e configra ele
como reverse proxy para o site/app em questão, mas ao inves de ele se
comunicar com a outra máquina ele vai direcionar as requisições para o
squid ou o Varnish que por sua vez faz requisição para o pc que roda o
site/app.
Fica ou um pouco complexo mas deve funcionar.
Lembrando que nunca implementei isto mas em teoria resolve.


-- 
Otavio Augusto
---------------------
Consultor de TI
Citius Tecnologia
31 37761866
31 88651242
http://www.citiustecnologia.com.br


Mais detalhes sobre a lista de discussão freebsd