[MASOCH-L] RES: RES: RES: Proxy para HTTPS
Alexandro Corrêa
alexandro at sulsoft.com.br
Tue Jun 30 11:31:34 -03 2009
Obrigado a todos pelas respostas. Vou realizar alguns testes fazendo
configuração no navegador como foi sugerido, sem a opção de
"transparente" no squid. Assim que obtiver algum resultado vou postar
novamente. Enquanto isto vou seguir utilizando somente NAT, gerando logs
por iptables e verificando relatórios destas conexões esporadicamente.
O Renato citou três grandes dilemas do adm de rede em relação ao HTTPS ;)
"
- Ficar lendo log de conexão HTTPS nateada não é nem um pouco prático e
desperdício de recurso humano.
- E sugestão do tipo "libere todas as conexões HTTPS somente para todos
os IP's de bancos que seus usuários utilizam", não é nem um pouco
prática, pode chegar a dezenas, sem contar quando eles resolvem alterar
os IP's ou fazer balanceamento.
- E com certeza, como administrador da rede, bisbilhotar o que andam
fazendo é parte do serviço ;)
"
Renato Frederick escreveu:
> Quando 'furos' de segurança começam a aparecer por HTTPS, como o caso de proxy's HTTPS que usuários usam indevidamente ou o caso citado de provedor a satélite, se justifica.
>
> Ficar lendo log de conexão HTTPS nateada não é nem um pouco prático e desperdício de recurso humano.
>
> E sugestão do tipo "libere todas as conexões HTTPS somente para todos os IP's de bancos que seus usuários utilizam", não é nem um pouco prática, pode chegar a dezenas, sem contar quando eles resolvem alterar os IP's ou fazer balanceamento.
>
> E com certeza, como administrador da rede, bisbilhotar o que andam fazendo é parte do serviço ;)
>
>
>> -----Mensagem original-----
>> De: masoch-l-bounces at eng.registro.br [mailto:masoch-l-
>> bounces at eng.registro.br] Em nome de Danton Nunes
>> Enviada em: terça-feira, 30 de junho de 2009 10:53
>> Para: Mail Aid and Succor, On-line Comfort and Help
>> Assunto: Re: [MASOCH-L] RES: RES: Proxy para HTTPS
>>
>> On Tue, 30 Jun 2009, Renato Frederick wrote:
>>
>>
>>> Presumo que seja inviável para uma empresa ou médio provedor uma
>>>
>> solução
>>
>>> destas no que diz custo, certo?
>>>
>> não passe o https pelo squid. simplesmente por NAT. é transparente, não
>> tem man-in-the-middle, mas você não pode bisbilhotar o que passou (mas
>> para que mesmo serve o https?). É possível registrar as conexões com o
>> iptables (ou algo equivalente em !Linux).
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
--
Atenciosamente,
<http://www.sulsoft.com.br>
Alexandro Corrêa - Tecnologia da Informação
alexandro at sulsoft.com.br - www.sulsoft.com.br
Rua Felipe Neri, 444 - Auxiliadora - Porto Alegre - RS
Localização Geográfica (WGS): 30°01'21.98"S 51°11'28.20"W
Fone/Fax: +55 (51) 3333-1581 ou +55 (51) 3026-3920
"Esta mensagem pode conter informação confidencial e/ou privilegiada. Se
você não for o destinatário ou a pessoa autorizada a receber esta
mensagem não pode usar copiar ou divulgar as informações nela contidas
ou tomar qualquer tipo de ação baseada nessas informações. Se você
recebeu esta mensagem por engano por favor avise imediatamente o
remetente respondendo o e-mail e em seguida apague-o."
More information about the masoch-l
mailing list