[MASOCH-L] Apache CONNECT - segurança

Mon May 18 08:40:53 -03 2009

Danton Nunes escreveu:
> On Sun, 17 May 2009, Welkson Renny de Medeiros wrote:
>
>> Pessoal,
>>
>> Me ajudem a entender isso que apareceu hoje no log do meu apache:
>>
>> [root at intranet:~] # tail -f /var/log/httpd-access.log
>> 204.248.7.11 - - [17/May/2009:18:44:01 -0300] "GET 
>> http://peeoneer.freehostia.com/azenv.php HTTP/1.1" 404 207 "-" 
>> "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT    5.1)"
>> 204.248.7.11 - - [17/May/2009:18:44:01 -0300] "CONNECT 
>> www.google.com:443 HTTP/1.0" 200 1217 "-" "-"
>> 204.248.7.11 - - [17/May/2009:18:44:02 -0300] "CONNECT 
>> www.google.com:443 HTTP/1.0" 200 1217 "-" "-"
>>
>> Status 200 pelo que lembro é OK...
>
> sim, é OK, o que significa que seu mod_proxy está aprontando.
>
>> Será que tem alguma falha sendo explorada nesse método CONNECT do 
>> apache?
>> Nas configurações do mod_proxy é tudo bem restrito, especifico o ip, 
>> porta, etc... desativo a opção de PROXY, etc...
>> Como posso simular via telnet se esse método CONNECT está sendo 
>> liberado para outros sites?
>
> nem precisa simular, tá na cara que o método está liberado, pelo menos 
> para o IP mostrado nos logs.
>
> normalmente é 'telnet destino porta', porta normalmente é 80 mas pode 
> ser outra coisa de acordo com sua configuração.
>
> recomendo fortemente NÃO USAR o modo proxy do Apache, preferindo em 
> seu lugar o squid ou simplesmente NAT.
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
>
Danton,

Na verdade eu não uso PROXY pelo Apache, uso o SQUID + Dansguardian, etc.

O mod_proxy só serve pra dizer que sistemajava.meudominio.com.br vai 
para o server 0.10 rodando jboss, sistemadotnet.meudominio.com.br vai 
para o .11 rodando IIS (asp.net), etc...

Exemplo:
# host: juros.meudominio.com.br
<VirtualHost *:80>
   ProxyRequests off
   ServerName juros.meudominio.com.br
   <Proxy http://192.168.0.10:8080>
   Order allow,deny
   Allow from all
   </Proxy>
   ProxyPass /juros/ http://192.168.0.10:8080/JurosWeb/
   ProxyPassReverse /juros/ http://192.168.0.10/JurosWeb/

   ProxyPass / http://192.168.0.10:8080/JurosWeb/
   ProxyPassReverse / http://192.168.0.10/JurosWeb/
   <Location />
Order allow,deny
Allow from all
</Location>
</VirtualHost>

Observe que logo na primeira linha eu desabilito a opção de proxy 
(ProxyRequests off).

Andei pesquisando e tem outras pessoas com a mesma dúvida na net:
http://forums.fedoraforum.org/showthread.php?t=218264
http://www.webmasterworld.com/forum92/621.htm
http://archive.cert.uni-stuttgart.de/suse-security/2004/02/msg00412.html
http://www.derkeiler.com/Mailing-Lists/securityfocus/incidents/2002-08/0034.html

Usar o LIMIT para o método CONNEC não sei se vai ajudar... talvez 
desative a opção de jogar o tráfego para o servidor que eu escolhi 
(jboss, iis, etc).

Dúvida cruel =)

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson at focusautomacao.com.br

                      Powered by ....

                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)

                                      www.FreeBSD.org 