© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Clemens Hermann <haribeau(at)gmx.de> wrote:
> wie es aussieht, habe ich eine falsche Vorstellung von Proxys.
Naja, es gibt keine "offizielle" allgemeine Definition, al-
lerdings ist in RFC2068 zumindest für HTTP genau definiert,
was ein Proxy leisten muß (und was er nicht tun darf).
Ein Proxy muß z.B. nicht unbedingt ein Cache sein, d.h. er
muß Daten nicht zwischenspeichern, sondern kann sie unbe-
sehen durchleiten. Bei HTTPS bleibt ihm auch nichts ande-
res übrig. Er fungiert dann als reines Application-Level-
Gateway.
> Bei https macht es dann aber auch mit dem squid keinen Unterschied, ob
> ein Proxy dazwischenhängt und ich kann auch nicht verhindern, dass
> jemand sich sex.exe runterläd, was ich ja bei http könnte, oder?
Völlig richtig, und das ist gut so.
Das ist ja gerade der _Sinn_ von SSL, daß eine sichere Ver-
bindung zwischen Client (im Falle von HTTPS: dem Browser)
und Server aufgebaut wird, und auf dem Weg dazwischen kann
der Transfer, der über diese Verbindung läuft, weder mitge-
lesen noch modifiziert werden.
Wenn ein Proxy in der Lage wäre, in irgendeiner Weise in
eine HTTPS-Verbindung einzugreifen, fände ich das ziemlich
erschreckend. :-)
> Mein Ziel war eigentlich, eben solche "Zeitbomben" wie bind oder
> Sendmail nicht direkt einer Verbindung auszusetzen, sondern davor einen
> Proxy zu nutzen, der alle Befehle entgegennimmt und nach Prüfung deren
> Zulässigkeit dann an den eigentlichen Dienst übergibt.
Je nach Paranoia-Grad gibt es da diverse Möglichkeiten.
Völlig nutzlos ist der Squid ja auch bei HTTPS nicht. Zu-
mindest ist Deine Apache-Kiste dann nach außen hin nicht
sichtbar. Exploits auf Port 443 halte ich auch eher für
untypisch.
Du könntest den Apache-Server auch einfach in die Firewall-
DMZ stellen und mit den üblichen Tools überwachen (Tripwire
etc.).
Eine weitere Möglichkeit: Verwende anstelle von Squid den
Apache als Proxy auf Deiner Firewall, und lege die SSL-Keys
und Zertifikate dort ab. Der Apache-Proxy kann dann HTTPS
von außen nach HTTP umsetzen und intern an den eigentlichen
Apache weiterleiten (Stichwort "ProxyPass"; ich habe sowas
bereits gemacht). Dann hast Du eigentlich alles, was Du
brauchst: Du hast (extern) verschlüsseltes HTTPS, _und_ Du
kannst die Anfragen bereits auf dem Proxy auseinandernehmen
und filtern.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "All that we see or seem is just a dream within a dream" (E. A. Poe) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Tue 31 Jul 2001 - 21:19:51 CEST