[Techinfo] pfsense squid3 squidguard

Horváth Péter justicefriend at freemail.hu
2018. Feb. 28., Sze, 13:25:25 CET


2018.02.28. 12:52 keltezéssel, Fehér Sándor írta:
> >Csak még mindíg azt nem tudom hogy squid3  cacheeli is a https 
> veblapokat, vagy csak szűrni tudja?
> MITM (ssl bump) esetén cachelni is tudja mert teljesen rálát a 
> forgalomra.
> Splice esetén NEM. Akkor az ssl tunnel miatt a squid nem látja a 
> forgalmat és nem tud cachelni sem. Ez úgy kell felfogni, hogy mintha 
> ott sem lenne a proxy, csak átmegy rajta minden ssl forgalom szűrés és 
> cache nélkül.
>
Köszönöm, már értem

> >Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán 
> bejelentkezek a netbankba, miközben "man in the middle" van:)
> Normális működés, ugyanis te kivételt adtál a rendszeredhez, hogy 
> elfogadod a hibás tanusítványt + importáltad root CA ként a proxy 
> tanúsítványt. A böngésző szót fogad ennyi:
> A bank és a proxy között teljesen megbízható ssl kapcsolat van>>> 
> "ennyit lát a bank"
> A proxy meg röptében generál egy tanúsítványt és azzal titkosítja a 
> banktól jövő forgalmat, amit elküld neked.
> A böngésző meg először hisztizik, de ha kivételt adsz hozzá + a proxy 
> hitelesítő tanúsítványt is importálod a rendszerbe mint "megbízható 
> legfelső szintű hitelesítési szolgáltató" akkor miért nem kéne 
> működjön a bank oldal??
>
Beraktam az otpdirect.hu -t a whitelist-be, így már mindjárt más a zöld 
lakat- nem én ellenőriztem, hanem a digicert :)
> SSL proxynak véleményem szerint nincs értelme, ha mindent "splice" 
> olni akarsz. Ez arra van, hogy kivételeket adj a proxydhoz: banki 
> oldalakat, paypal stb nem akarod MITM-elni, de a többit igen.
> Vagy a rendszergazdának minden ssl háborítatlan, a többieknek meg 
> BUMP. stb.
Én csak a tanulói gépekkel fogom ezt csinálni, akkora sikítás van, ha 
valami nem jön be:)







További információk a(z) Techinfo levelezőlistáról