Hello! A https-re (443-as port) iranyulo kereseket hogyan lehet lekezelni? -- Udvozlettel Zsiga
Hi! On 2001 Mar 13, Kosa Attila wrote:
A https-re (443-as port) iranyulo kereseket hogyan lehet lekezelni?
Ket lehetoseg van. A valasztas leginkabb attol fugg, hogy a Zorp a szerver, vagy a kliens elott van-e. (Vagyis, hogy sok kliens, vagy sok szerver fele meno forgalmat kell figyelni.) Az egyik lehetoseg, hogy szimplan atkuldod plug-on. Ez nem egy tul biztonsagos dolog, ezert nem is nagyon javasoljuk. A masik lehetoseg az SSL proxy hasznalata. Ebbe aztan bele lehet agyazni http proxy-t, igy a https-ben is tudod ellenorizni a http forgalmat. Ennek viszont az a hatranya, hogy a certificate-eket nem tudja (meg) atvinni a masik oldalra, vagyis, nem lehet kliens oldalon leellenorizni a szerver szemelyet. (Persze, ha a szervert veded, akkor ez nem gond.) -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel/fax:(36-1)-217-14-98 1092 Bp. Köztelek u. 4/b mobil:(36-20)-950-30-55 http://www.balabit.hu
Sziasztok!
A masik lehetoseg az SSL proxy hasznalata. Ebbe aztan bele lehet agyazni http proxy-t, igy a https-ben is tudod ellenorizni a http forgalmat. Erre van valahol pelda, vagy leiras, hogy mikent kell megoldani?
Andras
On Tue, Mar 13, 2001 at 10:21:43AM +0100, SZALAY Attila wrote:
On 2001 Mar 13, Kosa Attila wrote:
A https-re (443-as port) iranyulo kereseket hogyan lehet lekezelni?
Ket lehetoseg van. A valasztas leginkabb attol fugg, hogy a Zorp a
A belso halo kliensei mennenek https cimekre.
A masik lehetoseg az SSL proxy hasznalata. Ebbe aztan bele lehet agyazni http proxy-t, igy a https-ben is tudod ellenorizni a http forgalmat. Ennek viszont az a hatranya, hogy a certificate-eket nem tudja (meg) atvinni a masik oldalra, vagyis, nem lehet kliens oldalon leellenorizni a szerver szemelyet. (Persze, ha a szervert veded, akkor ez nem gond.)
Ebben az esetben mukodik peldaul a hotmail? Valami leiras is jol jonne :) Illetve, ha csak sima plug-ot hasznalok, akkor mi a helyzet a certificate-ekkel? -- Udvozlettel Zsiga
On Tue, Mar 13, 2001 at 01:37:33PM +0100, Kosa Attila wrote:
On Tue, Mar 13, 2001 at 10:21:43AM +0100, SZALAY Attila wrote:
On 2001 Mar 13, Kosa Attila wrote:
A https-re (443-as port) iranyulo kereseket hogyan lehet lekezelni?
Ket lehetoseg van. A valasztas leginkabb attol fugg, hogy a Zorp a
A belso halo kliensei mennenek https cimekre.
A masik lehetoseg az SSL proxy hasznalata. Ebbe aztan bele lehet agyazni http proxy-t, igy a https-ben is tudod ellenorizni a http forgalmat. Ennek viszont az a hatranya, hogy a certificate-eket nem tudja (meg) atvinni a masik oldalra, vagyis, nem lehet kliens oldalon leellenorizni a szerver szemelyet. (Persze, ha a szervert veded, akkor ez nem gond.)
Ebben az esetben mukodik peldaul a hotmail? Valami leiras is jol jonne :)
Illetve, ha csak sima plug-ot hasznalok, akkor mi a helyzet a certificate-ekkel?
ha plugot hasznalsz, akkor nincs semmi problema, a tuzfal "nem nyul bele" a kommunikacioba. Ha https proxyt, akkor viszont a tuzfalnak szuksege van egy privat kulcsra, amivel a hitelesitest elvegzi, ehhez viszont le kell cserelnie a certificate-t is. Amugy az SSL plug-gal valo kiengedesevel az a problema, hogy onnantol kezdve barmi tunnelezheto a 443-as porton (a bejutott trojai siman kilat, tud beszelgetni a kinti crackerrel). Ime egy - szigoruan emlekezetbol irt - https proxy: class HttpsProxy(PsslProxy): class EmbeddedHttpProxy(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = TRUE def config(self): self.client_need_ssl = TRUE self.server_need_ssl = TRUE self.client_cert = '/etc/zorp/fw-intra.crt' self.client_key = '/etc/zorp/fw-intra.key' self.stack_proxy = self.EmbeddedHttpProxy Termeszetesen a beagyazott proxy egyenerteku egy titkositas nelkuli HTTP proxyval, tehat barmilyen beallitast hasznalhatsz ott is. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
A levelezőm azt hiszi, hogy Balazs Scheidler a következőeket írta:
class HttpsProxy(PsslProxy):
class EmbeddedHttpProxy(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = TRUE
def config(self): self.client_need_ssl = TRUE self.server_need_ssl = TRUE self.client_cert = '/etc/zorp/fw-intra.crt' self.client_key = '/etc/zorp/fw-intra.key' self.stack_proxy = self.EmbeddedHttpProxy
Termeszetesen a beagyazott proxy egyenerteku egy titkositas nelkuli HTTP proxyval, tehat barmilyen beallitast hasznalhatsz ott is.
[Ettől annyira király a Zorp. Csak belestackeled és kész.] Kérdések: 1. Mi van akkor, ha van a következő két függvényem: def cert_to_ip(ip): [szerez egy certet az adott ip-hez] return [a neve a certnek] def key_to_ip(ip): [szerez egy kulcsot az adott ip-hez] return [a kulcs neve] És ezeket akarom használni arra hogy minden sessionnál potenciálisan más kulcsokat használjak? 2. Muszály filerendszerben tartani a kulcsokat, vagy lehet a kulcs tartalmát is adni a proxynak? -- GNU GPL: csak tiszta forrásból
On Wed, Mar 14, 2001 at 11:00:14AM +0100, Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy Balazs Scheidler a következőeket írta:
class HttpsProxy(PsslProxy):
class EmbeddedHttpProxy(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = TRUE
def config(self): self.client_need_ssl = TRUE self.server_need_ssl = TRUE self.client_cert = '/etc/zorp/fw-intra.crt' self.client_key = '/etc/zorp/fw-intra.key' self.stack_proxy = self.EmbeddedHttpProxy
Termeszetesen a beagyazott proxy egyenerteku egy titkositas nelkuli HTTP proxyval, tehat barmilyen beallitast hasznalhatsz ott is.
[Ettől annyira király a Zorp. Csak belestackeled és kész.]
Kérdések:
1. Mi van akkor, ha van a következő két függvényem:
def cert_to_ip(ip): [szerez egy certet az adott ip-hez] return [a neve a certnek]
def key_to_ip(ip): [szerez egy kulcsot az adott ip-hez] return [a kulcs neve]
mondjuk igy: def config(self): self.client_cert = cert_to_ip(self.session.client_address.ip_s) self.client_key = cert_to_ip(self.session.client_address.ip_s)
És ezeket akarom használni arra hogy minden sessionnál potenciálisan más kulcsokat használjak?
2. Muszály filerendszerben tartani a kulcsokat, vagy lehet a kulcs tartalmát is adni a proxynak?
Egyenlore igen. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Kérdések:
1. Mi van akkor, ha van a következő két függvényem:
def cert_to_ip(ip): [szerez egy certet az adott ip-hez] return [a neve a certnek]
def key_to_ip(ip): [szerez egy kulcsot az adott ip-hez] return [a kulcs neve]
mondjuk igy:
def config(self): self.client_cert = cert_to_ip(self.session.client_address.ip_s) self.client_key = cert_to_ip(self.session.client_address.ip_s)
hoppa, kozben rajottem, hogy te a szerver IP-je alapjan szeretnel mas kulcsokat hasznalni. az meg egyenlore nem megy, mert ahhoz a chainereket at kell alakitani egy kicsit. (hogy a proxy kapcsolodas elott tudhassa, hogy merre megy majd tovabb) -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
Oké, most már csak azt kell megértenem, hogy ki kivel van. A Pssl.py ez írja: client_need_ssl -- Use SSL on the client side of the proxy. This requires setting client_key and client_cert. client_key -- Client side authentication private key. client_cert -- Client side authentication certificate (requires a server certificate). server_need_ssl -- Use SSL on the server side of the proxy. Optionally you can set the server_key and server_cert attributes if you want to perform authentication. server_key -- Server side authentication private key. server_cert -- Server side authentication certificate (requires a client certificate). Ezek szerint ha a zorp a kliens nevében akar authentikálni, akkor a client_key-t használja, ha a kliens számára ellenőrizni akarja a szervert akkor a client_cert-el veti össze, ha a szerver nevében akarja magát a kliens számára authentikálni, akkor a server_key-t használja, és ha a szerver számára akarja a klienset ellenőrizni akkor aserver_cert-el veti össze? A cert az a kliens/szerver certificate-je, vagy pedig az azt aláíró certificate? Mi van a CRL-el? -- GNU GPL: csak tiszta forrásból
Hi All! On 2001 Mar 14, Magosányi Árpád wrote:
Ezek szerint ha a zorp a kliens nevében akar authentikálni, akkor a client_key-t használja,
Ez ok.
ha a kliens számára ellenőrizni akarja a szervert akkor a client_cert-el veti össze,
Nem. Ez akkor van, ha a server authentikalni akarja a klienst. Ekkor a zorp ezt a cerificate-et kuldi a kliens neveben a szervernek.
ha a szerver nevében akarja magát a kliens számára authentikálni, akkor a server_key-t használja,
Megint ok.
és ha a szerver számára akarja a klienset ellenőrizni akkor aserver_cert-el veti össze?
Megint nem. Ez az o alairt publikus kulcsa, amit a kliens fele kuld.
A cert az a kliens/szerver certificate-je, vagy pedig az azt aláíró certificate?
Szoval mint az fent latszik, a cert a kliens/szerver cert-je. A GPL-es zorp authenticalni nem tud SSL alapon, csak titkositani.
Mi van a CRL-el?
A CRL a nem GPL-es Zorp-ban jon be a kepbe, hiszen ott van SSL-es authentikacio. Ott a kovetkezo plusz valtozok vannak: server_ca_directory -- A _kliens oldali_, (vagyis az az oldal, ahol a zorp servert jatszik :) Certificate Authority-k. client_ca_directory -- Ugyanez a server oldalon. server_crl_directory -- A kliens oldali Certificate Revocation List directory client_crl_directory -- Ugyanez a server oldalon. (A tobbinel nem irom le mindket oldalt...) server_verify_type -- Mennyire legyen ellenorizve a certificate. (Egyaltalan nem, ha van az jo, mindenkeppen kell, hogy legyen, ala is legyen irva valaki alltal. server_verify_depth -- Milyen melysegben fogadjuk el a cert-eket. Asszem ennyi. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel/fax:(36-1)-217-14-98 1092 Bp. Köztelek u. 4/b mobil:(36-20)-950-30-55 http://www.balabit.hu
participants (5)
-
Balazs Scheidler
-
Farago Andras
-
Kosa Attila
-
Magosányi Árpád
-
SZALAY Attila