Hello, Létezik valami trükk arra, hogy Zorp 1.4 alatt SSL proxyba ágyazott http-ből módosítsam a célszervert? Ha az embedded http részbe módosítom a self.session.server_address értékét nem hat semmit. Ha a chainer inband, akkor az ssl configjában adhatok meg server_address-t, és az jó, de a cél itt eldől, mielőtt az embedded http-be jutna a végrehajtás, ahogy én látom. Legalábbis ha "kint" nem adok meg server_address értéket inband módban akkor tovább sem megy, eldobja ismeretlen célszerver üzenettel. Slapic -- Pilatus-Comp Ltd. HUNGARY * The Linux Expert * pilatuscomp@linux.co.hu http://www.linux.co.hu * Phone: +36-1-2481816 * Fax: +36-1-2481817
On Thu, Feb 20, 2003 at 10:41:11PM +0100, Czakó Krisztián wrote:
Hello,
Létezik valami trükk arra, hogy Zorp 1.4 alatt SSL proxyba ágyazott http-ből módosítsam a célszervert? Ha az embedded http részbe módosítom a self.session.server_address értékét nem hat semmit. Ha a chainer inband, akkor az ssl configjában adhatok meg server_address-t, és az jó, de a cél itt eldől, mielőtt az embedded http-be jutna a végrehajtás, ahogy én látom. Legalábbis ha "kint" nem adok meg server_address értéket inband módban akkor tovább sem megy, eldobja ismeretlen célszerver üzenettel.
sidestackchainer megoldhatja a problemad. esetleg a 2-es proban levo ssl proxy, ahol mar lehet allitani a kapcsolatfelvetel sorrendjet. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
2003-02-21, p keltezéssel Balazs Scheidler ezt írta:
On Thu, Feb 20, 2003 at 10:41:11PM +0100, Czakó Krisztián wrote:
Hello,
Létezik valami trükk arra, hogy Zorp 1.4 alatt SSL proxyba ágyazott http-ből módosítsam a célszervert? Ha az embedded http részbe módosítom a self.session.server_address értékét nem hat semmit. Ha a chainer inband, akkor az ssl configjában adhatok meg server_address-t, és az jó, de a cél itt eldől, mielőtt az embedded http-be jutna a végrehajtás, ahogy én látom. Legalábbis ha "kint" nem adok meg server_address értéket inband módban akkor tovább sem megy, eldobja ismeretlen célszerver üzenettel.
sidestackchainer megoldhatja a problemad.
Erről van valami bővebb? :)
esetleg a 2-es proban levo ssl proxy, ahol mar lehet allitani a kapcsolatfelvetel sorrendjet.
én inkább kontra :) Slapic -- Pilatus-Comp Ltd. HUNGARY * The Linux Expert * pilatuscomp@linux.co.hu http://www.linux.co.hu * Phone: +36-1-2481816 * Fax: +36-1-2481817
Czakó Krisztián wrote:
Hello,
Létezik valami trükk arra, hogy Zorp 1.4 alatt SSL proxyba ágyazott http-ből módosítsam a célszervert?
class HttpS_C(PsslProxy): class EHttp_C(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = 1 def config(self): self.client_need_ssl = 1 self.server_need_ssl = 0 self.client_cert = "/etc/zorp/zorp.cert" self.client_key = "/etc/zorp/zorp.key" self.copy_to_server = 1 self.copy_to_client = 1 Service("HttpS_S", HttpS_C, DirectedRouter(SockAddrInet("192.168.1.31", 8080))) Listener(SockAddrInet("xxx.xxx.xxx.xxx", 443), "HttpS_S") EGy hátránya van, az fw és a server között nem ssl, de házon belül csak elverem, aki sniffelni próbálja a dmz-t.
2003-02-21, p keltezéssel Gabor Halasz ezt írta:
Czakó Krisztián wrote:
Hello,
Létezik valami trükk arra, hogy Zorp 1.4 alatt SSL proxyba ágyazott http-ből módosítsam a célszervert? [config] EGy hátránya van, az fw és a server között nem ssl, de házon belül csak elverem, aki sniffelni próbálja a dmz-t.
Én ezt úgy csináltam meg még egy pssl-el, hogy csak localhoston belül kelljen elvernem:) Egy hátránya van, hogy mindig a tűzfal kulcsával lesz aláírva. De úgy tudom erre is létezik egy MITM megoldás röptiben kulcsgenerálással. Erről jut eszembe az a sztori, amikor a svéd rendőrök visszafejtették a SafeGuard Easy kulcsát. Persze mindenkit érdekelt, hogy hogyan csinálták. Mikor jobban utánanéztek a dolognak, kiderült hogy a módszer gumibotos kriptoanalízis volt:)
Magosanyi Arpad wrote:
Én ezt úgy csináltam meg még egy pssl-el, hogy csak localhoston belül kelljen elvernem:)
Ez nálam nem volt szempont, mert itt áll firewall, és a mellettem levő asztal képezi a dmz-t a rajta és alatta levő gépekkel, switchel. Optikai IDS :-D
2003-02-21, p keltezéssel Gabor Halasz ezt írta:
Magosanyi Arpad wrote:
Én ezt úgy csináltam meg még egy pssl-el, hogy csak localhoston belül kelljen elvernem:)
Ez nálam nem volt szempont, mert itt áll firewall, és a mellettem levő asztal képezi a dmz-t a rajta és alatta levő gépekkel, switchel. Optikai IDS :-D
Rend a lelke mind esznek:)
participants (5)
-
Balazs Scheidler
-
Czakó Krisztián
-
Gabor Halasz
-
Gabor Halasz
-
Magosanyi Arpad