[zorp-hu] https

[Balazs Scheidler]

On Tue, Mar 13, 2001 at 01:37:33PM +0100, Kosa Attila wrote:
> On Tue, Mar 13, 2001 at 10:21:43AM +0100, SZALAY Attila wrote:
> > On 2001 Mar 13, Kosa Attila wrote:
> > > A https-re (443-as port) iranyulo kereseket hogyan lehet
> > > lekezelni?
> > 
> > Ket lehetoseg van. A valasztas leginkabb attol fugg, hogy a Zorp a
> 
> A belso halo kliensei mennenek https cimekre.
> 
> > A masik lehetoseg az SSL proxy hasznalata. Ebbe aztan bele lehet agyazni
> > http proxy-t, igy a https-ben is tudod ellenorizni a http forgalmat.
> > Ennek viszont az a hatranya, hogy a certificate-eket nem tudja (meg)
> > atvinni a masik oldalra, vagyis, nem lehet kliens oldalon leellenorizni a
> > szerver szemelyet. (Persze, ha a szervert veded, akkor ez nem gond.)
> 
> Ebben az esetben mukodik peldaul a hotmail? Valami
> leiras is jol jonne :)
> 
> Illetve, ha csak sima plug-ot hasznalok, akkor mi a
> helyzet a certificate-ekkel?

ha plugot hasznalsz, akkor nincs semmi problema, a tuzfal "nem nyul bele" a
kommunikacioba. Ha https proxyt, akkor viszont a tuzfalnak szuksege van egy
privat kulcsra, amivel a hitelesitest elvegzi, ehhez viszont le kell
cserelnie a certificate-t is.

Amugy az SSL plug-gal valo kiengedesevel az a problema, hogy onnantol kezdve
barmi tunnelezheto a 443-as porton (a bejutott trojai siman kilat, tud
beszelgetni a kinti crackerrel). Ime egy - szigoruan emlekezetbol irt -
https proxy:

class HttpsProxy(PsslProxy):

	class EmbeddedHttpProxy(HttpProxy):
		def config(self):
			HttpProxy.config(self)
			self.transparent_mode = TRUE

	def config(self):
		self.client_need_ssl = TRUE
		self.server_need_ssl = TRUE
		self.client_cert = '/etc/zorp/fw-intra.crt'
		self.client_key = '/etc/zorp/fw-intra.key'
		self.stack_proxy = self.EmbeddedHttpProxy
		

Termeszetesen a beagyazott proxy egyenerteku egy titkositas nelkuli HTTP
proxyval, tehat barmilyen beallitast hasznalhatsz ott is.

-- 
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1