Transproxy (was: Re: Serverkonfiguration)
Uli Kleemann
hackbox at lug-saar.de
Fre Dez 5 18:10:10 GMT 2008
Hallo Max,
das würde mih auch interessieren.
Gruss
Uli
On Fri, 5 Dec 2008 18:06:51 +0100
"M. Houdek" <linux at houdek.de> wrote:
> Am Freitag 05 Dezember 2008 15:49:44 schrieb Erik Zettel:
> > Am Freitag, den 05.12.2008, 12:58 +0100 schrieb Christian Meseberg:
> > > Wie kann die Benutzung des Internets alternativ überwacht werden?
> > >
> > > Kann der Proxy auf dem selben Server wie LTPS laufen? Müsst ja bei so
> > > wenig ThinClients machbar sein. Außerdem wird noch ein Fileserver mit
> > > Samba benötigt. Kann da auch ein Mac eingebunden werden?
> >
> > Wenn du in einem solchen "Umfeld" einen Proxy aufsetzen willst, würde
> > ich dir dringendst empfehlen, einmal den Begriff "transparenter Proxy"
> > nach zuschlagen, da ein normaler Proxy durch den $USER per Mausklick im
> > Browser deaktiviert werden kann.
>
> ... wodurch er dann keinen Zugriff mehr zum Internet hat. Zumindest, wenn kein
> Default-Gateway die Pakete ins Internet routet - was man in dem Fall ja so
> einrichten sollte. Die Paketbehandlung (iptables) muss man ja eh konfigurieren
> - dann sollte man auch gleich das Forwarden der Web-Protokolle unterbinden.
>
> Ein transparenter Proxy hat übrigens den Nachteil, dass er nicht für SSL-
> Verbindungen funktioniert. Dass geht nur, wenn der Proxy die gesicherte 1-
> zu-1-Verbindung zum Zielrechner aufbricht und daraus 2 gesicherte Verbindungen
> macht. Als Angriff nennt man so was Man-in-the-Middle-Attacke und es
> nantürlich datenschutzrechtlich bedenklich. Der User kann die Echtheit einer
> HTTPS-Seite nicht mehr prüfen, da er ja immer nur das lokale SSL-Zertifikat
> vom Proxy erhält.
>
> Da ich aber vor einem ähnlichen Problem stand (möglichst keine Konfiguration
> am Client, aber trotzdem Contentfilter im Proxy - der noch dazu selbst nicht
> transparent laufen kann, da fremdadministriert), habe ich mit einem Schüler
> zusammen ein Konzept entwickelt, mit dem es dennoch transparent funktioniert.
>
> Für HTTP war es kein Problem, das Tool transproxy lauscht an Port 80 und
> leitet ankommende Pakete als Proxyanfrage umgewandelt an den
> (nichttransparenten) Proxy weiter. Der prüft die Adresse, holt die Seite,
> prüft den Inhalt und gibt die Daten über den Transproxy weiter an den Client.
> Die Konfiguration von transproxy ist trivial.
>
> Für HTTPS funktioniert das nicht, weil transproxy ja die Pakete manipuliert
> (Proxy-Anfragen vom Browser sind anders aufgebaut als normale Web-Anfragen),
> um sie dem richtigen Proxy unterzujubeln. Diese Paketmanipulation zerstört
> aber die gesicherte Verbindung bei HTTPS. Wir wollten aber HTTPS-Verbidnungen
> auch nicht ungefiltert zulassen.
> Da aber der richtige Proxy bei HTTPS-Verbindungen eh nur die Adresse prüfen
> kann (der Inhalt der Seiten ist ja verschlüsselt) haben wir daher ein Python-
> Script gebastelt, dass genau hier ansetzt: Es schickt eine eigene
> (Proxy-)Anfrage der Seite an den Proxy. Wird die vom Proxy erlaubt, schaltet
> das Script das Masquerading in iptables für diese Verbindung frei und der User
> kann zu dieser Adresse direkt eine HTTPS-Verbindung aufbauen.
>
> Das Script läuft seit Sommer diesen Jahres im Versuchsbetrieb. Es ist noch
> nicht ganz ausgereift. Bei Interesse einfach PM an mich.
>
> --
> Gruß
> MaxX
>
> Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
> Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
>
>
--
Uli Kleemann <hackbox at lug-saar.de>
Note: No Microsoft programs were used in the creation or distribution of this message. If you are using a Microsoft program to view this message, be forewarned that I am not responsible for any harm you may encounter as a result.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 197 bytes
Beschreibung: nicht verfügbar
URL : https://lists.ubuntu.com/archives/ubuntu-de/attachments/20081205/efe2ffd6/attachment.pgp