On 1 Aug 2002, Marcel Schmedes wrote:
On Thu, 2002-08-01 at 11:39, Peter Woelfel wrote:
was spricht dagegen, dass SSL-Zeugs auf dem int. Server zu konfigurieren und dann auf dem Gateway einen Squid als Reverse-Proxy laufen zu lassen?
Nunja, 1. Die User-kuerzel und passwd sind doch eher gut zu merken als komplex. Sie bieten keinen ausreichenden schutz! Deswegen erst mod_auth_digest dann Weiterleitung nach intern.
deswegen SSL-verschluesseln. Damit keiner mitlesen kann... Oder reden wir hier aneinander vorbei...?
2. Es muss eigentlich machbar sein! 3. Wir ueberlegen fuer den ext. Server ein Verisign-Zertifikat zu kaufen Intern haben wir nur ein self-sign-Zertifikat
Wenn da nur die eigenen Mitarbeiter drauf sollen, sollte ein self-sign-Zertifikat ausreichend sein. Ausser ihr vertraut euerem Arbeitgeber nicht ;-)
Aber, wie macht man das, einen Proxy ( Squid ) so einzurichten?
http://squid-docs.sourceforge.net/latest/html/c2521.htm
Ist das nicht ein Sicherheitsrisiko?
es bringt eher mehr Sicherheit, vorrausgesetzt dass der Squid nicht angreifbar ist (also auf Security Announcements achten...) Du hast ja auch die Moeglichkeit ACLs zu benutzen, damit lassen sich z.B. unuebliche HTTP-Requests vom eigentlichen Webserver fernhalten. Ausserdem bringt es Performance, da der Squid wesentlich schneller mit statischen Elementen umgehen kann als Apache.
Kann man dort sowas wie eine Vor-Anmeldung machen?
Sollte ueber proxy_auth gehen, aber ist dann nicht SSL-verschluesselt. Ich weiss jetzt nicht, ob es da fuer den Squid ein Modul gibt, womit die Authentifizierung verschluesselt werden kann.
Kann man den normalen Inet-Zugangs-Proxy _zusaetzlich_ dazu nutzen?
sollte eigentlich funzen. Natuerlich koennte man auch 2 Proxies laufen lassen (im Notfall in chroot-Umgebungen einsperren), wobei der eine dann auf Port 80 des ext. Interfaces horcht und der andere am internen. Falls der Host nicht Dual-Homed ist, koennte man das auch mit virt. IP-Addressen machen. cu. peter -- | LEISTRITZ Aktiengesellschaft Tel.: +49 (0) 911 4306 559 | Peter Woelfel, EDV-Abteilung Fax: +49 (0) 911 4306 478 | Markgrafenstrasse 29-39 eMail: pwoelfel@leistritz.de | D-90459 Nuernberg Web: http://www.leistritz.de