On Fri, 2002-08-02 at 12:22, Peter Woelfel wrote:
On 1 Aug 2002, Marcel Schmedes wrote:
1. Die User-kuerzel und passwd sind doch eher gut zu merken als komplex. Sie bieten keinen ausreichenden schutz! Deswegen erst mod_auth_digest dann Weiterleitung nach intern.
deswegen SSL-verschluesseln. Damit keiner mitlesen kann... Oder reden wir hier aneinander vorbei...?
Es geht nicht um das sniffen von Passwoertern, sondern vielmehr darum das die Usernames/Passwoerter VIEL zu einfach zu erraten sind. Ich kann meinen Usern aber nicht Passwoerter wie: /&$%92bakf"§$2 antun.
2. Es muss eigentlich machbar sein! 3. Wir ueberlegen fuer den ext. Server ein Verisign-Zertifikat zu kaufen Intern haben wir nur ein self-sign-Zertifikat
Wenn da nur die eigenen Mitarbeiter drauf sollen, sollte ein self-sign-Zertifikat ausreichend sein. Ausser ihr vertraut euerem Arbeitgeber nicht ;-)
Naja gut...
Aber, wie macht man das, einen Proxy ( Squid ) so einzurichten?
Danke
Ist das nicht ein Sicherheitsrisiko?
es bringt eher mehr Sicherheit, vorrausgesetzt dass der Squid nicht angreifbar ist (also auf Security Announcements achten...)
Gut das leuchtet ein, allerdings loest es mein Vor-Anmeldungs-Problem nicht.
Du hast ja auch die Moeglichkeit ACLs zu benutzen, damit lassen sich z.B. unuebliche HTTP-Requests vom eigentlichen Webserver fernhalten.
Ausserdem bringt es Performance, da der Squid wesentlich schneller mit statischen Elementen umgehen kann als Apache.
Die Performance ist bei den paar Aussenmitarbeitern mit Mailzugang unrelevant, wir wollen irgendwann die Aussenstellen in Theran, Iran, Kuba & Co an unseren Mailserver anbinden, dann werden wir wohl diesen Weg gehen. PS.: Weiss jemand ob ich in diesen Laendern mit Problemen im Bezug auf SSL ( 128Bit ) rechnen muss?
Kann man dort sowas wie eine Vor-Anmeldung machen?
Sollte ueber proxy_auth gehen, aber ist dann nicht SSL-verschluesselt. Ich weiss jetzt nicht, ob es da fuer den Squid ein Modul gibt, womit die Authentifizierung verschluesselt werden kann.
Habe mit gerade den Apachen2 mit mod_proxy usw. gebaut, das mod_proxy kann jetzt auch http1.1 und SSL, ich werd das mal in Verbindung mit mod_auth_digest ( morgen abend :( ) probieren.
Kann man den normalen Inet-Zugangs-Proxy _zusaetzlich_ dazu nutzen?
sollte eigentlich funzen. Natuerlich koennte man auch 2 Proxies laufen lassen (im Notfall in chroot-Umgebungen einsperren), wobei der eine dann auf Port 80 des ext. Interfaces horcht und der andere am internen. Falls der Host nicht Dual-Homed ist, koennte man das auch mit virt. IP-Addressen machen.
Ist Triple-Homed :), allerdings will ich erstmal das mit dem Apachen probieren. Danke fuer die Ideen! -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________