On Feb 12, 2010, at 7:04 PM, Mauricio Rabello Silva wrote: > Ola Pessoal, > > > Estou com uma duvida do que é melhor implantar, > > Pois hoje a nossa rede funciona da seguinte maneira: > > Temos alguns servidores proxys, autenticado via ldap, e todo a conexão > > entre os proxy e os clientes passa em texto puro. > > Estamos estudando uma solução para que a conexão entre os clientes e os > proxys > > seja autenticada. > > > Já testamos o Stunnel, mas achamos que o desempenho cai muito. e não > colocamos em produção. > > Agora estou testando o proxy via https_port, com ssl, > > Mas estou com dificuldade em fazer o browser negociar o certificado com o > servidor proxy [Squid], > > Vi também soluções com o squid sslbump e também com sasl, mas ainda não > cheguei a testar. > > > Gostaria de saber se alguem utiliza alguma solução para este caso? > > Se a performance cai muito para criptografia? > > Alguem tem material, sobre a uma possivel solução? > > > Vale lembrar que a rede onde eu trabalho, > > são 70 mil usuários, em 3 servidores, > > e cada servidor fica em media com 1000 conexões tcp, abertas. >
Mauricio, Primeira pergunta... https na rede interna pra que ? Nesse tamanho de rede imagino que você utilize switchs e assim é impossível que um usuário capture o trafego de outra porta (sem ter acesso ao gerenciamento do switch). Se você não esta utilizando proxy transparente (e sim socks), as conexões https dos clientes _são_ seguras e você não tem com o que se preocupar. Segundo li na documentação essa opção é utilizada quando você faz proxy reverso (proxy para seus servidores www) e assim você pode instalar o(s) certificado(s) do(s) seu(s) site(s) no squid ao invés de faze-lo no servidor http. Se o squid preve apenas esse tipo de utilização, não tenho certeza se vai funcionar da maneira que você quer... De qualquer maneira, você precisaria de um certificado válido para o browser reconhecer o certificado do squid sem reclamar (você também pode gerar os certificados para uso interno no openssl, procure a documentação a respeito). Att., Luiz ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
