que tus cliente se conecten con SSL al squid y listo, puedes usar
basic con confianza ;)
otra cosa, si tienes un hacker de agua dulce en tu red LAN y necesitas
tantas medidas de sguridad, es porque no te das a respetar. Acá
cualquier tiene la contraseña del otro. Que se atrevan a usarla namá!
Se las tendrán que ver ambos dos conmigo.
Eso no te convence, supón que pusiste SSL en el squid...
Es más fácil ir al firefox y mostrar contraseñas guardadas, o
simplemetne copiar tu perfin de firefox completo ;)
La autenticación en los proxys es seguridad ficticia...
no hace falta ir al foro
Thread name: "Re: [Gutl-l] Seguridad en Squid (låzaro)"
Mail number: 1
Date: Wed, Jan 07, 2015
In reply to: Wilfredo Pérez Mayo
>
> Si lazaro, de hecho en el correo digo que es una de las variantes que mas he
> estudiado, y que por ese y otros motivos no me convenció, la idea es crear
> un debate, quizás la mejor opción sea usar el foro de GUTL, y entre todos
> lograr una configuración la mas acorde con las exigencias de la OSRI, y que
> por supuesto garantice la seguridad de la red, se me paso decir que todos
> mis servicios que dependen de usuarios están enlazados a una misma BD, en
> este caso el LDAP del señor oscuro, que me brinda muchas ventajas, como el
> largo de la contraseña, los niveles de dificultad requeridos y el hecho de
> que esta caduca y debe ser cambiada cada cierto tiempo, para el correo y el
> jabber no tengo problemas ya que estos usan SSL para su comunicación con la
> BD, pero el proxy es un tema pendiente.
> has oído hablar de la autenticación digest?
>
> yo escribí un autenticador que almacena usuarios en una base de datos
>
> sqlite y además, soporta ambos esquemas, digest y basic
>
>
>
>
>
> Todo eso al final es MIERDA, porque al autenticarte en digest, mandas
>
> un string hexagesimal donde la contraseña está cifrada.
>
>
>
> Si esnifeas esa conexión, tomas ese digest y los envías, (SIN IMPORTAR
>
> CUAL SEA LA CONTRASEÑA) te autenticas igual sin problema.
>
>
>
>
>
> Thread name: "[Gutl-l] Seguridad en Squid"
>
> Mail number: 1
>
> Date: Wed, Jan 07, 2015
>
> In reply to: Wilfredo Pérez Mayo
>
> >
>
> > Saludos Cordiales,y feliz año nuevo para todos los usuarios de la lista.
>
> > Colegas, necesito abrir un debate sobre una situación importante que es
> el
>
> > uso del squid como servidor proxy para navegar, y principalmente el
> aspecto
>
> > de la configuración para la solicitud de credenciales, al grano.
>
> > El tema es que como todos sabemos el squid solicita credenciales a los
>
> > usuarios, siempre y cuando lo tengamos configurado así, y las compara
>
> > contra un fichero, una BD etc...
>
> > por lo que tenemos dos envíos de usuarios y contraseñas que por lo
> general
>
> > va en texto plano, (entre el cliente y el Squid y el Squid y el servidor
>
> > donde esten alojada la BD) para solucionar este tema he investigado sobre
>
> > varios helpers que tiene el squid, entre los que se encuentran Digest y
>
> > Kerberos (NTLM) pero en el caso del primero solo encrypta la comunicacion
>
> > entre el squid y la BD, ya que el helpers es quien convierte las
>
> > credenciales en HASH y las valida contra la que esta guardada en el BD, y
> el
>
> > NTLM a parte de que se necesita poner el servidor squid en el dominio
> tiene
>
> > el inconveniente de que no solicita user y pass al iniciar un navegador
> sino
>
> > que usa el ticket kerberos de la secion activa, por supuesto eso es
> siempre
>
> > y cuando esa PC este en el dominio, así que cualquiera que encuentre una
>
> > sesión activa puede navegar con el usuario que inicio la sesión, tema
>
> > grave.
>
> > Pues bien la idea es compartir experiencias para ver cual es la mejor
>
> > opción que se puede aplicar en este caso, yo por el momento uso el basic,
>
>
> > pero estoy decidido a eliminar esta vulnerabilidad.
>
> >
>
> > -----
>
> >
>
> > Lic. Wilfredo Pérez Mayo
>
> >
>
> > Administrador de Red
>
> >
>
> > Centro de Ingeniería Ambiental de Camagüey
>
> >
>
> > Avenida Finlay Km 2½, Rpto Puerto Príncipe,
>
> >
>
> > Camagüey, Camagüey, Cuba.
>
> >
>
> > e-mail: wilfr...@ciac.cu
>
> >
>
> > c...@ciac.cu
>
> >
>
> > Teléfonos: (+53)(-32)262 273,
>
> >
>
> > (+53)(-32)261 657.
>
> >
>
> > Website: wp.me/39Gnr [http://wp.me/39Gnr [http://wp.me/39Gnr]]
>
> >
>
> > --
>
> > Este mensaje ha sido analizado por MailScanner
>
> > en busca de virus y otros contenidos peligrosos,
>
> > y se considera que está limpio.
>
> >
>
> > ------------ próxima parte ------------
>
> > Se ha borrado un adjunto en formato HTML...
>
> > URL:
> <http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150107/691b9764/attachment.html
>
> [http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150107/691b9764/attachment.html]>
>
> > ______________________________________________________________________
>
> > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
>
> > Gutl-l@jovenclub.cu
>
> > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
> [https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l]
>
>
>
> --
>
> -------- Warning! ------------
>
> 100'000 pelos de escoba fueron
>
> introducidos satisfactoriamente
>
> en su puerto USB.
>
>
>
>
>
>
>
>
>
> A continuación, la firma de una herramienta inútil:
>
>
>
> --
>
> Este mensaje ha sido analizado por MailScanner
>
> en busca de virus y otros contenidos peligrosos,
>
> y se considera que est?impio.
>
>
>
>
>
>
>
> ------------------------------
>
>
>
> _______________________________________________
>
> Gutl-l mailing list
>
> Gutl-l@jovenclub.cu
>
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
> [https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l]
>
>
>
> Fin de Resumen de Gutl-l, Vol 33, Envío 18
>
> ******************************************
>
> ________________________________________________________________
>
> XII Edicion del Evento Nacional de Informatica para Jovenes. INFOCLUB.
>
> Abril. 2015. Ver www.jovenclub.cu [http://www.jovenclub.cu/]
>
> ________________________________________________________________
>
>
>
>
>
> --
>
> Este mensaje ha sido analizado por MailScanner
>
> en busca de virus y otros contenidos peligrosos,
>
> y se considera que está limpio.
>
> --
> Este mensaje ha sido analizado por MailScanner
> en busca de virus y otros contenidos peligrosos,
> y se considera que está limpio.
>
> ------------ próxima parte ------------
> Se ha borrado un adjunto en formato HTML...
> URL:
> <http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150107/ff737bd7/attachment.html>
> ______________________________________________________________________
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
--
-------- Warning! ------------
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.
A continuación, la firma de una herramienta inútil:
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
