Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

  • »bolder« ist männlich
  • »bolder« ist der Autor dieses Themas

Beiträge: 68

Registrierungsdatum: 06.08.2008

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: Unity

  • Nachricht senden

1

13.11.2012, 08:56

Squid - Umwandlung http in https

Hallo!

Das folgende Problem steht derzeit an:
Ein Dienstleister stellt seinen Dienst per https auf einer Webseite zur Verfügung. Grundsätzlich ist die Seite zu erreichen, wenn man die URL in den Browser eines Clients lädt.
Die Anwendung, die auf dem Client läuft, kann jedoch keine SSL-Zertifikate entschlüsseln und versteht somit nur http. Der Dienstleister schlägt nun folgendes vor:

1. Anwendung auf dem Client stellt die Anfrage an den Proxy-Server über http
2. Proxy-Server wandelt http in https um
3. Proxy-Server sendet Anfrage verschlüsselt weiter an den Webserver des Dienstleisters (Request)
4. Webserver schickt die verschlüsselte Antwort an den Proxy-Server
5. Proxy-Server entschlüsselt den Response vom Webserver
6. Proxy-Server gibt die Information über http weiter an den Client und dessen Anwendung

Wir nutzen als Proxy-Server squid 2.7
Ich habe hierzu in der Dokumentation nichts gefunden. Habe mir auch mal alle Parameter in der squid.conf angesehen, finde da aber auch nichts passendes.
Frage: ist es überhaupt möglich, dass der Proxy eine Umsetzung zwischen http und https vornimmt?

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »bolder« (28.11.2012, 11:50)


2

13.11.2012, 09:48

Als erstes würde mich interessieren, welcher Dienstanbieter so etwas vorschlägt?
Normalerweise bietet man seinen Dienst ja nicht grundlos verschlüsselt an und hat auch kein Interesse, daß die Daten dann irgendwo unverschlüsselt gespeichert werden. Das, was du (bzw. der Dienstanbieter) damit beschreibt, nennt man schlicht eine "man-in-the-middle-attack".
Natürlich ist das möglich, aber ob es sehr gescheit ist, liegt im Ermessen des Nutzers, des Dienstanbieters und ganz besonders in der Verantwortung des zuständigen Squid-Administrators. Siehe hier.
Wenn dir das alles bewusst ist, dann schau einmal hier...
Vor allem würde ich das nicht mit einer veralteten Squid-Version machen, da hätte ich schon so genug Sicherheitsbedenken.
Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.
me is all sausage
but don't call me Ferdl

  • »bolder« ist männlich
  • »bolder« ist der Autor dieses Themas

Beiträge: 68

Registrierungsdatum: 06.08.2008

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: Unity

  • Nachricht senden

3

13.11.2012, 10:47

Vielen Dank Fredl für die schnelle Antwort!

Den Dienstanbieter möchte ich hier öffentlich im Internet nicht nennen - wer weiß, was man mir für einen Strick draus drehen würde...
Ich kann auch die Intention nicht verstehen, da ich nicht zur Fachabteilung gehöre, die für die Anwendung zuständig ist.

Wir befinden uns hier in einem geschlossenen Netz, das durch die Firewall unseres Providers nach außen geschützt ist. Ich kann mir nur vorstellen, dass der Dienstleister verschlüsselt über das Internet in unser Netz gehen will, innerhalb dieses Netzes können dann ohnehin nur "berechtigte Personen" auf die Daten zugreifen, sodass eine Verschlüsselung nicht mehr nötig ist. Jedenfalls vermute ich das.

Ich denke, ich lasse wohl die Finger davon, da man das ja dann nicht von eventuellen anderen "man-in-the-middle-attacks" unterscheiden könnte. Ich werde sicherlich Argumentationsprobleme mit der Fachabteilung haben, aber da muss ich mich jetzt erst einmal durchbeißen.
Sicherlich wäre es die beste Lösung, wenn die Endanwendung https verstehen würde. Keine Ahnung, ob die das hinbekommen.

Ich lasse den Thread noch eine Weile offen. Muss erst mal mit der Fachabteilung reden.

4

13.11.2012, 11:46

da man das ja dann nicht von eventuellen anderen "man-in-the-middle-attacks" unterscheiden könnte
Könnte man schon, wenn man aufmerksam ist. Aber es geht eher darum, daß die verschlüsselt angelieferten Daten erstmal unverschlüsselt gespeichert werden (könnte man abstellen), aber auch innerhalb des eigenen Netzes unverschlüsselt transportiert werden. Die meisten neugierigen Nasen sitzen aber erfahrungsgemäß innerhalb der Firewall. Weil es da am einfachsten ist, den Verkehr abzuhören.
Ich werde sicherlich Argumentationsprobleme mit der Fachabteilung haben
SSL=Verschlüsselung=Sicherheitsmaßnahme. Ist ungefähr das gleiche wie wenn der Chef die Jahresbilanz im versperrten Mercedes liegen hat, aber extra das Fenster offen lässt. Aber das müssen sie selbst entscheiden. Ich würde als Admin jedenfalls jede Verantwortung für die Folgen ablehnen (schriftlich geben lassen!)
Wären die Daten nicht schützenswert, würde man sie gleich unverschlüsselt senden, anstatt einen aufwendigeren, langsameren Dienst zu konfigurieren.

Sicherlich wäre es die beste Lösung, wenn die Endanwendung https verstehen würde
Das wäre meine zweite Frage gewesen: Welche Anwendung ist das denn und auf welchem OS läuft sie? Eventuell könnte man ja einen SSL-Tunnel dafür bauen.
Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.
me is all sausage
but don't call me Ferdl

  • »bolder« ist männlich
  • »bolder« ist der Autor dieses Themas

Beiträge: 68

Registrierungsdatum: 06.08.2008

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: Unity

  • Nachricht senden

5

13.11.2012, 12:15

Es ist eine Geodaten-Anwendung, die ich selbst nicht kenne. Läuft unter Windows.
Ich denke, ich muss erst mit der Fachabteilung und dem Dienstleister reden.

So - jetzt ist alles geklärt. Die Fachabteilung verzichtet erst einmal auf https und versucht, die Anwendung umprogrammieren zu lassen.
Vielen Dank für die Infos!

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »bolder« (28.11.2012, 11:50)