Re: Antivirus e squid

On Fri, 2003-10-17 at 14:57, ~MeRliNo wrote:
> Con le connessioni Https come ci mettiamo?
> Non mi risulta che IWV proxy anche l'https. Da quello che vedo, per avere una configurazione funzionante devi mettere 1 proxy 
> squid a valle ed uno a monte con l'Interscan Web Virus Wall nel mezzo. Interscan, per funzionare, deve collegarsi ad un proxy a 
> valle e gli utenti, per accedere, si collegheranno con il proxy a monte che a sua volta si collega con Interscan Web VirusWall.
> Nel log non c'e' traccia delle connessioni Https.
> 
> 

se i client usano un proxy, che a sua volta forwarda le connessioni a
IVW come suo parent proxy, il quale forwarda ancora ad un altro parent
proxy... le connessioni https saranno dunque 'proxate' e non 'reali'
(perdona l'imprecisione dei termini che sto usando)...

il client chiede al proxy, che chiede ad un'altro proxy, che chiede ad
un'altro proxy ancora... il quale fa la richiesta https al il web
server....


inoltre tieni presente che molti antivirus (ora, io non conosco IVW
nello specifico, ma sto ragionando per analogie) NON SONO IN GRADO di
effettuare la scansione antivirus di connessioni https. Perche' ? Beh,
perche' sono ENCRYPTED ! ...altrimenti che SSL sarebbe se l'antivirus
fosse in grado di 'leggerci dentro' ?
Questo e' vero per il proxy AV di Symantec, di McAfee, e altri che ho
provato.... fino ad arrivare al punto in cui alcuni vendor, pur di
tenere la porta 'chiusa' ai virus, si rifiutano di passare https del
tutto (l'appliance di Panda, che testai qualche mese fa, fa proprio
cosi': https NON passa), proprio perche' non ne possono effettuare la
scansione. Qui c'e' una scelta da parte dei vendor e degli utenti, se
vogliono permettere traffico potenzialmente pericoloso (perche' non
controllato) o se non usarlo da dentro un'azienda.

Questo e' un problema comune a tutti i protocolli cifrati, che non
vengono infatti 'visti' anche dai vari IDS... stesso discorso.

Uno dei vendor di IDS (ISS) promette di essere in grado di 'vedere'
nelle connessioni crittate SSL che avvengono verso il tuo webserver... e
come fa ? Usa un agente sul server web stesso, che funge da
MAN-IN-THE-MIDDLE.... intercetta la richiesta come se lui fosse il web
server, la descritta, la analizza, logga ed eventualmente la droppa se
'pericolosa'... e se decide che e' ok, la passa poi al web server
'vero'....

purtroppo (o per fortuna) non ci sono altri metodi di cui io sia al
corrente. Lista: Correggetemi se sbaglio, please!

Sicuramente io non ho visto questi metodi implementati su proxy AV.

...se la tua connessione 'SICURA' in https venisse intercettata e
descrittata dal proxy.... dove sarebbe piu' la sicurezza (privacy) della
connessione ?

Anche nel caso del man-in-the-middle, ci sarebbero delle implicazioni
per la privacy, credo!

Molti proxy si limitano a 'passare' queste connessioni cosi' come sono.
Non e' un bug, e' una feature di SSL ! :)

Cordiali Saluti,

Daniele Muscetta




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List