[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ] 

Archivio: Dicembre 2004 ml@sikurezza.org
Soggetto: Re: [ml] squid + squidguard + dansguardian
Mittente: Igor Falcomata'
Data: Wed,  1 Dec 2004 14:26:04 +0100 (CET)

On Wed, Dec 01, 2004 at 12:47:34PM +0100, JohnnyRun wrote:

> Anche se non è strettamente affine al topic, mi interesserebbe conoscere
> se esiste un metodo per filtrare a livello di contenuti le richieste di
> "connect" usate in https. 
> 
> Come si puo' fare per evitare un abuso di tale metodo? (ovvero i tunnel
> over https)?

Disabilitarlo :)

> Limitare la connect alla sola porta di destinazione 443 non esula dal
> fatto che su internet qualche host potrebbe farmi da "socio" e rimbalzare
> le connessioni per mio conto (tipo: un sock server ssh che gira sulla
> 443 dell'host socio).
> 
> Si puo' filtrare qualcosa del genere?

In breve? no :P

Alu'ra, un  primo check potrebbe  essere per  lo meno verificare  che la
richiesta sia ssl (handshaking  & so), ma serve poi a  poco (si evita il
trucchetto di ssh/altroservizio  bindato su 443, ma  basta tunnelarlo in
una sessione ssl (stunnel, sslwrap, telnet-ssl, *ssl, ssl*, :) e ciao. 

Alcuni prodotti (principalmente commerciali per quelli "precotti" afaik,
poi  si puo'  fare anche  con  squid &  co abbastanza  in fretta,  imho)
permettono di fare  mitm sui certificati (posto che si  installi come ca
riconosciuta la chiave  che utilizzano per farloccare  i certificati) ed
applicare  anche al  traffico  cifrato  (client ->  proxy  -> server)  i
content filtri usuali applicati al  resto del traffico (ovviamente se il
server vuole un cert dal client diventa tutto piu' complicato)...

questo non toglie che se uno  vuole controllarsi una macchina da remoto,
puo'  farlo  in  x-mila  maniere/incapsulazioni, etc.  (shell  via  web,
messenger, posta, etc., solo per fare un esempio)

In alcune situazioni molto particolari  e restrittive si puo' pensare di
filtrare in base  al server di destinazione (default deny  del connect o
meglio di  tutto il  traffico, whitelist per  i server  (o eventualmente
categorie se si hanno sottoscritto  servizi che forniscono queste liste)
permessi, ma e' ovviamente alquanto scomodo)

Btw, molti  proxy lasciano  aperta anche  la 563  al metodo  connect, di
default (ed alcuni tutte le porte, pfff)

bye
Koba (moderatore)


[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005