Re: [ml] squid + squidguard + dansguardian

On Wed, Dec 01, 2004 at 06:47:15PM +0100, Fabio Panigatti wrote:

> > permettono di fare  mitm sui certificati (posto che si  installi come ca
> > riconosciuta la chiave  che utilizzano per farloccare  i certificati) ed
> 
> I certificati vengono generati on the fly dal proxy con il corretto nome
> del server web di destinazione?

Immagino di si, se vogliamo che  funzioni :) Non vedo la difficolta' nel
farlo, una volta che i client hanno tra l'elenco delle ca attendibili il
cert  relativo alla  chiave  con  cui il  proxy  firma  i cert.  L'unica
difficolta' e' se il server remoto vuole un client del cert.

Btw, ne avevamo gia' discusso eoni fa (e' roba nota e stranota):
http://www.sikurezza.org/ml/04_02/msg00059.html

E gia'  che ci siamo,  ho anche  trovato questo tra  le cose che  mi ero
segnato  (mai  guardato,  ma,  ripeto,  imho si  fa  in  poche  ore  per
squid, sempre  che gia' non  ci sia).  Per i prodotti  commerciali, fate
riferimento a google, ma personalmente guarderei sulla lista fw wizards:

http://freshmeat.net/releases/95112/
About:  Reapoff  (Regular  Expression,  Arbitrary  Protocol,  Opensource
Filtering Firewall)  is a  regular expression  enabled TCP/IP  proxy. It
operates on data using a pair  of simple rule- based configuration files
defining the tests and actions to perform  on data. It can also sign SSL
connections  transparently (with  MITM), applying  a security  policy to
encrypted SSL  sessions that would  otherwise be allowed  unchecked. The
proxy forms  the core part of  an overall firewall solution  designed to
run from a RAM disk using Trinux.

E  anche zorp  (http://freshmeat.net/projects/zorp/) sembrerebbe  farlo,
almeno stando al primo results fornitomi da google:
http://www.google.it/search?q=ssl+mitm+firewall

Non  ricordo al  volo  tutti i  prodotti commerciali  che  lo fanno,  ma
secondo me piano piano e' una feature che hanno in molti.

bye
Koba (moderatore)