Hallo Leute,

ich habe folgendes Problem: Ich habe hier einen Proxy (Squid squid/2.5.STABLE14 auf FreeBSD 6.1-STABLE)

der HTTP und HTTPS Verbindungen ins Internet erlaubt.

Mit der Moeglichkeit HTTPS zu benutzen habe ich den Benuztern dann auch die Moeglichkeit gegeben

mit Tools wie CorkScrew (http://www.agroman.net/corkscrew/) einen Tunnel ueber SSH Server im

Internet zu bauen. Damit ist es dann auch moeglich auf Dienste im Internet zuzugreifen die nichts

mehr mit HTTP oder HTTPS zu tun haben. Denkt euch den Rest.

Mehr zum Thema siehe auch hier: http://www.jfranken.de/homepages/johannes/vortraege/ssh3_inhalt.de.html

Hier gefaellt mir der Titel (Firewalls durchbohren...) zwar nicht, das Dokument macht aber sehr gut deutlich

worum es geht.

Kennt irgendwer von euch eine Moeglichkeit dies durch entsprechende Squid Konfuguationen oder

auch gerne sonstige Massnahmen zu unterbinden?

Bin wirklich fuer jede Anregung dankbar :-)

Bye

SystemError

PS: HTTPS einfach deaktivieren ist keine Option fuer uns.

So wie ich das sehe hast du nicht wirklich viele Möglichkeiten.

1.) HTTPS nur zu "bekannten" Hosts zulassen. Aufgrund der Menge der Seiten, die HTTPS anbieten aber wohl nicht praktibel.

2.) Verbindungen nur zu Hosts zulassen, die ein Zertifikat einer bekannten CA haben. (Hierzu müsste Squid zu erst einen Test-Connect machen, ich habe aber leider noch keine Möglichkeit gefunden, sowas zu bauen)

3.) SSL brechen. Das ist wirklich hässlich und mit Squid wohl auch nicht einfach zu machen. Und dann müsstest du immernoch irgendwie den Klartext analysieren.

Kurzum: You are screwed

>>> Kurzum: You are screwed

Yes, I am. :-)

Und ich dachte schon ich stuende auf der Leitung.

Aber ich doch sicherlich nicht der einzige Mensch auf Welt der dieses Problem hat. Letzendlich hiesse das doch das man somit aus jedem(?) Unternehmensnetzwerk das eine HTTPS Proxy verwendet nach draussen bohren kann um entsprechende Zugriffsbeschraenkungen zu umgehen.

Unschoen. ^^

Bye

SystemError