modulo SSL para cachear navegacion HTTPS

Publicado por mac86, Octubre 22, 2013, 11:17:10 AM

Tema anterior - Siguiente tema

mac86

Alguien ha probado el modulo SSL para SQUID de modo tal de poder cachear
elementos HTTPS ?

lo pregunto porque hoy aparecio un post en uno de los blogs que sigo , que puede ser muy interesante...

http://aacable.wordpress.com/2013/10/22/squid-3-and-ssl/

saludos!

firecold

Cita de: mac86 en Octubre 22, 2013, 11:17:10 AM
Alguien ha probado el modulo SSL para SQUID de modo tal de poder cachear
elementos HTTPS ?

lo pregunto porque hoy aparecio un post en uno de los blogs que sigo , que puede ser muy interesante...

http://aacable.wordpress.com/2013/10/22/squid-3-and-ssl/

saludos!

Pues las imagenes no mienten, la verdad lo logro el detalle es como logro hacer el ceritficado, hablo como especificamente ya que con ciertos navegadores es imposible, como en chrome que este detecta los certificados cuando son hechos por uno, en cambio firefox o IE ni los detecta, por eso habria que saber con que lo estaba probando, Saludos

Zero

Jejeje no lo tomen a mal, pero de mi parte no le veo interes a esto, ya que como en algun lado de la documentación de squid (no recuerdo la fuente exacta) leí, esto es similar a un MITM, y sería factible solo para entornos pequeños, ya que hay que hacerlo (segun tengo entendido) por usuario (y peor aun, por navegador) y en modo manual, por lo tanto en entornos WISP es problematico y hasta contraproducente ya que se está "violentando" la privacidad del usuario y pueden ser mas los problemas que se den por violentar el certificado real que la ganancia real, lo veo de este modo: es mas el esfuerzo y pocas las posibilidades de que realmente sea efectivo y funcione de forma adecuada, que la ganancia obtenida. Además, imagínense el trabajo que va a dar poder dar soporte efectivo y eficiente al usuario, y ni hablar de cuando formatean las máquinas...

Un abrazo,



Lelouch
PDATA: Repito, tal vez para entornos pequeños, oficinas, y cybers sea rentable, pero de resto no.
En GNU/Linux formatear por cualquier cosa es de noobs, tu decides si eres uno...

firecold

Cita de: Zero en Octubre 22, 2013, 11:34:01 AM
Jejeje no lo tomen a mal, pero de mi parte no le veo interes a esto, ya que como en algun lado de la documentación de squid (no recuerdo la fuente exacta) leí, esto es similar a un MITM, y sería factible solo para entornos pequeños, ya que hay que hacerlo (segun tengo entendido) por usuario (y peor aun, por navegador) y en modo manual, por lo tanto en entornos WISP es problematico y hasta contraproducente ya que se está "violentando" la privacidad del usuario y pueden ser mas los problemas que se den por violentar el certificado real que la ganancia real, lo veo de este modo: es mas el esfuerzo y pocas las posibilidades de que realmente sea efectivo y funcione de forma adecuada, que la ganancia obtenida. Además, imagínense el trabajo que va a dar poder dar soporte efectivo y eficiente al usuario, y ni hablar de cuando formatean las máquinas...

Un abrazo,

Lelouch
PDATA: Repito, tal vez para entornos pequeños, oficinas, y cybers sea rentable, pero de resto no.

Gracias amigo Zero, en eso tienes razon que es solo para entornos pequeños, y aun asi no vale la pena, pero si es interesante saber como lo hizo ya que yo lo he hecho con exito como dije con firefox e IE pero con Chrome es otra historia, para no perder la practica de compilar esta excelente, Saludos

centronick


freedarwuin

>Si te gusta dale LIKE<

Entre las redes cableadas y las que no, el Mikrotik, ThunderCache y Tp-Link no hay nada Oculto... Para todo lo demás solo hay que "Guglear".
Mikrotik, Raptor, Ubiquiti, Tplink.
Prestamos Soporte en cuanto a Redes se refiere a Empresas, Wisp y hogares!!!
www.mikronet.com.ve

RooTDoWN

La única forma de intervenir el tráfico HTTPS es un "man in the middle" y eso siempre requerirá que cada usuario se instale un certificado ssl en su navegador creado para la ocasión.

Pero hay otra forma más sencilla de hacer esto, sin que el usuario deba instalar un certificado. Y es mostrar el tráfico https como tráfico http utilizando un proxy que haga de cliente HTTPS y de servidor HTTP.

Por ejemplo, si se quiere intervenir el tráfico de Twitter, cuando el servidor proxy HTTP recibiera peticiones de conexión a "http://ww.twitter.com" debería mostrar el contenido de "httpS://www.twitter.com", de esa forma, si el usuario voluntariamente decide utilizar "http://www.twitter.com" o "http://www.facebook.com" no será redirigido a la versión HTTPS de esas páginas. Además, según la web, podría ser necesario cambiar el código html on-the-fly para modificar las urls HTTPS por HTTP en el html.

Por tanto, poder se puede hacer, siempre que el usuario entre en primer lugar a la versión HTTP de la web. Pero es algo muy costoso en términos de consumo de recursos del servidor (cifrar/descifrar en ssl siempre lo es). Y el contenido que más ancho de banda consume nunca utiliza HTTPS (vídeos de youtube, etc). Por lo que implementar algo así sólo tiene sentido donde el ancho de banda sea muy caro, o en caso de que se necesite espiar el tráfico por otros motivos (monitorización por parte del estado, etc...).

jesus3602

Este tema debe ser abordado ya que habemos personas que tenemos cyber cafe o pequeños comercios y necesitamos cachear facebook se que no es permitido ya que bulnera la privacidad de las personas pero si tales personas en nuestra red desean quieren ser cacheados basandose en que asi podran navegar algo mas rapido siendo concientes y poniendoles a ellos como  regla y sobre aviso que al entrar en nuetra red seran cacheados elementos https creo que no seria ilegal

Asi que propongo abrir este tema  lei el post del pana y si es posible alli estan los pasos solo falta alguien con experiencia que haga un scrip que haga todo automatico y el que instale dicho escrip es responsable de lo que hara con ello
Despues de un final de circuito, hay un comienzo para un codigo en "C+ "Informatica Pura"

RooTDoWN

Una caché no tiene porqué vulnerar la privacidad, depende de como se implemente y de como se administre.
Por ejemplo, una implementación que haría imposible vulnerar la privacidad de una caché sería guardar en lugar de la url, un hash de la url como nombre del recurso cacheado, y el contenido cifrado usando como password un algoritmo de hash diferente sobre la url.

Por ejemplo para cachear www.google.com/logo.jpg, como nombre de archivo para ese archivo en el proxy caché se usaría el hash ripemd160 de "www.google.com/logo.jpg", y el contenido se cifraría utilizando cualquier algoritmo de cifrado simétrico utilizando como password el hash sha de la url.
De esta forma, para acceder a cada elemento cacheado sería necesario conocer la url exacta, así que nunca podría accederse a nada que no esté disponible en internet sabiendo su url, el administrador no podría ver que hay guardado en su caché, sólo podría saber el contenido de la caché introduciendo cada URL que esté cacheada, pero no ver la lista de urls cacheadas.

En Facebook lo que utiliza un tráfico de datos más intensivo son las imágenes, el resto no necesitaría ser cacheado. De todos modos la eficacia no sería la misma que en Youtube, porque la variedad de fotos que cada usuario ve en facebook, es mucho mayor que los vídeos que se ven en Youtube. Por ejemplo, hay videoclips en youtube que tienen cientos de millones de visitas, pero no hay usuarios de Facebook cuyas fotos tengan cientos de millones de visitas.

¿Se puede cachear Facebook? Sí, si el usuario entra a traves de http://www.facebook.com (sin S), y un proxy transparente se encarga de modificar al vuelo el código html y acceder como cliente a la versión https de esa web. Es complicado, pero es técnicamente posible.
¿Sería rentable para ahorrar ancho de banda? Pienso que no, salvo en excepciones donde el ancho de banda sea extremadamente caro.

jesus3602

entiendo tu punto buen amigo pero habemos personas que navegamos con internet muy lento y necesitamos cachear a facebook para ahorra alguito de banda tengo un cyber 6 maquinas y raptor con un balanceador balancenado 2 modem axesstel cdma aqui en venezuela y cada modem me vota de velocidad solo 140kbps por minuto osea casi nada gracias a raptor navego a una buena velocidad pero siempre hay que buscar mas y pienso hace cache solo de face y compilar squid que ya salio en otro post para mejorar la velocidad del cache!!!! ojala alguien como tu hiciera un mtutorial o un escri que ayudara al proceso de modificar el debian para que cache https gracias y muy buena tu explicacion mano
Despues de un final de circuito, hay un comienzo para un codigo en "C+ "Informatica Pura"

firecold

Cita de: jesus3602 en Enero 30, 2014, 01:21:49 PM
entiendo tu punto buen amigo pero habemos personas que navegamos con internet muy lento y necesitamos cachear a facebook para ahorra alguito de banda tengo un cyber 6 maquinas y raptor con un balanceador balancenado 2 modem axesstel cdma aqui en venezuela y cada modem me vota de velocidad solo 140kbps por minuto osea casi nada gracias a raptor navego a una buena velocidad pero siempre hay que buscar mas y pienso hace cache solo de face y compilar squid que ya salio en otro post para mejorar la velocidad del cache!!!! ojala alguien como tu hiciera un mtutorial o un escri que ayudara al proceso de modificar el debian para que cache https gracias y muy buena tu explicacion mano

Amigo yo estoy en las mismas que usted, actualmente tengo 6 maquinas en mi cyber y tengo una velocidad que promedia los 2 Megas, lo que puedes hacer es poner limites a tus clientes por ejemplo, yo en mi red les permito descargar archivos maximo de 500MB, agregando en la configuracion de squid esto:

reply_body_max_size 500 MB mired

Siendo mi red la acl donde se encuentran las ips de los clientes, aparte implemento delay pools para impornerle una velocidad de descarga a ciertos archivos, ejemplo:

acl accesototal src "/etc/squid3/accesototal.txt"
acl mired src "/etc/squid3/mired.txt"
acl denegados dstdomain -i "/etc/squid3/denegados.lst"
acl magic_words2 url_regex -i ftp .exe$ .mp3$ .vqf$ .tar.gz$ .gz$ .rpm$ .zip$.rar$ .avi$ .mpeg$ .mpe$ .mpg$ .qt$ .ram$ .rm$ .iso$ .raw$ .wav$ .mov$ .au$ .snd$ .mid$ .rmi$ .aif$ .aifc$ .aiff$ .m3u$ .ra$ .mpa$ .mp2$ .mpv2$ .swf$ .flv$ .mp4$ .3gp$ .cab$ .apk$
#----------------------------------------------------------------------
http_access deny localhost
http_access allow accesototal
http_access allow mired !denegados
http_access deny all
reply_body_max_size 500 MB mired
# DELAY POOL PARAMETERS
# -----------------------------------------------------------------------------
delay_pools 2
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow accesototal
#-----------------------------------------------------------------------------
delay_class 2 1
delay_parameters 2 40960/40960 
delay_access 2 allow magic_words2 mired
#-----------------------------------------------------------------------------


En el ejemplo la acl accesototal no tiene restricciones, ni de descarga, ni tampoco de sitios web, en cambio la acl mi red en la cual estan mis clientes, no se les permite ciertas paginas y ciertos archivos solo pueden descargas a 40Kbps, asi permites que la navegacion sea mas fluida, saludos

jesus3602

amigo firelcold gracias es bueno saber que hay alguien con una red parecida a la mia asi me entenderia por favor mano ayudame si por favor conectate a skype y te paso me ide de team para que me ayudes hacer esas reglas en el equid por fa men si
Despues de un final de circuito, hay un comienzo para un codigo en "C+ "Informatica Pura"

jesus3602

este es mi skype estoy conectado desde ahorita que son las 3:06 hara aqui en venezuela y hasta las 4:00pm mirma hora en venezuela agregame es jesuspcservices@hotmail.com
Despues de un final de circuito, hay un comienzo para un codigo en "C+ "Informatica Pura"

RooTDoWN

A los que llevan tiempo utilizando proxys caché:
Cuando Facebook no utilizaba HTTPS, ¿qué ratio medio de elementos cacheados servíais con el proxy caché?.
Es para saber si de verdad merece la pena programar algo así o no.

Saludos.

Jeremy


firecold

Cita de: Jeremy en Abril 01, 2014, 11:40:18 PM
Sera esto? Squid-in-the-middle SSL Bump

http://wiki.squid-cache.org/Features/SslBump
Quien podria probar esto??

Este es otro modo de hacerlo, yo lo he visto que se puede hacer de tres maneras, la que describes es la menos complicada, pero consume mas memoria que las demas, Saludos

leony88

tengo este problema los usuarios de mi red pueden realizar descarga desde las paginas https y no debe ser asi, desde las paginas http si me funciona la politica pero no se que pasa con las https, alguien pudiera ayudare con eso,

firecold

Cita de: leony88 en Enero 31, 2017, 11:26:06 AM
tengo este problema los usuarios de mi red pueden realizar descarga desde las paginas https y no debe ser asi, desde las paginas http si me funciona la politica pero no se que pasa con las https, alguien pudiera ayudare con eso,

No te voy a decir que no se puede, pero tendrias que compilar tu Squid o configurar con SquidGuard o DansGuardian, es cuestion que investigues, Saludos