У меня огромная сеть, насчитывающая около 1000 пользователей. Мы используем squid (3.1.x) в качестве прокси-сервера с прямым кэшированием, а также аутентифицируем наших пользователей, чтобы разрешить им доступ к Интернету (помогает нам регистрировать то, к чему обращается конкретный пользователь).
Проблема в том, что это соединение между клиентом и прокси представляет собой обычный текст, поэтому любой, кто использует анализатор пакетов, может видеть учетные данные других пользователей.
У кого-нибудь есть решение для этого?
Безопасный транспорт к HTTP-прокси не очень хорошо поддерживается. Есть еще один Почта это уже отвечает на этот вопрос.
Из-за того, что прокси-аутентификация - это не что иное, как базовая аутентификация HTTP, учетные данные отправляются очень слабым образом. Возможным решением для повышения безопасности на этом этапе и предотвращения некоторых других атак является использование аутентификации Kerberos (если она подходит в вашей среде). В зависимости от ваших клиентских операционных систем и общей настройки (домен / рабочая группа) это возможно, а также дает некоторые приятные побочные эффекты, такие как единый вход.
Таким образом, как будто я ничего не могу сделать с открытым исходным кодом, чтобы обеспечить хорошую безопасность. Но я читал в документации по squid, что использование параметра auth_param digest может, по крайней мере, преобразовать текстовое содержимое в хэши.