Příspěvekod Majklik » 13 years ago
No, uvnitř firmy bych se transparetní proxině bránil. Pokud to třeba přesměrovává se na squid, tak mám vyzkoušeno, že v režimu transparentní proxiny nezkousne řadu stránek, kde jsou trošku nekorektně dělané odkazy. Když je ta proxina použita přímo prohlížečem vědomě, tak to funguje (a firewall přímé spojení ven klientům jen odmítá). Také u transparetní proxiny nemůžu dělat ověření klientů (pokud jsou počítače v doméně, tak jde nastavit automatické na pozadí, bez obtažování uživatele).
Abych nemusel obíhat klienty a něco nastavovat, tak to řeší autokonfigurace proxiny (wpad záznam v DNS plus v DHCP) a je pokoj. I na notebookaře to pěkně jde, připojí notebook ve firmě, začne používat proxinu, připojí se doma, jde napřímo, nahodí VPNko do firmy, tak opět naskočí proxina...
K tomu HTTPS, samozřejmě jde monitorovat, co v něm jede. Pokud je to ve firmě, tak v komplech je certifikát firemní CA, podřízenou CA autoritu má k dispozicii proxina a dynamicky dělá to, že si vytváří certifikáty pro jednotlivé stránky podepsané firemní autoritou a klientům to ani nepípne (pokud mají v komplu naimportovaný certikát od autority, co používá proxina). Tuším, že v Squid3 je daná funkcionalita už přímo (ssl-bump). Pokud jste hodně velcí a máte dost peněz, tak za tím účelem jde koupit specializovaná bedna s podobným certifikátem od několika veřejných autorit, pak klient má certifikát v počítači už z výchozí instalace a pěkně do SSL vidíte (řve to jen v případě, že klient používá nějaký důkladnější nástroj na kontrolu certifikátů a ten upozorní, že třeba noťas doma vidí skutečný certifikát od serveru a ve firmě vidí podepsaný jinou autoritou).
Proto si také soudný člověk nanaimportuje do počítače certifikát nějaké autority, co si provozuje ISPík a občas nabízí zákazníkům, ať jim neřve přístup na jeho služby, protože pak může dělat takovéto skopičiny na své zákazníky.
0 x
