0315e25afb17e542a18e22804261df651e4b9e5f
[ach-master.git] / src / proxy_solutions.tex
1 \subsection{Intercepting proxy solutions and reverse proxies}
2
3 Within enterprise networks and corporations with increased levels of paranoia or at least some defined security requirements it is common, NOT to allow direct connections to the public internet.
4
5 For this reason proxy-solutions are installed, to intercept ans (hopefully also) scan the traffic for potential threats within the sessions.
6
7 As soon as one wants to establish an encrypted connection to a server, there are three choices:
8
9 \begin{itemize}
10 \item Block the connection, because it cannot be scanned for threats
11 \item Bypass the threat-mitigation and pass the encrypted session to the client, which results in a situation where malicious content is transferred directly to the client without visibility for the security system.
12 \item Intercept (i.e. terminate) the session at the proxy, scan there and re-encrypt the session towards the client.
13 \end{itemize}
14
15 While the latest solution might be the most "up to date", it arises a new front in the context of this paper, because the most secure part of a client's connection could only be within the corporate network, if the proxy-server handles the connection to the destination server in an insecure manner.
16
17 Conclusio: Don't forget to check your proxy solutions ssl-capabilities. Also do so for your reverse-proxies!
18
19 \subsubsection{squid}
20 \todo{Write}
21 %% http://forum.pfsense.org/index.php?topic=63262.0
22
23 \begin{lstlisting}[breaklines]
24                 NO_SSLv2    Disallow the use of SSLv2
25                 NO_SSLv3    Disallow the use of SSLv3
26                 NO_TLSv1    Disallow the use of TLSv1.0
27                 NO_TLSv1_1  Disallow the use of TLSv1.1
28                 NO_TLSv1_2  Disallow the use of TLSv1.2
29                 SINGLE_DH_USE
30                                 Always create a new key when using temporary/ephemeral
31                                 DH key exchanges
32 \end{lstlisting}
33
34 \subsubsection{Bluecoat}
35 \todo{sure?}
36
37 \subsubsection{Pound}
38 % See http://www.apsis.ch/pound
39 % See https://help.ubuntu.com/community/Pound
40
41 Pound 2.6
42         
43 \begin{lstlisting}[breaklines]
44 # HTTP Listener, redirects to HTTPS
45 ListenHTTP
46     Address 10.10.0.10
47     Port    80
48     Service
49         Redirect "https://some.site.tld
50     End
51 End
52 ## HTTPS Listener
53 ListenHTTPS
54     Address      10.10.0.10
55     Port         443
56     AddHeader    "Front-End-Https: on"
57     Cert         "/path/to/your/cert.pem"
58     ## See 'man ciphers'.
59     Ciphers     "       TLSv1.2:!SSLv3:!SSLv2:AES256:!aNULL:!eNULL:!NULL"
60     Service
61         BackEnd
62             Address 10.20.0.10
63             Port 80
64         End
65     End
66 End
67 \end{lstlisting}