Proxy chapter restructured
[ach-master.git] / src / proxy_solutions.tex
1 \subsection{Intercepting proxy solutions and reverse proxies}
2
3 \subsubsection{General thoughts}
4 \todo{Write}
5
6 Within enterprise networks and corporations with increased levels of paranoia or at least some defined security requirements it is common, NOT to allow direct connections to the public internet.
7
8 For this reason proxy-solutions are installed, to intercept ans (hopefully also) scan the traffic for potential threats within the sessions.
9
10 As soon as one wants to establish an encrypted connection to a server, there are three choices:
11
12 \begin{itemize}
13 \item Block the connection, because it cannot be scanned for threats
14 \item Bypass the threat-mitigation and pass the encrypted session to the client, which results in a situation where malicious content is transferred directly to the client without visibility for the security system.
15 \item Intercept (i.e. terminate) the session at the proxy, scan there and re-encrypt the session towards the client.
16 \end{itemize}
17
18 While the latest solution might be the most "up to date", it arises a new front in the context of this paper, because the most secure part of a client's connection could only be within the corporate network, if the proxy-server handles the connection to the destination server in an insecure manner.
19
20 Conclusio: Don't forget to check your proxy solutions ssl-capabilities. Also do so for your reverse-proxies!
21
22 \subsubsection{squid}
23 \todo{Write}
24 %% http://forum.pfsense.org/index.php?topic=63262.0
25
26 \begin{lstlisting}[breaklines]
27                 NO_SSLv2    Disallow the use of SSLv2
28                 NO_SSLv3    Disallow the use of SSLv3
29                 NO_TLSv1    Disallow the use of TLSv1.0
30                 NO_TLSv1_1  Disallow the use of TLSv1.1
31                 NO_TLSv1_2  Disallow the use of TLSv1.2
32                 SINGLE_DH_USE
33                                 Always create a new key when using temporary/ephemeral
34                                 DH key exchanges
35 \end{lstlisting}
36
37 \subsubsection{Bluecoat}
38 \todo{sure?}
39