Hi,
Ich möchte einen Proxy auf meinem Server installieren an welchem ich mich Authentifizieren (über SSL) kann und danach als (ebenfalls über SSL) Proxy für möglichst viele Dienste nutzen kann (aber zumindest Web).
Ich habe einen Debian Sarge Server auf dem Plesk 8.1 installiert ist. Gibt es dazu irgendwo ein How-To oder kann mir jemand einigermasen genau sagen wie ich das anstellen soll (Installation, Sicherheit)?
Ich weiss nicht ob mein Anliegen genug klar fomuliert ist, aber mir wäre es echt wichtig mal eure Meinung zum Vorgehen dazu zu hören.
Gruss und ein riesen Dankeschön,
Dawn
SSL Proxy
-
daemotron
- Administrator
- Posts: 2641
- Joined: 2004-01-21 17:44
Re: SSL Proxy
Allround-Proxies wie haproxy beherrschen mehrere Protokolle (neben HTTP auch z. B. SMTP etc.) Eine Authentifizierung über SSL aber so weit ich weiß nicht... Du könntest auch Apache mit mod_proxy einsetzen oder mal einen Blick auf Pound (http://www.apsis.ch/pound/) werfen. Beide können aber AFAIK nur mit HTTP(S) umgehen.
-
dawn
- Posts: 64
- Joined: 2006-01-05 11:32
Re: SSL Proxy
Besten Dank für deine Antwort jfreund!
Es scheint wohl keine universal Lösung zu geben. Ich denke Mail (also SMTP sowie IMAP) benötigte ich nicht zwingend ich ja meine Mails via SMTPS und IMAPS abrufen kann. Aber ein GUTER HTTP Proxy wäre schon sehr nützlich, was mir einfach auf jeden Fall sehr wichtig ist, ist das die Verbindung von mir zum Proxy schon verschlüsselt ist. Was würdest du mir für diese Ansprüche empfehlen?
Gruss und nochmals Danke,
Andy
Es scheint wohl keine universal Lösung zu geben. Ich denke Mail (also SMTP sowie IMAP) benötigte ich nicht zwingend ich ja meine Mails via SMTPS und IMAPS abrufen kann. Aber ein GUTER HTTP Proxy wäre schon sehr nützlich, was mir einfach auf jeden Fall sehr wichtig ist, ist das die Verbindung von mir zum Proxy schon verschlüsselt ist. Was würdest du mir für diese Ansprüche empfehlen?
Gruss und nochmals Danke,
Andy
-
daemotron
- Administrator
- Posts: 2641
- Joined: 2004-01-21 17:44
Re: SSL Proxy
Hmm, ich selbst setze lighttpd als Reverse Proxy (und SSL-Wrapper) vor einem Zope-Server ein - allerdings gibt's da noch ein paar Haken bei (siehe z. B. http://www.rootforum.org/forum/viewtopic.php?t=44616). Was für Dich am besten in Frage kommt, hängt davon ab, welchen Zweck der Proxy erfüllen soll:
- SSL-Wrapper => Pound, Apache, Lighttpd
- Load Balancing => Pound, haproxy, Lighttpd
- Caching => Squid, Apache, Lighttpd
- Application Layer Gateway => Apache + mod_securiy (Pound, haproxy)
-
dawn
- Posts: 64
- Joined: 2006-01-05 11:32
Re: SSL Proxy
Besten Dank für deine Antwort und entschuldigung für meine ungenaue Formulierung.
Ich muss gestehen ich kenne die Bezeichnung für das was ich suche nicht genau aber ich würde auf einen SSL-Wraper tippen. Ich habe mir nochmal überlegt was ich eigentlich nun genau will (mal die Möglichkeiten genau angeschaut). Einen Cache oder Load Balancing benötige ich auf jeden Fall nicht.
Ich möchte einen Proxy welchen ich direkt mit dem IE/FF verwenden kann und im optimalsten Fall zusätzlich noch ein Web-Frontend ala http://www.anonymizer.com/.
Was mir einfach wichtig ist, ist das alle Daten welche zwischen meiner Workstation und dem Proxy übertragen schon verschlüsselt sind. Der Proxy sollte zudem auch auf Seiten zugreiffen können welche über HTTPS erreichbar sind.
Kleine schematische Darstellung:
[WORKSTATION]
|
|
(verschlüsselte Verbindung)
|
|
[Proxy]
|
|
[Webseite XY / HTTPS Webseite XY]
Wichtig wäre aber für mich, dass das Ganze erst funktioniert, wenn eine Authentifizierung (welche ebenfalls über einen verschlüsselten Kanal erfolgen sollte) erfolgt ist. Was wäre dann deine Empfehlung dafür?
EDIT: Ich hab mich mal bezüglich Pound schlau gemacht. Soweit ich sehe wäre mein Anliegen damit möglich? Was ich leider nirgends gefunden habe ist ein HowTo oder ein Manual welches beschreibt wie man Pound für so einen Zweck konfigurieren sollte. Die meisten Anleitungen welche ich gefunden habe beziehen sich auf den Zugriff auf Zope über Pound.
Ich muss gestehen ich kenne die Bezeichnung für das was ich suche nicht genau aber ich würde auf einen SSL-Wraper tippen. Ich habe mir nochmal überlegt was ich eigentlich nun genau will (mal die Möglichkeiten genau angeschaut). Einen Cache oder Load Balancing benötige ich auf jeden Fall nicht.
Ich möchte einen Proxy welchen ich direkt mit dem IE/FF verwenden kann und im optimalsten Fall zusätzlich noch ein Web-Frontend ala http://www.anonymizer.com/.
Was mir einfach wichtig ist, ist das alle Daten welche zwischen meiner Workstation und dem Proxy übertragen schon verschlüsselt sind. Der Proxy sollte zudem auch auf Seiten zugreiffen können welche über HTTPS erreichbar sind.
Kleine schematische Darstellung:
[WORKSTATION]
|
|
(verschlüsselte Verbindung)
|
|
[Proxy]
|
|
[Webseite XY / HTTPS Webseite XY]
Wichtig wäre aber für mich, dass das Ganze erst funktioniert, wenn eine Authentifizierung (welche ebenfalls über einen verschlüsselten Kanal erfolgen sollte) erfolgt ist. Was wäre dann deine Empfehlung dafür?
EDIT: Ich hab mich mal bezüglich Pound schlau gemacht. Soweit ich sehe wäre mein Anliegen damit möglich? Was ich leider nirgends gefunden habe ist ein HowTo oder ein Manual welches beschreibt wie man Pound für so einen Zweck konfigurieren sollte. Die meisten Anleitungen welche ich gefunden habe beziehen sich auf den Zugriff auf Zope über Pound.
-
daemotron
- Administrator
- Posts: 2641
- Joined: 2004-01-21 17:44
Re: SSL Proxy
Jetzt verstehe Dein Anliegen. Dachte, Du suchst einen Reverse Proxy. Was Du willst, ist ein Anonymisierungs-Proxy. Pound ist als Reverse-Proxy primär als Loadbalancer und SSL-Wrapper entwickelt worden (grade im Hinblick auf Zope).
Für das was Du vorhast bist Du wahrscheinlich mit dem Klassiker Squid am besten bedient. Wenn Du das aufwändige Setup scheust, kannst Du Dir auch eine einfache Bastellösung mit Lighttpd bauen (SSL-Verschlüsselung, Proxying, Auth, Rewrites etc. sind damit auch kein Problem).
Für das was Du vorhast bist Du wahrscheinlich mit dem Klassiker Squid am besten bedient. Wenn Du das aufwändige Setup scheust, kannst Du Dir auch eine einfache Bastellösung mit Lighttpd bauen (SSL-Verschlüsselung, Proxying, Auth, Rewrites etc. sind damit auch kein Problem).
-
dawn
- Posts: 64
- Joined: 2006-01-05 11:32
Re: SSL Proxy
Danke :)
Squid scheint wirklich das geeignete Mittel zu sein. Was ich aber z.B. bei dieser http://www.proesdorf.de/linux/squid_conf.php und anderen Anleitungen vermisse ist die Beschreibung wie ich überhaupt verschlüsselt auf den Squid-Rechner connecten kann? Squid wird scheinbar des öfteren in einem LAN als Proxy fürs Internet verwendet.. Bei mir ist es ja so das mein Rechner nicht via LAN mit dem Proxy verbunden werden kann sondern übers Internet. Ich möchte desshalb die Verbindung von Workstation zu Proxy verschlüsseln...
Squid scheint wirklich das geeignete Mittel zu sein. Was ich aber z.B. bei dieser http://www.proesdorf.de/linux/squid_conf.php und anderen Anleitungen vermisse ist die Beschreibung wie ich überhaupt verschlüsselt auf den Squid-Rechner connecten kann? Squid wird scheinbar des öfteren in einem LAN als Proxy fürs Internet verwendet.. Bei mir ist es ja so das mein Rechner nicht via LAN mit dem Proxy verbunden werden kann sondern übers Internet. Ich möchte desshalb die Verbindung von Workstation zu Proxy verschlüsseln...
Du lachst vielleicht, aber das hört sich für mich einiges komplexer an als die Konfiguration von Squid nach diversen HowTo's...Für das was Du vorhast bist Du wahrscheinlich mit dem Klassiker Squid am besten bedient. Wenn Du das aufwändige Setup scheust, kannst Du Dir auch eine einfache Bastellösung mit Lighttpd bauen (SSL-Verschlüsselung, Proxying, Auth, Rewrites etc. sind damit auch kein Problem).
-
daemotron
- Administrator
- Posts: 2641
- Joined: 2004-01-21 17:44
Re: SSL Proxy
Mit Squid kenne ich mich so gut wie nicht aus und kann Dir da auch nicht arg weiterhelfen. Wenn Squid selbst keine verschlüsselte Verbindung unterstützt (was ich mir irgendwie nicht vorstellen kann, Squid kann doch sonst alles :?:), kannst Du immer noch mit einer VPN-Verbindung (OpenS/WAN, stunnel etc.) arbeiten oder z. B. Lighttpd oder Pound als SSL-Wrapper vor den Kraken kleben (das ist mal echt krank, das gefällt *SCNR*). Wenn Du Dich an Basteleien mit Lighty versuchen willst, schau Dir mal http://www.my-universe.com/linux/plone-goes-virtual/ an - da hab ich mal die Vorgehensweise für einen SSL-Wrapper beschrieben (musst Dir halt die relevanten Teile rauspicken und anpassen).
-
dawn
- Posts: 64
- Joined: 2006-01-05 11:32
Re: SSL Proxy
*grins* Ich denke ich versuchs trotzdem mal mit Squid. Eigentlich will ich doch nur von überall her über einen gesicherten nichtsniffbaren Kanal surfen können (z.B. Firmennetz). Wahrscheindlich denken viele hier "... dann nimm doch JAP oder TOR ..." aber der Speed bei diesen Proxys ist mir einfach zu langsam (du siehst ich habe leider zu hohe Ansprüche *grins*). Ich dachte nicht das mein Vorhaben so komplex ist.. ;) Aber Herausforderungen sind immer gut...
Auf jeden Fall besten Dank für deine freundliche und kompetente Beratung und die vielen Infos die du mir gegeben hast.
Gruss und ein schönes Wochenende,
Dawn
Auf jeden Fall besten Dank für deine freundliche und kompetente Beratung und die vielen Infos die du mir gegeben hast.
Gruss und ein schönes Wochenende,
Dawn
-
Anonymous
Re: SSL Proxy
Ist zwar schon älter das Thema, aber wenn es noch relevant ist:
Ich habe mittels OpenVPN einen Server als Proxy und Gateway eingerichtet. OpenVPN ist über 443 erreichbar und somit auch proxyfähig, inklusive Benutzerauthentifizierung, falls man mal über einen Proxy gehen *muss*.
Ich habe mittels OpenVPN einen Server als Proxy und Gateway eingerichtet. OpenVPN ist über 443 erreichbar und somit auch proxyfähig, inklusive Benutzerauthentifizierung, falls man mal über einen Proxy gehen *muss*.