Abstrait
J'ai besoin d'une connexion TCP cryptée de plusieurs clients vers un seul port via Internet. Cela peut-il être réalisé avec Squid?
Situation concrète
Nous utilisons dans notre entreprise une solution de surveillance et de gestion des clients accessible via LAN et VPN. Il devrait maintenant être accessible à partir de blocs-notes externes qui n'utilisent pas le VPN de l'entreprise . La communication doit être cryptée (TLS). L'authentification des clients doit utiliser des certificats clients. La communication est initiée par les clients et utilise un seul port TCP.
Résultats de mes investigations
NGINX Plus semble offrir cette fonctionnalité mais notre administrateur préfère le calmar ou l'apache. Sur le wiki de Squid, j'ai trouvé que: Fonctionnalité: HTTPS (HTTP sécurisé ou HTTP sur SSL / TLS) où le cryptage TCP est mentionné. Mais j'ai également trouvé cet avertissement:
Il est important de noter que les protocoles passés via CONNECT ne sont pas limités à ceux que Squid gère normalement. Littéralement, tout ce qui utilise une connexion TCP bidirectionnelle peut être transmis via un tunnel CONNECT. C'est pourquoi les ACL par défaut de Squid commencent par deny CONNECT! SSL_Ports et pourquoi vous devez avoir une très bonne raison de placer tout type de règle d'autorisation au-dessus d'eux.
Question similaire
Cette question Crypter la connexion client avec le proxy direct Squid à l' aide de SSL est similaire, mais ne traite pas les proxys inverses / proxies de terminaison TLS.
Ce que je dois savoir
Je n'ai que des connaissances de base sur ces technologies et notre administrateur m'a demandé une faisabilité générale.
- Squid peut-il être utilisé pour sauvegarder le cryptage des connexions TCP?
- Cela peut-il être réalisé en utilisant l'authentification avec des certificats clients?
- Ou doit-il être utilisé uniquement pour les connexions HTTPS?
la source
CONNECT n'est utilisé que par les clients HTTP vers un proxy HTTP pour établir un tunnel via le proxy. Il n'y a pas non plus de schéma dans HTTP pour une connexion cryptée à un proxy HTTP.
Je soupçonne qu'un proxy HTTP n'est pas ce que vous recherchez ici.
Je ne sais pas si Squid prend en charge les plug-ins TCP avec TLS et les certificats clients, mais WinGate le fait. Il a également la possibilité de vérifier le UserPrincipalName dans le certificat auprès d'un Active Directory.
Avertissement: je travaille pour Qbik qui sont les auteurs de WinGate.
la source