impacto do HTTP CONNECT em um proxy da web obrigatório

1

Considere uma rede com firewall com o requisito de alto nível que a navegação normal na Web deve funcionar, mas nada mais (por exemplo, ssh e skype são proibidos). (Conexões de entrada são negadas como é óbvio).

O que deve ser feito para o tráfego HTTP CONNECT? Em um extremo, poderia permitir tudo, o que tornaria o firewall ineficaz. No outro extremo, poderia ser bloqueado: isso bloquearia completamente o HTTPS? (Suponha que o firewall não vá jogar man-in-the-middle esperando que os clientes não notem os certificados falsos.)

Em outras palavras, qual é o uso “normal” prático de CONNECT e qual é uma boa aproximação para restringir seu uso aos casos “normais”?

    
por Gilles 27.09.2010 / 20:55

1 resposta

1

HTTP CONNECT destina-se ao tunelamento e não é obrigatório. Bloquear CONNECT não tem impacto em sites normais que geralmente lidam com solicitações GET, HEAD e POST. Bloqueios desse tipo assumiriam uma inspeção profunda dos pacotes. Um proxy da Web pode ser uma ferramenta mais apropriada para isso do que um firewall.

O HTTPS não será bloqueado pelo bloqueio de CONNECT. A criptografia envolve a conexão e as solicitações passam pelo canal criptografado. Como resultado, você não poderá bloquear solicitações CONNECT em conexões HTTPS.

    
por 28.09.2010 / 06:32