我有一个大约有 1000 个用户的大型网络。我们使用 squid(3.1.x) 作为正向缓存代理服务器,并且我们还对用户进行身份验证以允许他们访问互联网(帮助我们记录特定用户正在访问的内容)。
问题是,客户端和代理之间的连接是纯文本,因此任何使用数据包嗅探器的人都可以看到其他用户的登录凭据。
有人有解决这个问题的方法吗?
答案1
对 HTTP 代理的安全传输支持不太好。还有另一个邮政这已经回答了这个问题。
由于代理身份验证本质上就是 HTTP 基本身份验证,因此凭据以非常弱的方式发送。此时提高安全性并防止其他一些攻击的一种可能解决方案是使用 kerberos 身份验证(如果适合您的环境)。根据您的客户端操作系统和整体设置(域/工作组),这是可能的,并且还提供一些不错的副作用,例如单点登录。
答案2
因此,我无法使用开源来提供良好的安全性。但是,我在 squid 文档中读到,使用“auth_param digest”参数至少可以将纯文本内容转换为哈希值。