Přesměrování provozu na firemní proxy

Karlitos

Přesměrování provozu na firemní proxy
« kdy: 01. 09. 2015, 21:08:39 »
Dobrý den,

dělám v malém vývojovém týmu pro jednu instituci, která používá proxy server. Doteď tam nebylo zvykem že by někdo ze zaměstnanců měl nějaké speciální požadavky na software, většina jich používá Windows nebo maximálně Mac a globální nastavení proxy v klikacích nastavovadlech těch systémů pořešilo většinu dosavadních potřeb.

Teď jsme v dané isntituci začali jako malý vývojový tým a najednou trávíme hodiny řešení a nastavováním proxy. Kolegové mají Ubuntu nebo Mac, ale hlavně teď ze začátku neustále něco instalujeme, zkoušíme a nejsme schopní to vyřešittak, abychom nemuseli nastavovat proxy pro každou další utilitu která přijde.

Když jsem si vložil do konfoguračního souboru pro bash
Kód: [Vybrat]
export http_proxy=http://ip_serveru:port
export https_proxy=http://ip_serveru:port

tak mi vetšina věcí v terminálu jede, ale ...
  • NodeJS/npm/atom - musel jsem nastavit ručně
  • Eclipse IDE - znovu
  • projekty s Maven ...

Nejenže to žere čas, ale kvůli nastavení apm pro Atom editor jsem ztrávil dvě hodiny čtením diskuzí pod bugreporty a skončil nějakým workaroundem ...

Jelikož do sítí zase tolik nevídím tak jsem chtěl poradit, jestli nelze globálně nějak přesměrovat veškerý traffic který se snaží spojit ven aby šel přez ten firemní proxy. šlo by toto vyřešit přez IP-Tables ? Budu moc vděčný kdyby mi do toho někdo mohl vnést jasno.
« Poslední změna: 01. 09. 2015, 22:08:32 od Petr Krčmář »


Re:Přesměrování provozu na firemní proxy
« Odpověď #1 kdy: 02. 09. 2015, 06:49:00 »
Můžete na proxy server přesměrovat veškerý odchozí provoz na port 80. Ale pokud nějaký web poběží na jiném portu, přesměrování to nezachytí. Také takhle nejde přesměrovat HTTPS, protože tam se komunikuje jiným způsobem přímo s cílovým serverem a jinak s proxy serverem.

MP

Re:Přesměrování provozu na firemní proxy
« Odpověď #2 kdy: 02. 09. 2015, 09:18:00 »
Také takhle nejde přesměrovat HTTPS, protože tam se komunikuje jiným způsobem přímo s cílovým serverem a jinak s proxy serverem.

Bylo by mozne to vice rozvest? Tohle chovani by defacto branilo nasazeni transparentni proxy popr. presmerovani z firewallu (aby se nenastavovaly stanice) na proxy.

k

Re:Přesměrování provozu na firemní proxy
« Odpověď #3 kdy: 02. 09. 2015, 09:26:55 »
Transparentní HTTPS proxy se ve firmách dělá takto: Na klientskou stanici se povinně nainstaluje certifikát lokální CA, na proxy se HTTPS komunikace "přebalí" a podepíše lokální CA. BFU to má v Chrome zelené, firma šmíruje HTTPS a všichni jsou spokojeni.

P.

Re:Přesměrování provozu na firemní proxy
« Odpověď #4 kdy: 02. 09. 2015, 09:43:04 »
... a pak se účetní diví, že se jí rozbilo bankovnictví...


Filip Jirsák nepřihlášený

Re:Přesměrování provozu na firemní proxy
« Odpověď #5 kdy: 02. 09. 2015, 09:44:48 »
Bylo by mozne to vice rozvest? Tohle chovani by defacto branilo nasazeni transparentni proxy popr. presmerovani z firewallu (aby se nenastavovaly stanice) na proxy.
Ano, na HTTPS nelze transparentní proxy rozumně nasadit. Při použití HTTPS se v základním režimu neposílá v nešifrované části spojení jméno serveru, takže proxy server nemá jak zjistit, kam se chce klient připojit. Existuje rozšíření SNI, které jméno požadovaného serveru posílá v nešifrované komunikaci – to podporují moderní webové prohlížeče, ale starší prohlížeče ne a u ostatního softwaru bude podpora také všelijaká. Pokud HTTP klient komunikuje přes HTTP proxy (ne transparentní) a potřebuje navázat HTTPS spojení, pošle proxy serveru příkaz CONNECT s parametry, kam se má spojení navázat (cílovou adresou).

Někde se transparentní HTTPS proxy dělá tak, že se všechna HTTPS spojení unesou (MitM útok), proxy server vytváří on-line certifikáty pro daný server a v HTTPS klientovi je kořenový certifikát, který používá proxy server, nastaven jako důvěryhodný. Ale to je prasárna největšího kalibru, je to klasický MitM útok a proxy server pak má přístup k veškeré komunikaci, jako by šifrovaná vůbec nebyla. Navíc některé prohlížeče mají určité certifikáty na svém vlastním seznamu, pomocí DANE může být certifikát uložen v DNS – obojí jsou způsoby, které ten MitM útok odhalí a na daný web se pak vůbec nedostanete.

Karlitos

Re:Přesměrování provozu na firemní proxy
« Odpověď #6 kdy: 02. 09. 2015, 10:43:40 »
Dekuju ta odpovedi ale stale nejsem moudry jeslti existuje nejake reseni, abych nemusel pro kazdou novou aplikaci nebo nastroj nastavovat proxy zvlast. Chapu to spravne ze to nejde ?

Tonda

  • *****
  • 630
    • Zobrazit profil
    • E-mail
Re:Přesměrování provozu na firemní proxy
« Odpověď #7 kdy: 02. 09. 2015, 13:54:18 »
Stejně jako Windows mají Linuxy nějaké globální nastavení, ale není to všude stejné viz např.:

http://askubuntu.com/questions/134867/proxy-configuration-change
http://askubuntu.com/questions/150210/how-do-i-set-systemwide-proxy-servers-in-xubuntu-lubuntu-or-ubuntu-studio

A některé aplikace to ignorují a mají vlastní nastavení, na Windows stejně jako na Linuxu.

Jak se to ve které aplikaci nastavuje jednou vyzkoumáš a sepíšeš do nějakého howto, nový vývojář si to pak jednou projde a nastaví, to je otázka pár minut.

Jinak pokud je síť za proxy, tak tam typicky nejde ani DNS, takže mě nenapadá rozumné řešení jak se aplikacím tvářit že mají normálně dostupnou síť a zachytávat provoz a tlačit to přes proxy.

Kolemjdoucí

Re:Přesměrování provozu na firemní proxy
« Odpověď #8 kdy: 02. 09. 2015, 16:24:24 »
Dekuju ta odpovedi ale stale nejsem moudry jeslti existuje nejake reseni, abych nemusel pro kazdou novou aplikaci nebo nastroj nastavovat proxy zvlast. Chapu to spravne ze to nejde ?

Jde to, ale je potřeba zahodit proxy a použít místo toho NAT.

Jenda

Re:Přesměrování provozu na firemní proxy
« Odpověď #9 kdy: 02. 09. 2015, 16:41:38 »
Zvážil bych protunelovat si VPN a dostat se tak do normálního internetu a na nějakou jejich proxy se vybodnout.

Osobně spíš než VPN používám SOCKS proxy integrovanou v SSH klientovi (ssh -D) a pro aplikace potom wrapper tsocks.

Re:Přesměrování provozu na firemní proxy
« Odpověď #10 kdy: 02. 09. 2015, 18:24:08 »
Dekuju ta odpovedi ale stale nejsem moudry jeslti existuje nejake reseni, abych nemusel pro kazdou novou aplikaci nebo nastroj nastavovat proxy zvlast. Chapu to spravne ze to nejde ?
Existuje protokol WPAD, pomocí kterého by si měl klient umět najít proxy sám. V Linuxu by měl program použít nastavení proměnných prostředí http_proxy a https_proxy (pozor na to, kde je nastavujete - pokud si je nastavíte v shellu a mimo shell si pustíte nějaký program - typicky nějakou GUI aplikaci z desktopu, ta GUI aplikace ty proměnné prostředí nebude mít nastavené). Ale všechno to záleží na podpoře v daném klientovi, pokud to neumí, tak s tím nic neuděláte.

Tonda

  • *****
  • 630
    • Zobrazit profil
    • E-mail
Re:Přesměrování provozu na firemní proxy
« Odpověď #11 kdy: 02. 09. 2015, 21:30:26 »
Ano, to co popisuje Jenda dělám taky, doma mi běží PC na kterém běží sshd na portu 443 a na PC v kanceláři v instituci, kde už dlouhou dobu dělám, mám puštěného ssh klienta s -D parametrem připojeného na ten domácí server skrz http proxy pomocí HTTP CONNECT a nastaveného jako SOCKS proxy v prohlížeči i jinde. Pro aplikace, které socks nepodporují, pouštím přes Freecap Proxy+, což mi vytvoří lokální http proxy napojenou na tento tunel nebo je přes Freecap pouštím přímo.

Motivací bylo, že daná firemní proxy používala antivir a byla přetížená, takže každý druhý http request končil chybou, kdežto https provoz byl celkem bez problémů.

Ovšem tohle nijak neřeší nutnost si tu proxy nastavit v aplikacích a taky by to mohlo být považováno za porušení bezpečnosti.

Každopádně jak už sem psal, když to jednou vyzkoumáš, tak nastavit to pro každého dalšího vývojáře je otázka pěti minut, buď rád, že ta proxy nevyžaduje NTLM a nemusíš používat nástroje jako CNTLM.

aaa158

  • ***
  • 238
    • Zobrazit profil
    • E-mail
Re:Přesměrování provozu na firemní proxy
« Odpověď #12 kdy: 03. 09. 2015, 08:38:29 »
No u nas sa zaviedli Windows s NTLM proxy a pre stroje s Linuxom to cntlm riesi v pohode, nemam s tym ziadny problem (browser, owa/davmail (pop3/imap/smtp zakazane..), yum, wget, curl, cpan, ...). Asi zavisi na nastaveni konkretneho NTLM windows proxy.

S nastavenim globalnej proxy je vseobecne problem, napr. wget kompletne ignoruje $http_proxy a musi to mat v /etc/wgetrc :-( Na druhej strane je plno aj GUI aplikacii ktore $http_proxy podporuju, treba vyskusat (pre GUI apps nastavit to pri spusteni DE aby zdedili premenne prostredia).

DOFFactory

Re:Přesměrování provozu na firemní proxy
« Odpověď #13 kdy: 03. 09. 2015, 13:36:31 »
proc ne VPN?