Security

非 443 埠上的代理伺服器和 ssl 安全風險

  • April 21, 2010

大多數 http 代理伺服器不允許通過非 443 埠發送 ssl。為什麼這是安全風險?

取決於它的原因。一種可能性是控制使用者訪問的站點和使用者訪問的服務。在公司環境中通常是這種情況。

預設情況下,您無法通過代理通過 SSL 監控內容。當客戶端建立 SSL 連接時,他們使用 CONNECT 方法而不是 GET/POST/HEAD,並且代理必須直接連接或阻止它。如果允許直接連接,則假定會話使用 SSL 加密。

因此,代理伺服器在監視和控制方面幾乎無能為力。例如,大多數公司代理可以過濾站點以查看它們是否在黑名單上,並根據 HTTP 標頭中的資訊阻止連接。使用 CONNECT 方法,這樣做是不可行的。

因此,如果允許連接到非 443 埠,則代理伺服器可用於訪問外部任何服務。例如,我可以對外部伺服器上的埠 22 進行 CONNECT 連接,然後通過它通過隧道傳輸 SSH 流量。我還可以對埠 6667 進行 CONNECT,然後在其上執行 IRC 會話。

除非付出額外的努力來分析流經它的流量,否則沒有人會更明智。因此,將 CONNECT 方法限制在埠 443 上要容易得多。

查看有關 HTTP 隧道的維基百科文章。

引用自:https://serverfault.com/questions/134293