[pyar] [Semi-OT] SSL Offloading

[Marcos Dione]

On Sat, Aug 23, 2014 at 01:51:02AM +0200, Luis Masuelli wrote:

> Por motivos de hacerlo similar a un entorno productivo, y por el hecho
> de que el manager HTML de tomcat y el PHPMyAdmin van a estar expuestos.
> Se que es medio raro eso de exponer un PHPMyAdmin de una empresa pero
> imaginense cuando hay que apagar un incendio y estamos arafue. 

    yo entraría por ssh, hermano. qué si los hackers te tiran el ngnix?

    obviando la pregunta retórica, veamos:

> 1. Nginx captura todas las http que recibe, y las redirige a https (ojo, digo redirect, no proxy_pass).
> 2. Expongo el trac atraves de https en nginx (proyecto1.trac.tebusco.lan para la red interna -- en planes de poner un dominio posta para exponer todo hacia afuera). 
> 3. Expongo aplicaciones PHP atraves de https.
> 4. Expondre aplicaciones Python atraves de https.

    so far so good.

> De lo que no me salvo ni en joda, es de tener que hacer salir varias
> cosas por el 80 y diferentes nombres. Por lo que un proxy necesito.

    no entiendo, si o si tenés que exportar cosas por el 80? no queda muy
clara esta frase.

> Que desventajas tiene esto del SSL termination? A nivel de seguridad
> digo, considerando que todo esto ocurre en la misma maquina.

    SSL Termination es un mecanismo por el cual tenés unos servers
haciendo la parte s de https, los cuales hacen proxy a los severrs
internos con los cuales habla por http a secas. o sea:

            HTTPS     HTTP
    INTERNET --> SSLT --> Server

    ahora, HTTPS no te salva de sql injections u otras formas de hacer
saltar tus servers, sólo provee encriptación en la comunicación. usar SSLT
o no es más una cuestión técnica. bien podrías exportar todo por el 443
con el redirect que mencionás 'y listo'.

-- 
(Not so) Random fortune:
17:23 < perrito666> ademas Lisandro y Rodo me recordbana a Jay y Silent Bob