[pyar] [Semi-OT] SSL Offloading

Luis Masuelli luismasuelli en hotmail.com
Dom Ago 31 19:46:34 ART 2014


Gracisa por el tip. Lo voy a tener en cuenta especialmente para otros planes (personales, no laborales) que tengo. En realidad de seguridad tengo q aprender horrores. Es materia que deje en el haber.

From: nahuel.defosse en gmail.com
Date: Sat, 30 Aug 2014 14:15:07 -0300
To: pyar en python.org.ar
Subject: Re: [pyar] [Semi-OT] SSL Offloading

Hola Luis,
IMHO no expondría PHPMyAdmin al exterior. Te recomendaría que accedas mediante un túnel SSH (ssh -L) o proxy dinámico (ssh -D) y que utilices un cliente local.Si tu aplicación no soporta proxy socks, podes usar proxychains que hace que cualquier aplicación que no soporta socks pueda utilizar tu conexión encriptada. Es muy fácil (ej: proxychains curl, proxychains mysqlworkbench, etc).



Saludos!

El 22 de agosto de 2014, 20:51, Luis Masuelli <luismasuelli en hotmail.com> escribió:





Estoy puteando con unas configuraciones de nginx desde hace un rato.

El tema es el siguiente: en este nginx van a convivir varias aplicaciones. Algunas son en PHP (son drupals que me dan ganas de cortarme las bolas), otras son en JAVA (son tomcats, aunque capaz que ahora que no tengo mas el jira "gharrrrrr!" ni el confluence tambien "gharrrrrrrr!" lo puedo fletar), y otras van a ser (todavia no, lastima) en Python/Django.



Por motivos de hacerlo similar a un entorno productivo, y por el hecho de que el manager HTML de tomcat y el PHPMyAdmin van a estar expuestos. Se que es medio raro eso de exponer un PHPMyAdmin de una empresa pero imaginense cuando hay que apagar un incendio y estamos arafue. Queremos poder apagar incendios pero no que nos rompan la bd unos boludos (escenario bastante cercano considerando que nos hackearon unos wordpress hace poco).



Entonces tenemos que exponer por SSL esas aplicaciones. Yo pensaba:

1. Nginx captura todas las http que recibe, y las redirige a https (ojo, digo redirect, no proxy_pass).
2. Expongo el trac atraves de https en nginx (proyecto1.trac.tebusco.lan para la red interna -- en planes de poner un dominio posta para exponer todo hacia afuera). 


3. Expongo aplicaciones PHP atraves de https.
4. Expondre aplicaciones Python atraves de https.

De lo que no me salvo ni en joda, es de tener que hacer salir varias cosas por el 80 y diferentes nombres. Por lo que un proxy necesito.



El proxy estara exponiendo aplicaciones que estan en la misma computadora.

Que desventajas tiene esto del SSL termination? A nivel de seguridad digo, considerando que todo esto ocurre en la misma maquina.
 		 	   		  



_______________________________________________

pyar mailing list pyar en python.org.ar

http://listas.python.org.ar/listinfo/pyar



PyAr - Python Argentina - Sitio web: http://www.python.org.ar/



La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de Argentina - http://www.usla.org.ar



_______________________________________________
pyar mailing list pyar en python.org.ar
http://listas.python.org.ar/listinfo/pyar

PyAr - Python Argentina - Sitio web: http://www.python.org.ar/

La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de Argentina - http://www.usla.org.ar 		 	   		  
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20140901/7156f2f9/attachment.html>


More information about the pyar mailing list