Autenticación de contraseña simple de proxy

Question

Autenticación de contraseña simple de proxy

#1 de symcbean (1 votos)

0

En mi lugar de trabajo usamos un proxy para todas las conexiones salientes. Recientemente tuve que instalar una VM de Linux dentro de Virtual Box para poder conectarme a Internet. Así que he configurado la configuración del proxy en el archivo yum.conf. La contraseña está en texto sin cifrar en la configuración y uno de mis colegas me dijo que es un riesgo de seguridad porque la contraseña se mostrará como texto sin formato y esta parte no entiendo. ¿La máquina virtual de Linux no se está autentificando únicamente con el proxy de nuestra empresa? ¿Por qué debería importarme si se envía de forma clara? ¿Alguien podría explicar?

proxy

pregunta adam86 14.08.2017 - 20:58

fuente

1 respuesta

Lea otras preguntas en las etiquetas proxy

Explotabilidad del escenario [cerrado] Cifrado E2E en una LAN

score 1 · Answer 1

uno de mis colegas me dijo que es un riesgo de seguridad porque la contraseña se mostrará como texto sin formato

¿Mostrar dónde? Si se conecta a su proxy mediante HTTP, entonces la contraseña se enviará como codificada en base64 (mejora despreciable sobre texto sin formato) o como un hash NTLM (mejora pequeña). Si esto es lo que requiere su proxy, entonces no ha creado el problema, esto afectará a todos los usuarios del proxy. Si su proxy usa HTTPS, entonces la contraseña no es visible en la red.

Seguirá siendo visible en la imagen de la máquina virtual si no configuró la instancia para usar almacenamiento cifrado.

¿Es un problema si los detalles de la cuenta no se mantienen en secreto dentro de su organización?

En muchos entornos, el proxy web es simplemente una forma de multiplexar el acceso de muchos clientes a Internet. A veces puede haber algún filtrado en el proxy. Rara vez hay restricciones de políticas por usuario, y si se aplican aquí, entonces la cuenta que está usando debería solo tener acceso a los repositorios de Redhat / Fedora / Centos.

Por otra parte, si no está utilizando una cuenta dedicada, entonces podría estar publicando una contraseña que podría dar acceso a todo tipo de cosas.