В локалке работает снифер CAIN и он перехватывает пароль при попытке авторизироваться на сервере причем HTTPS (сервер две сетевухи, олдна в инет вторая в локалку)
Конфигурация
локальная сеть <-----> шлюз, сервер авторизации Apache/1.3.33 (Win32) PHP/4.3.10 mod_ssl/2.8.22 OpenSSL/0.9.7e (http,https..) <-----> интернет
Сам https работает, и сертификат спрашивает и загружает страницу:
НО!!!!
Если поставить в локалке снифер паролей типа CAIN
то при попытке залогиниться типа https://*******/cgi-bin/utm5/aaa5/
снифер перехватывает пароль!
хотя в логах APACHE пишет что соединение шифрованое, и HTTP1.1
Как защититься? Где ошибка?
httpd.conf
Код: Выделить всё
<VirtualHost *:443>
# Включаем поддержку SSL
SSLEngine On
SSLCertificateFile conf/ssl.crt/server.crt
SSLCertificateKeyFile conf/ssl.key/server.key
# Имя сервера, должно быть прописанно в файле hosts
ServerName www.*****.ru
# email по умолчанию для этого хоста
ServerAdmin admin@*****.ru
# DocumentRoot указывает на созданную выше папку
# т.е. корневая директория хоста
DocumentRoot "C:/server/www"
# параметры для корневой директории
# тут мы запрещяем индексирование каталогов не содержащие индексного файла
# разрешаем переопределение директив при помощи .htaccess
# даем всем доступ
# более подробно читайте в документации
<Directory "C:/server/www">
Options -Indexes
AllowOverride All
Order allow,deny
Allow from all
</Directory>
# директория для выполнения cgi скриптов
ScriptAlias /cgi-bin/ "c:/server/www/cgi-bin/ "
# файлы для ведения журнальных файлов и файлов ошибок
ErrorLog "c:\server\apache\logs\error_s.log"
CustomLog "c:\server\apache\logs\custom_s.log" common
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
<Location "c:/server/www/cgi-bin/utm5/">
SSLRequireSSL
SSLCipherSuite HIGH:MEDIUM
</Location>
<Location "c:/server/www/cgi-bin/utm5/aaa5">
SSLRequireSSL
SSLCipherSuite HIGH:MEDIUM
</Location>
<Location "c:/server/www/cgi-bin/utm5/user5">
SSLRequireSSL
SSLCipherSuite HIGH:MEDIUM
</Location>
</VirtualHost>
Конфигурация
локальная сеть <-----> шлюз, сервер авторизации Apache/1.3.33 (Win32) PHP/4.3.10 mod_ssl/2.8.22 OpenSSL/0.9.7e (http,https..) <-----> интернет
Сам https работает, и сертификат спрашивает и загружает страницу:
НО!!!!
Если поставить в локалке снифер паролей типа CAIN
то при попытке залогиниться типа https://*******/cgi-bin/utm5/aaa5/
снифер перехватывает пароль!
хотя в логах APACHE пишет что соединение шифрованое, и HTTP1.1
Как защититься? Где ошибка?
httpd.conf
Код: Выделить всё
<VirtualHost *:443>
# Включаем поддержку SSL
SSLEngine On
SSLCertificateFile conf/ssl.crt/server.crt
SSLCertificateKeyFile conf/ssl.key/server.key
# Имя сервера, должно быть прописанно в файле hosts
ServerName www.*****.ru
# email по умолчанию для этого хоста
ServerAdmin admin@*****.ru
# DocumentRoot указывает на созданную выше папку
# т.е. корневая директория хоста
DocumentRoot "C:/server/www"
# параметры для корневой директории
# тут мы запрещяем индексирование каталогов не содержащие индексного файла
# разрешаем переопределение директив при помощи .htaccess
# даем всем доступ
# более подробно читайте в документации
<Directory "C:/server/www">
Options -Indexes
AllowOverride All
Order allow,deny
Allow from all
</Directory>
# директория для выполнения cgi скриптов
ScriptAlias /cgi-bin/ "c:/server/www/cgi-bin/ "
# файлы для ведения журнальных файлов и файлов ошибок
ErrorLog "c:\server\apache\logs\error_s.log"
CustomLog "c:\server\apache\logs\custom_s.log" common
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
<Location "c:/server/www/cgi-bin/utm5/">
SSLRequireSSL
SSLCipherSuite HIGH:MEDIUM
</Location>
<Location "c:/server/www/cgi-bin/utm5/aaa5">
SSLRequireSSL
SSLCipherSuite HIGH:MEDIUM
</Location>
<Location "c:/server/www/cgi-bin/utm5/user5">
SSLRequireSSL
SSLCipherSuite HIGH:MEDIUM
</Location>
</VirtualHost>