it-swarm-tr.com

Https proxy sunucusu tarafından yapılan orta saldırılardaki adamı engelliyor mu?

Https bağlantısında W web sitesine bağlanan bir masaüstü istemcisi A var

A --> W

Her nasılsa A ve W arasında bir proxy G var.

A --> G --> W
  • Bu durumda G, daha önce A'nın W'den aldığı sertifikayı alabilecek mi?
  • G sertifikayı alabiliyorsa, bu G'nin verilerin şifresini çözebileceği anlamına mı geliyor?
183
jojo

HTTPS nasıl çalışır?

HTTPS genel/özel anahtarlı şifreleme tabanlıdır. Bu temelde bir anahtar çifti olduğu anlamına gelir: Genel anahtar şifreleme için kullanılır ve şifre çözme için gizli özel anahtar gereklidir.

A sertifika temelde sahibini tanımlayan bir etikete sahip ortak bir anahtardır.

Dolayısıyla tarayıcınız bir HTTPS sunucusuna bağlandığında, sunucu sertifikasıyla yanıt verecektir. Tarayıcı sertifikanın geçerli olup olmadığını kontrol eder:

  • sahip bilgilerinin kullanıcının istediği sunucu adıyla eşleşmesi gerekir.
  • sertifikanın güvenilir bir sertifika yetkilisi tarafından imzalanması gerekir.

Bu koşullardan biri karşılanmazsa, kullanıcı sorun hakkında bilgilendirilir.

Doğrulamadan sonra tarayıcı ortak anahtarı çıkarır ve sunucuya göndermeden önce bazı bilgileri şifrelemek için kullanır. sunucu eşleşen özel anahtara sahip olduğu için sunucu şifresini çözebilir.

HTTPS orta saldırılardaki adamı nasıl önler?

Bu durumda G, daha önce A'nın W'den aldığı sertifikayı alabilecek mi?

Evet, sertifika etiketli ortak anahtardır. Web sunucusu, ağa bağlanan herkese gönderir.

G sertifikayı alabiliyorsa, bu, G'nin verilerin şifresini çözebileceği anlamına mı geliyor?

Hayır. Sertifika, web sunucusunun ortak anahtarı içerir. Kötü amaçlı proxy, eşleşen özel anahtara sahip değil. Proxy gerçek sertifikayı istemciye iletirse, istemcinin web sunucusuna gönderdiği bilgilerin şifresini çözemez.

Proxy sunucusu sertifikayı taklit etmeye ve kendi genel anahtarını sağlamaya çalışabilir. Ancak bu sertifika yetkililerinin imzasını yok eder. Tarayıcı geçersiz sertifika hakkında uyarır.

Proxy sunucunun HTTPS'yi okuyabilme yolu var mı?

bilgisayarınızın yöneticisi işbirliği yapar ise, bir proxy sunucunun https bağlantılarını koklaması mümkündür. Bu, bazı şirketlerde virüs taraması yapmak ve kabul edilebilir kullanım yönergelerini uygulamak için kullanılır.

A yerel sertifika yetkilisi kurulur ve yönetici tarayıcınıza bunun CA güvenilir olduğunu söyler. Proxy sunucusu sahte sertifikalarını imzalamak için bu CA'yı kullanır.

Elbette, kullanıcı güvenlik uyarılarını tıklamaya meyillidir.

209

Kullanıcıların sertifika uyarılarını tıklamadığını varsayarsak (ve değiştirilmemiş bir istemci çalıştırdığınızı varsayarsak) yanıt: Hayır, proxy verilerin şifresini çözemez .

HTTPS'nin ortadaki bir adamın trafiğinizin şifresini çözmesini nasıl önlediğine ilişkin ayrıntılı bir açıklama için SSL/TLS ile ilgili standart kaynaklara bakın, ör.

Not; Sertifika herkese açık verilerdir. Her ikisi de gizli olmayan sunucunun ortak anahtarını ve etki alanı adını içerir. Sertifikayı gözlemlemek, saldırganın verilerin şifresini çözmesine yardımcı olmaz. (Evet, proxy sertifikayı gözlemleyebilir, ancak bu zararsızdır.)

20
D.W.

Philipp C. Heckel'in teknoloji blog bazı ışık düzenlemeleriyle:

Şifrelenmemiş HTTP trafiğine saldırmak, X.509 sertifikaları ve sertifika yetkilileri (CA) ile uğraşmak zorunda kalmadan yapılabilir, SSL şifreli HTTPS bağlantıları, istemci ve sunucu arasındaki uçtan uca her isteği ve yanıtı şifreler. Aktarılan veriler paylaşılan bir sır ile şifrelenmiş olduğu için, ortadaki bir adam (veya proxy) değiştirilen veri paketlerini deşifre edemez. İstemci güvenli web sunucusuna SSL/TLS bağlantısı açtığında, iki koşulu kontrol ederek sunucunun kimliğini doğrular: İlk olarak sertifikasının istemci tarafından bilinen bir CA tarafından imzalanıp imzalanmadığını kontrol eder. İkincisi, sunucunun ortak adının (CN, ayrıca: Ana bilgisayar adı) bağlandığı adla eşleşmesini sağlar. Her iki koşul da doğruysa, istemci bağlantının güvenli olduğunu varsayar.

Proxy sunucusu bağlantıya sızabilmek için çok güvenilir bir sertifika yetkilisi gibi davranamaz: Gerçek kişilere veya kuruluşlara sertifika vermek yerine proxy, bağlantı için gerekli olan tüm ana bilgisayar adlarına dinamik olarak sertifikalar oluşturur . Örneğin, bir istemci https://www.facebook.com adresine bağlanmak istiyorsa, proxy “www.facebook.com” için bir sertifika oluşturur ve bunu kendi CA'sıyla imzalar. İstemcinin bu CA'ya güvenmesi koşuluyla, yukarıda belirtilen koşulların her ikisi de doğrudur (güvenilir CA, aynı CN) - yani istemci proxy sunucusunun aslında “www.facebook.com” olduğuna inanır. Aşağıdaki şekilde bu senaryo için istek/yanıt akışı gösterilmektedir. Bu mekanizmaya şeffaf HTTPS proxy'si denir.

enter image description here

Bu saldırının çalışması için yerine getirilmesi gereken birkaç koşul vardır:

  • Standart ağ geçidi olarak proxy sunucusu (HTTP ve HTTPS) : Hem HTTP hem de HTTPS proxy'si için, proxy sunucusunun elbette IP paketlerini yakalayabilmesi gerekir - yani paket yolunda bir yerde olması gerektiği anlamına gelir. Bunu yapmanın en kolay yolu, istemci aygıttaki varsayılan ağ geçidini Proxy sunucu adresine değiştirmektir.
  • Güvenilir Proxy CA (yalnızca HTTPS) : HTTPS proxy'sinin çalışması için istemci proxy CA'yı, yani CA anahtarını bilmeli (ve güvenmelidir!) dosya istemcinin güven deposuna eklenmelidir.

enter image description here

Şeffaf SSL soketlerini şeffaf bir şekilde koklamakla ilgileniyorsanız, şeffaf bir TLS/SSL ortadaki adam proxy'si olan SSLsplit'ı denemek isteyebilirsiniz. SSL'ye saldırmanın birçok yolu vardır, ancak sahte SSL sertifikalarına, haydut bir Sertifika Yetkilisine (CA) veya güvenlik uzmanı Moxie Marlinspike'nin ortadaki adam SSL saldırılarındaki değişikliklere ihtiyacınız yoktur. Neden bu işi sizin yerinize yapmak için Blue Coat Systems ProxySG veya yakın zamanda satın alınan Netronome SSL cihazı gibi bir SSL müdahale proxy'si satın alabildiğinizde neden tüm bu sorunla karşılaşıyorsunuz?


ZDNet'te Steven J.Vaughan-Nichols (alıntı yapıldı):

SSL ele geçirme işindeki en büyük isim olan Blue Coat, SSL müdahalesi sunan ve bir kutuyu kıran tek isim olmaktan çok uzak. Örneğin, yakın zamana kadar, Microsoft size işi sizin için de yapabilen bir program olan Forefront Threat Management Gateway 2010 satardı. Bir SSL müdahale proxy programı veya cihazı yerinde olduğunda, gerçekte olan şu:

enter image description here

Şirketiniz proxy'yi doğru bir şekilde ayarladıysa, proxy'nin dahili SSL sertifikasının makinenize geçerli bir sertifika olarak kaydedilmesini ayarlamış olacağı için hiçbir şeyin kapalı olduğunu bilmezsiniz. Değilse, devam etmek için tıklarsanız "sahte" dijital sertifikayı kabul edecek bir açılır hata mesajı alırsınız. Her iki durumda da, proxy ile güvenli bir bağlantı elde edersiniz, dış siteye güvenli bir bağlantı alır - ve proxy üzerinden gönderilen her şey düz metin olarak okunabilir. Whoops.

19
manav m-n

Bulunduğunuz ağın yapılandırmasına bağlı olarak, yöneticilerin HTTPS bağlantılarının (ve muhtemelen VPN'lerin) içeriğini görüntülemesi mümkün olabilir.

Ağdaki trafiği durdurmak mümkündür, ancak genel sorun, ziyaret ettiğiniz tüm siteler için geçerli sertifikalar verememesidir, bu nedenle HTTPS sitesine her eriştiğinizde çok sayıda sertifika uyarısı görürsünüz. trafiğe bakmak için şifresini çözmeye çalışırlar.

Ancak, şirket tarafından sağlanan bir makine kullanıyorsanız, yeni bir Sertifika Yetkilisi yükleyebilir ve ardından ziyaret ettiğiniz siteler için SSL sertifikaları oluşturmak için kullanabilirler, bu nedenle sorun olarak görünmez.

VPN tarafı ile, VPN SSL kullanmıyorsa daha karmaşık olabilir, ancak aynı teori geçerlidir. İnternete, kontrol ettikleri bir ağda başka birinin sahip olduğu bir makineden erişirseniz, girdiğiniz içeriğe erişebilirler.

Bu tür bir sorundan kaçınmak istiyorsanız, İnternet'e erişmek için sahip olduğunuz/kontrol ettiğiniz bir cihazı kullanacağım, böylece herhangi bir SSL müdahalesi olursa uyarılmanız gerekir.

8
Rory McCune

Doğru, kurumsal ağ yöneticileri, kendi CA'ları ile TLS istemcisine karşı ortadaki bir adam saldırısı uygularlar, böylece ağlarından neyin ayrıldığını görebilirler. Muhtemelen gmail.com'u ziyaret ettiğinizde gmail.com için geçerli olan bir sertifika oluşturacak bir cihaza sahip olacaklar. Bunu yapmalarının sebebi Dr. Evil'i oynamak değil, bu yüzden internet bağlantılarından binalarından çıkılan ticari sırlara karşı koruma sağlayabilirler. Cidden, özel bankacılığını bir iş bilgisayarında yapma.

Sistem sertifika deposunu kullanmayan bir yazılım ürünü (örneğin, bir OpenVPN örneği) kullanıyorsanız, hayır, CA'larına güvenmediğiniz için trafiğinizi kesemez ve çözemezler. Örneğin, Firefox taşınabilir uygulamasını kullanarak aynı sonucu elde edebilirsiniz. Ve çoğu tarayıcıda, kimin dinleyip dinlemediğinden emin olmak için güvenli bağlantınızın ayrıntılarını kontrol edebilir ve CA'nın kim olduğunu görebilirsiniz.

7
Bill McGonigle

Proxy https'yi engelleyebilir ve tarayıcıdan yalnızca http'ye izin verebilir. Sonra istekleri sunucuya iletmek için kendi https bağlantısını başlatabilir.

Çoğu kullanıcı bunu fark etmez.

HSTS'nin bunu durdurması gerekiyor, ancak yaygın olarak kullanılmıyor.

4
Erik van Velzen

SSL sonlandırma veya Bluecoat gibi SSL proxy ürünlerinin ağınızda olması gerekir ve maliyeti, kurulum prosedürlerini ve herhangi bir kuruluşun bu ürünleri kuran normal güvenlik politikasını göz önünde bulundurması gerekir - ticari bir SSL sonlandırma ürünü kullanan kötü niyetli bir saldırganın tehditleri neredeyse sıfır. OTOH - NOC'ye (ağ operasyon merkezi) erişimi olan güvenilir bir içerici aslında SSL sonlandırılmış trafiği izleyebilir ve hassas bilgileri ifşa edebilir.

Bu, DLP sistemleri uygulayan şirketler için ortak bir kaygıdır (haklı veya gerekçesiz).

ANCAK HER ŞEY DEDİ - ev bankacılığı alanında yaygın olan ve bir ağ proxy'si gerektirmeyen ve tarayıcıda piggback/shim saldırıları olan başka bir saldırı vektörü var - DOM DOM'ya çarpmadan önce net metin trafiğine erişebildiğinden SSL kanalı - Bu uygun bir saldırı vektörüdür ve genellikle bir tarayıcı uzantısı aracılığıyla yüklenir. Şimler üzerinde mükemmel bir Stackexchange makalesi vardır - IE, FF veya Chrome kullanıcı bilgisi olmadan girilebilir bir şim (aka poli dolgusu) ve kullanıcı tarafından girilen şifreleri okuyabilir mi) giriş sayfasında?

2
Danny Lieberman