Перехват https трафика / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Перехват https трафика

25 сообщений из 34, страница 1 из 2

все

Перехват https трафика

#39057890

Иванов Николай

Гость

Доброй ночи!
Администрирую сетку, и знаю, что юзеры в соц. сети лазают через https
Когда трафик ходит через http, то юзер вычислялся сразу и я докладывал руководству.
А теперь вижу, что сидят в соц. сетях, но вычислить не могу.

Доступ у меня root-овый на все машины. Подскажите пожалуйста как можно мне расшифровать https

...

Рейтинг:

0 / 0

22.09.2015, 01:03

| Ответить | Цитировать | Написать

Перехват https трафика

#39057897

loginovru

Участник

Сообщения: 1 762

Рейтинг: 0 / 0

Иванов Николай, теперь такие как ты не смогут почитать чужой траффик, слава HTTPS ;)

...

Рейтинг:

0 / 0

22.09.2015, 01:21

| Ответить | Цитировать | Написать

Перехват https трафика

#39057906

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

Масса решений предлагается для корпоративного рынка или для исследований.

Допустим, вы прочитали этот документ http://wiki.squid-cache.org/Features/HTTPS
Что именно не понятно ?

...

Рейтинг:

0 / 0

22.09.2015, 03:13

| Ответить | Цитировать | Написать

Перехват https трафика

#39058889

loginovru

Участник

Сообщения: 1 762

Рейтинг: 0 / 0

netwind, и че ? пользователь все равно будет видеть что пытаются перехватить

...

Рейтинг:

0 / 0

22.09.2015, 22:21

| Ответить | Цитировать | Написать

Перехват https трафика

#39058911

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

loginovru, пользователь - да. а ты не заметишь.

...

Рейтинг:

0 / 0

22.09.2015, 23:38

| Ответить | Цитировать | Написать

Перехват https трафика

#39058916

loginovru

Участник

Сообщения: 1 762

Рейтинг: 0 / 0

netwindloginovru, пользователь - да. а ты не заметишь.
напиши, откуда такая уверенность ?

...

Рейтинг:

0 / 0

23.09.2015, 00:07

| Ответить | Цитировать | Написать

Перехват https трафика

#39058921

loginovru

Участник

Сообщения: 1 762

Рейтинг: 0 / 0

netwindloginovru, пользователь - да. а ты не заметишь.
валенок, https траффик невозможно перехватить....

...

Рейтинг:

0 / 0

23.09.2015, 00:14

| Ответить | Цитировать | Написать

Перехват https трафика

#39058933

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

loginovru, и ты тоже ссылки почитай.

https не то чтобы перехватывается, скорее подменяется и заново подписывается с помощью другого корневого сертификата. Целостность клиента в некотором смысле нужно нарушить, но ведь это изначально так задумано. Все клиенты https либо используют системные корневые сертификаты, либо позволяют импортировать дополнительные.

Я вот это сейчас напишу, а через пару лет кто-то это прочитает и будем все только в такой интернет ходить.

...

Рейтинг:

0 / 0

23.09.2015, 00:42

| Ответить | Цитировать | Написать

Перехват https трафика

#39058936

loginovru

Участник

Сообщения: 1 762

Рейтинг: 0 / 0

netwindloginovru, и ты тоже ссылки почитай.

https не то чтобы перехватывается, скорее подменяется и заново подписывается с помощью другого корневого сертификата. Целостность клиента в некотором смысле нужно нарушить, но ведь это изначально так задумано. Все клиенты https либо используют системные корневые сертификаты, либо позволяют импортировать дополнительные.

Я вот это сейчас напишу, а через пару лет кто-то это прочитает и будем все только в такой интернет ходить.
и что ? в браузере будет выдавать сообщение, что сертификат недоверенный с просьбой его подтвердить))))) и ты считаешь, что я такое не замечу ?

...

Рейтинг:

0 / 0

23.09.2015, 00:56

| Ответить | Цитировать | Написать

Перехват https трафика

#39058945

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

loginovru, ты понимаешь, что если поддержка этого есть в разных платных продуктах типа microsoft TMG, то оно не может не работать ?
Вот и изучай.

...

Рейтинг:

0 / 0

23.09.2015, 01:47

| Ответить | Цитировать | Написать

Перехват https трафика

#39058957

loginovru

Участник

Сообщения: 1 762

Рейтинг: 0 / 0

netwindloginovru, ты понимаешь, что если поддержка этого есть в разных платных продуктах типа microsoft TMG, то оно не может не работать ?
Вот и изучай.
а что изучать ? те кто соображают, через такую фигню ходить в соц.сети не будут! проще прогу поставить на компе и снимать видео кто и чего делает, а тарффик слушать это уже история)

...

Рейтинг:

0 / 0

23.09.2015, 03:33

| Ответить | Цитировать | Написать

Перехват https трафика

#39059072

wadman

Участник

Откуда: Санкт-Петербург

Сообщения: 26 163

Рейтинг: 0 / 0

loginovruа тарффик слушать это уже история)
Расскажи это мобильным операторам, которые подменяют https трафик даже в мобильной опере, подставляя свои закладки на стартовый экран.

...

Рейтинг:

0 / 0

23.09.2015, 09:16

| Ответить | Цитировать | Написать

Перехват https трафика

#39059104

Alibek B

Участник

Сообщения: 3 881

Рейтинг: 0 / 0

На предприятии подобные задачи нужно решать административными мерами, а не техническими.
Ознакомить всех сотрудников с правилами трудовой дисциплины, в случае использования ресурсов предприятия (компьютер, интернет) в рабочее время в личных целях — предупреждение, выговор, увольнение.
Как именно выявлять таких сотрудников — дело десятое, можно и с перехватом сертификата, если заняться больше нечем. Но на самом деле это необязательно, достаточно приказа по предприятию и контроля за его исполнением.

...

Рейтинг:

0 / 0

23.09.2015, 09:51

| Ответить | Цитировать | Написать

Перехват https трафика

#39059108

Alibek B

Участник

Сообщения: 3 881

Рейтинг: 0 / 0

wadmanРасскажи это мобильным операторам, которые подменяют https трафик даже в мобильной опере, подставляя свои закладки на стартовый экран.
Перехват HTTPS тут не причем.

...

Рейтинг:

0 / 0

23.09.2015, 09:56

| Ответить | Цитировать | Написать

Перехват https трафика

#39059116

Alibek B

Участник

Сообщения: 3 881

Рейтинг: 0 / 0

loginovruи что ? в браузере будет выдавать сообщение, что сертификат недоверенный с просьбой его подтвердить))))) и ты считаешь, что я такое не замечу ?
Не нужно говорить о том, в чем слабо разбираешься.
Если в корпоративной сети предприятия необходим контроль и обеспечение информационной безопасности, то используют политики.
Этими политиками на каждый ПК предприятия устанавливается корневой сертификат предприятия, который можно использовать для перехвата и переподписывания зашифрованного трафика. Этими же политиками можно установить корневой сертификат предприятия в те браузеры, которые используют свою базу данных сертификатов (типа Chrome или Firefox), либо запретить их использование. Наконец с помощью этих политик можно просто контролировать рабочую активность сотрудников со стороны ПК, тогда даже MitM не потребуется для слежения за HTTPS-трафиком.

...

Рейтинг:

0 / 0

23.09.2015, 10:02

| Ответить | Цитировать | Написать

Перехват https трафика

#39059138

bga83

Участник

Откуда: Город герой Ленинград

Сообщения: 29 914

Рейтинг: 0 / 0

Alibek B.На предприятии подобные задачи нужно решать административными мерами, а не техническими.
Ознакомить всех сотрудников с правилами трудовой дисциплины, в случае использования ресурсов предприятия (компьютер, интернет) в рабочее время в личных целях — предупреждение, выговор, увольнение.
Как именно выявлять таких сотрудников — дело десятое, можно и с перехватом сертификата, если заняться больше нечем. Но на самом деле это необязательно, достаточно приказа по предприятию и контроля за его исполнением.административные меры работают в маленьких и средних фирмах, в крупных дешевле и эффективнее технические решения.

loginovruа что изучать ? те кто соображают, через такую фигню ходить в соц.сети не будут! проще прогу поставить на компе и снимать видео кто и чего делает, а тарффик слушать это уже история)а представь организация с 10000 ПК, знаешь какие объемы и трафик будет генерировать запись видео со всех ПК?

loginovruи что ? в браузере будет выдавать сообщение, что сертификат недоверенный с просьбой его подтвердить))))) и ты считаешь, что я такое не замечу ?

Ты даже этого не заметишь. Пару слов о том как подобное реализовано в одном из операторов мобильной связи из ТОП-3 РФ. механизм используется как уже было сказано netwindhttps не то чтобы перехватывается, скорее подменяется и заново подписывается с помощью другого корневого сертификата. при этом групповыми политиками по всем рабочим станциям распространен сертификат, установленный на железо, вклинивающееся между ПК пользователя и целевым сайтом. И поскольку сертификат доверенный никто ничего не замечает.

...

Рейтинг:

0 / 0

23.09.2015, 10:16

| Ответить | Цитировать | Написать

Перехват https трафика

#39059158

Alibek B

Участник

Сообщения: 3 881

Рейтинг: 0 / 0

bga83административные меры работают в маленьких и средних фирмах, в крупных дешевле и эффективнее технические решения.
Возможно.
Но даже крупные предприятия состоят из более мелких филиалов и отделений, так что административные меры будут работать и в них.

...

Рейтинг:

0 / 0

23.09.2015, 10:30

| Ответить | Цитировать | Написать

Перехват https трафика

#39059267

bga83

Участник

Откуда: Город герой Ленинград

Сообщения: 29 914

Рейтинг: 0 / 0

Alibek B.bga83административные меры работают в маленьких и средних фирмах, в крупных дешевле и эффективнее технические решения.
Возможно.
Но даже крупные предприятия состоят из более мелких филиалов и отделений, так что административные меры будут работать и в них.мой опыт работы в организациях с 5-10 тыс. ПК говорит в обратном, возможно у вас было по другому.
Простая арифметика: фирма с 10000 ПК , условно 100 офисов по 100 ПК. Держать в каждом офисе по 1 человеку, на административном уровне следящем или централизованное техническое решение и 3-4 человека на сопровождение?

...

Рейтинг:

0 / 0

23.09.2015, 11:56

| Ответить | Цитировать | Написать

Перехват https трафика

#39059478

lightspeed

Гость

Иванов Николай,

HTTPS перехватывается.
Вот например перехват HTTPS и отправка информации о нем по ICAP на прокси-сервере SQUID:

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.

# SSL bumping
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/etc/squid/ssl_cert/gw.xxx.local.key cert=/etc/squid/ssl_cert/gw.xxx.local.pem
always_direct allow all
sslproxy_capath /etc/squid/ssl_cert
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE

# excludes
acl domains_ssl_direct dstdomain "/etc/squid/domains_ssl_direct.txt"
acl ip_ssl_direct dst "/etc/squid/ip_ssl_direct.txt"
ssl_bump none domains_ssl_direct
ssl_bump none ip_ssl_direct
ssl_bump server-first all

# allow all other sites
# ssl_bump allow all
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 8 startup=1 idle=1

# ICAP
icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_service dlp_service reqmod_precache bypass=1 icap://172.16.254.253:1344/reqmod
adaptation_access dlp_service allow all
icap_service kis_service bypass=1 icap://172.16.254.252:1344/respmod
adaptation_access kis_service allow all

Используя ICAP REQMOD вы можете передавать информацию об объектах трафика в DLP.
А используя RESPMOD, централизованно проверять входящий интернет трафик антивирусом.
Конечно необходим v3_ca (subordinate CA) установленный на прокси.

...

Рейтинг:

0 / 0

23.09.2015, 14:41

| Ответить | Цитировать | Написать

Перехват https трафика

#39059506

Alibek B

Участник

Сообщения: 3 881

Рейтинг: 0 / 0

Ну вот, расстроили анонимуса.

...

Рейтинг:

0 / 0

23.09.2015, 15:02

| Ответить | Цитировать | Написать

Перехват https трафика

#39059869

loginovru

Участник

Сообщения: 1 762

Рейтинг: 0 / 0

Alibek B.loginovruи что ? в браузере будет выдавать сообщение, что сертификат недоверенный с просьбой его подтвердить))))) и ты считаешь, что я такое не замечу ?
Не нужно говорить о том, в чем слабо разбираешься.
Если в корпоративной сети предприятия необходим контроль и обеспечение информационной безопасности, то используют политики.
Этими политиками на каждый ПК предприятия устанавливается корневой сертификат предприятия, который можно использовать для перехвата и переподписывания зашифрованного трафика. Этими же политиками можно установить корневой сертификат предприятия в те браузеры, которые используют свою базу данных сертификатов (типа Chrome или Firefox), либо запретить их использование. Наконец с помощью этих политик можно просто контролировать рабочую активность сотрудников со стороны ПК, тогда даже MitM не потребуется для слежения за HTTPS-трафиком.
ну даже если сертификат и подпишут и браузер будет его считать что он доверенный, то при просмотре данного сертификата все равно увидим не то что нужно....

...

Рейтинг:

0 / 0

23.09.2015, 21:33

| Ответить | Цитировать | Написать

Перехват https трафика

#39059871

loginovru

Участник

Сообщения: 1 762

Рейтинг: 0 / 0

lightspeed, перехват https траффика - получать данные без подмены сертификата, все остальное - не перехват...

...

Рейтинг:

0 / 0

23.09.2015, 21:42

| Ответить | Цитировать | Написать

Перехват https трафика

#39059873

loginovru

Участник

Сообщения: 1 762

Рейтинг: 0 / 0

Код: sql

lightspeed, key=/etc/squid/ssl_cert/gw.xxx.local.key cert=/etc/squid/ssl_cert/gw.xxx.local.pem

и почему это ты считаешь, что это ты перехватываешь траффик ? это подмена сертификата, не могу не согласиться если пользователь находится в групповой политике и сертификаты сделаны доверенными то в браузер скажет что все оке... но стоит только посмотреть на этот сертификат сразу станет все понятно... то есть другими словами, если такая лажа на мобильниках срабатывает, значит разработчики мобильных систем не постарались предусмотреть защиту от этого...

...

Рейтинг:

0 / 0

23.09.2015, 21:50

| Ответить | Цитировать | Написать

Перехват https трафика

#39059940

mayton

Участник

Откуда: loopback

Сообщения: 53 422

Рейтинг: 2 / 0

Иванов Николай, а об чём тут вообще разговор? Сидельцев в соц-сетях вычислить можно по destination host.

Или просто подойти к рабочему месту вместе с начальником и репортом по трафику и сказать - какого йуха
блджат ты работой не занят?

...

Рейтинг:

0 / 0

24.09.2015, 01:10

| Ответить | Цитировать | Написать

Перехват https трафика

#39060533

Alibek B

Участник

Сообщения: 3 881

Рейтинг: 0 / 0

loginovruи почему это ты считаешь, что это ты перехватываешь траффик ?
Потому что это перехват трафика. Прокси-сервер получает трафик, который предназначен другому серверу.

loginovruно стоит только посмотреть на этот сертификат сразу станет все понятно...
Информация в сгенерированном сертификате будет такой же, как в настоящем.
Отличаться будет отпечаток, что человек не заметит, и информация и том, кто этот сертификат выдал.
Но на самом деле вовсе не важно, заметит или нет пользователь то, что его трафик перехватывают.
Важно только то, что на предприятии знают, куда ходит сотрудник.

loginovruесли такая лажа на мобильниках срабатывает
Причем тут мобильники? Это сработает в правильно сконфигурированной корпоративной среде, на любом устройстве.

...

Рейтинг:

0 / 0

24.09.2015, 16:45

| Ответить | Цитировать | Написать

25 сообщений из 34, страница 1 из 2

все

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Перехват https трафика

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/search_topic.php?author=%D0%91%D1%83%D0%BB%D1%83%D0%B9+%D0%AE%D1%80%D0%B8%D0%B9&author_mode=last_posts&do_search=1]:	0ms
get settings:	10ms
get forum list:	14ms
get settings:	11ms
get forum list:	14ms
check forum access:	5ms
check topic access:	5ms
track hit:	53ms
get topic data:	12ms
get forum data:	3ms
get page messages:	59ms
get tp. blocked users:	2ms
others:	438ms

total:	626ms