LINUX.ORG.RU
ФорумTalks

Trusted man-in-the-middle


0

2

Microsoft отжигает - в Forefront TMG реализована фича HTTPS introspection.

Реализуется эта фича путём «trusted man-in-the-middle» (ну кто бы сомневался!). Так что, если у вас в конторе используется Forefront - оно же «в девичестве» отзывалось на кличку ISA (Internet Security and Acceleration Server), то вендоадмин может поснифать все ваши пароли и действия, в т.ч. на всякие сбербанконлайны, гуглы и т.п.

Даже если вы используете HTTPS.

P.S.: «trusted man-in-the-middle» не я придумал, это апологеты MSFT таким образом пытаются избавиться от пованивающей аббревиатуры MiTM.

★★★★★

Ответ на: комментарий от Harald

Вроде бы да... иначе я не представляю такой архитектуры.

Запрашиваешь https://ya.ru - а тебе приходит сертификат от Forefront'a. Выходит, клиенты должны изначально считать, что этому сертификату можно верить для всех узлов сети вообще.

Adonai ★★★ ()

Так что, если у вас в конторе есть админ, то админ может поснифать все ваши пароли и действия, в т.ч. на всякие сбербанконлайны, гуглы и т.п.

Только в вендах это сделать удобнее (ну то есть как всегда).

thesis ★★★★★ ()

Trusted - это потому что они по дефолту засунули сертификат в доверенные? Вообще, интересное поле для деятельности. Нельзя ли эти доверенные сертификарты юзать для обычного MitM'а? HTTPS-капец? :)

pekmop1024 ★★★★★ ()
Последнее исправление: pekmop1024 (всего исправлений: 1)

Как я понимаю, то же самое можно с помощью любого прокси сделать, особенно прозрачного.

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Ttt

Как я понимаю, то же самое можно с помощью любого прокси сделать, особенно прозрачного

С помощью прозрачного - нельзя. А вот с помощью обычного - можно. Собственно, так оно и делается у них.

no-dashi ★★★★★ ()

Открыл Америку. Этой фиче уже лет 10.

Прокси тоже не позволяют честно пробросить SSL и что? Линуксовые админы со squid могут поснифать все ваши пароли и действия, в т.ч. на всякие сбербанконлайны, гуглы и т.п.

alpha4 ()
Ответ на: комментарий от Harald

а клиентам устанавливать левый сертификат нужно?

Им «левый» корневой сертификат заливается через групповые политики. То есть если у тебя на рабочей станции винда введенная в виндодомен - тебя просто откровенно трахнут. Зальют левые сертификаты, расшифруют весь траффик, снифнут все пароли, проверят все твои (ну - это ты думал что это «твои» - теперь уже не твои!) эккаунты и письма и т.п.

И главное - это можно делать удобно и чуть ли не в дюжину кликов мышкой.

Единственный минус - Firefox. Он плевал на инсталированные в винду сертификаты (у него собственный сторадж), поэтому с ним так просто не выйдет. Так что если вам категорически запрещают ставить FF (а будучи поставлен он ругается на сертификаты) - можете быть уверены - вам «засадили по самые помидоры».

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

зачем надо было столько текста писать, когда можно просто сказать - не надо ходить в интернет-банки и гуглы с недоверенного устройства :)

Harald ★★★★★ ()
Ответ на: комментарий от Harald

а дальше уже принципиальной разницы нет, пишет трафик прокси сервер или специальный троян на клиентском компьютере, это уже технические детали

Harald ★★★★★ ()
Ответ на: комментарий от alpha4

Расскажи подробнее, пожалуйста. Давно хотелось закешировать весь SSL.

commit ()

Этой технике уже лет 10, если не соврать, нет?

Shaman007 ★★★★★ ()
Ответ на: комментарий от no-dashi

у тебя на рабочей станции винда введенная в виндодомен

Твой комп - твои правила. Но тут комп не твой, правила тоже не твои. А вдруг ты враг-инсайдер?

cipher ★★★★★ ()
Ответ на: комментарий от cipher

А вдруг ты враг-инсайдер?

А вдруг твоя жена пишет тебе по аське с работы «Ура, я беременна!» а её на следующий день вызывают к заму по кадрам и говорят: «либо пишешь по собственному, либо вылетаешь по статье». Или ты понимаешь, что плохо себя чувствуешь, записываешься к онкологу, с работы пишешь жаббером жене «завтра пойду к онкологу» - и аналогично получаешь вызов к кадровикам с таким же ультиматумом?

no-dashi ★★★★★ ()
Ответ на: комментарий от cipher

Или скажем пишешь знакомому «&^$*, в этой конторе половина неадекваты, включая 3/4 начальников отделов и зама по коммерции», после чего тебе пишут «нарушение трудового договора путем нарушения корпоративной этики в общении» и отправляют на биржу труда. Разве это не прЫлессстно?

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

Разве это не прЫлессстно?

Не прЫлессстно, не этично, мерзко. Но комп не твой, да. У нас есть пара людей с брокерскими терминалами, они приносят свои ноуты, сидят в инете через расшаренный телефоном/модемом 3ж.

cipher ★★★★★ ()
Ответ на: комментарий от no-dashi

А почему с помощью прозрачного нельзя? Фильтровать же контент можно с помощью него. Так вроде делают отличные от ростелекома провайдеры в Роиссе. Также, упоминалось, что в Великобритаине тоже используют прозрачные прокси для фильтрации трафика. Соответственно, если весь трафик идёт через этот прокси, то почему нельзя его сниффать?

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от Ttt

А почему с помощью прозрачного нельзя?

Потому, что ты не знаешь имя хоста к которому коннектится клиент - только IP, а сертификат должен содержать имя - браузер ожидает что имя хоста которое он загнал ранее в gethostbyname совпадает с cn сертификата, или сертификат domain-wide (certificate subject: *.domain.com). Если это правило нарушено, браузер выругается матом.

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

Потому, что ты не знаешь имя хоста к которому коннектится клиент - только IP, а сертификат должен содержать имя - браузер ожидает что имя хоста которое он загнал ранее в gethostbyname совпадает с cn сертификата, или сертификат domain-wide (certificate subject: *.domain.com). Если это правило нарушено, браузер выругается матом.

На практике нет особой разницы CONNECT это или нет, те реализации mitm что я видел так или иначе проводят частичный handshake с сервером назначения чтобы выяснить какой сертификат генерировать.

maxcom ★★★★★ ()
Ответ на: комментарий от no-dashi

Потому, что ты не знаешь имя хоста к которому коннектится клиент - только IP, а сертификат должен содержать имя - браузер ожидает что имя хоста которое он загнал ранее в gethostbyname совпадает с cn сертификата, или сертификат domain-wide (certificate subject: *.domain.com). Если это правило нарушено, браузер выругается матом.

что мешает посмотреть имя хоста в пришедшем от сервера сертификате, а потом на лету подписать левый сертификат с таким же хостнеймом? Собственно так оно и делается

Harald ★★★★★ ()
Ответ на: комментарий от maxcom

Я не пиарю, я в бешенстве :-/ Я бы стерпел эту хрень, но это г..но не умеет «простреливать» на сайты с самоподписанными сертификатами.

no-dashi ★★★★★ ()
Ответ на: комментарий от Xellos

По какой?

Например, по несоответствию занимаемой должности - устроят тебе аттестацию с еб...ми заданиями и превед. Нарушение трудового договора (пришел в джинсах - выговор, снял пиджак в 30 граудсную жару - выговор). Невыполнение должностных обязанностей (дадут еб..е задание которое зависит не только от тебя, на «той стороне» устроят саботаж). Поднимут журнал прихода на работу/ухода с работы, и за каждую минуту влепят по предупреждению. Да много в общем-то вариантов.

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

Я не пиарю, я в бешенстве :-/ Я бы стерпел эту хрень, но это г..но не умеет «простреливать» на сайты с самоподписанными сертификатами.

Ну это логично. Потому как если ты mitm, то есть два варианта поведения:

  1. валидировать сертификаты и проверять только те которым доверяем. В этом варианте самоподписанные и подписанные левыми CA идут лесом
  2. доверять всем сертификатам, открывая тем самым твою сеть всем другим атакам типа mitm

логично что они выбрали 1-й вариант

maxcom ★★★★★ ()
Последнее исправление: maxcom (всего исправлений: 1)
Ответ на: комментарий от pekmop1024

О как. Вечер перестает быть томным...

Ага. А ещё есть фишка, когда клиент хочет аутентифицироваться на сервер сертификатом, и эта долбаная хрень начинает жизнерадостно говнить.

no-dashi ★★★★★ ()
Ответ на: комментарий от maxcom

Нелогично, что это поведение нельзя изменить. Не у всех есть желание на 100500 внутренних сервисов ставить платные сертификаты.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от pekmop1024

Почему? Это же некрософт. Не забывай, кто делает оффтопик. :)

потому что тогда их можно было бы вытащить оттуда и использовать для mitm против любого сайта где угодно

maxcom ★★★★★ ()
Ответ на: комментарий от maxcom

потому что тогда их можно было бы вытащить оттуда и использовать для mitm против любого сайта где угодно

Я, в общем, на это всю прошлую страницу и намекал

pekmop1024 ★★★★★ ()
Ответ на: комментарий от pekmop1024

Нелогично, что это поведение нельзя изменить. Не у всех есть желание на 100500 внутренних сервисов ставить платные сертификаты.

Внутренние надо внести в список доверяемых на проксе

maxcom ★★★★★ ()
Ответ на: комментарий от maxcom

Так вроде no-dashi намекал, что это невозможно.
Вообще, допускать некрософтовский софт до руления сетью... упороться надо.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от maxcom

Собственный корневой сертификат очень полезен чтобы действительно получить конфиденциальность (собственно, это единственный вариант для действительно конфиденциальных коммуникаций). Если тебя заверяет кто-то, никто не мешает этому кому-то выписать ещё один сертификат на твоё имя - инциденты уже были.

no-dashi ★★★★★ ()

Одно радует - новых версий этой гадости больше выпускаться не будет.

XVilka ★★★★★ ()
Ответ на: комментарий от no-dashi

устроят тебе аттестацию

И огребут себе массу геморроя, с шансом выступить ответчиком в суде.

Нарушение трудового договора (пришел в джинсах - выговор, снял пиджак в 30 граудсную жару - выговор)

А в ПВТР записана форма одежды? Что пиджак обязателен? А роспись работника что он ознакомлен с ПВТР имеется?

на «той стороне» устроят саботаж

Пойдут в суд.

Поднимут журнал прихода на работу/ухода с работы

Не больше чем месяц назад. На каждый (!) случай работник напишет объяснительную записку, где может показать, что опоздание было вынужденным.

Коротко говоря - уволить по статье крайне непросто. А потом ещё может быть суд, трудовая инспекция, а как на предприятии соблюдаются нормы, а освещённость, а пожарная безопасность, а то, а сё...

Xellos ★★★★★ ()
Ответ на: комментарий от Xellos

Коротко говоря - уволить по статье крайне непросто.

Это твоя теория, или практика? На практике - увольняли.

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

винда введенная в виндодомен

Не спец в вендах, но не означает ли это что админ может всё что угодно с тачкой делать?

устроят тебе аттестацию с еб...ми заданиями и превед.

Не надо работать в таких местах. Я уже одному работодателю сделал ручкой, ни разу не пожалел.

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

Не спец в вендах, но не означает ли это что админ может всё что угодно с тачкой делать?

означает

Harald ★★★★★ ()
Ответ на: комментарий от Harald

значит, сотрудник не очень ценный для конторы, а всё вышеописанное - лишь поводы

Ну или руководство «эффективные менеджеры».

no-dashi ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.