proxy a livello di applicazione su HTML. funzionalità

Naviga le tue risposte
3

Sto studiando per un esame di sicurezza della rete. Ho trovato in un vecchio esame la seguente domanda e non ho idea della risposta:

A company is protecting its intranet by a multi-homed bastion host B, acting as an application-level proxy. Provide short answers (2 lines max) to the following questions.

  • Can B allow HTML incoming files and deny incoming JPG files in HTTP connections?
  • Can B allow HTML incoming files and deny incoming JPG files in HTTPS connections?
  • Can B allow HTML incoming files and deny incoming JPG files in HTTP VPN-connections?

Penso che la risposta sia "no" per tutte e tre le domande ... ma mi piacerebbe saperlo con certezza.

    
posta StackzOfZtuff 29.12.2015 - 17:56
fonte

2 risposte

3

Tecnicamente tutti e tre "potrebbero" essere sì se le connessioni SSL e VPN sono terminate su B al proxy dell'applicazione.

Senza chiudere le connessioni crittografate su B o usare una chiave per decodificare le connessioni al punto B solo la prima sarebbe vera come nel caso 2 e 3 il proxy in teoria non poteva vedere il traffico all'interno delle sessioni crittografate per essere in grado per distinguere tra i file .jpg e .html.

Un esempio reale di questo potrebbe essere se si usasse mod_security su un server proxy come B per filtrare i file .jpg da un server web dietro di esso.

Detto questo, penso che la domanda originale che hai letto debba avere un chiarimento migliore. O devi essere specifico sui casi di crittografia in tutte le tue risposte per compensare la mancanza di specificità nella domanda originale.

    
risposta data 29.12.2015 - 22:43
fonte
1

1) Un "file JPG" può essere identificato dall'estensione sulla richiesta HTTP, ed è banale che un proxy blocchi. Ma le estensioni non sono molto significative sul web, quindi quello che un proxy dovrebbe davvero cercare è quando il server web restituisce i dati con il tipo di contenuto "image / jpeg", a quel punto può scegliere di intraprendere azioni alternative. Ma le intestazioni del tipo di contenuto non sono nemmeno l'ultima parola; i browser non si basano esclusivamente sulle intestazioni del tipo di contenuto. Un tag img farà sì che il browser effettui una richiesta alla risorsa indicata nell'attributo src e farà del suo meglio per visualizzare i dati restituiti come immagine, indipendentemente dall'intestazione del tipo di contenuto (che potrebbe essere errata a causa di una configurazione errata o come atto di malizia). Quindi un proxy che voleva davvero bloccare i dati JPEG avrebbe bisogno di esaminare il corpo di ogni risposta. Le intestazioni dei file JPEG sono abbastanza facilmente identificabili, quindi non sarebbe troppo difficile.

2) Se la connessione è crittografata end-to-end, non può vedere o modificare i dati. Non è raro che un firewall aziendale esegua attivamente connessioni HTTPS man-in-the-middle, generando certificati del sito firmati con un certificato di origine che è stato inviato a tutte le workstation. In questo caso, è lo stesso del caso 1.

3) La domanda implica che il tunnel VPN sia terminato prima di B. Quindi ciò che B vede è HTTP non crittografato, come nel caso 1.

    
risposta data 31.12.2015 - 02:05
fonte

Leggi altre domande sui tag

Problemi di sicurezza con SSH senza password Questa perdita di informazioni è pericolosa?