Intercettazione SSL con certificato client

Naviga le tue risposte
2

Voglio intercettare un flusso tcp codificato in ssl. Ho la chiave privata e il certificato del server e del client. Ma come posso intercettare la connessione.

Esiste un proxy di intercettazione con tale funzione?

    
posta spitzbuaamy 29.09.2016 - 15:44
fonte

3 risposte

1

In genere stai tentando di eseguire un uomo nel mezzo. Ci sono molti modi per farlo.

  1. un modo semplice è usare Wireshark - consulta la risposta di blownie55
  2. I browser Web in questi giorni sono dotati di strumenti per sviluppatori che mostrano molto. (Premi F12 in Chrome)
  3. Dump di pacchetti sul gateway. - Raccogli i pacchetti dal client e quindi decrittali usando la chiave privata (piuttosto difficile, ma fattibile).
  4. Port Cloning o Port mirroring sul tuo Gateway - Il tuo Gateway semplicemente inoltra tutto il traffico da una particolare Porta (ad esempio la porta A) nel tuo router / passa a un'altra Porta di tua scelta (ad esempio la porta B) - decrittografare il traffico da Port B utilizzando la chiave privata.

  5. Proxy Web: puoi ottenere ciò tramite:

    • impostazione di un proxy Web con le chiavi private del server e Cliente, quindi il Proxy sembra essere il Server per il Cliente e Vice Versa.
    • Quindi devi instradare il traffico attraverso il proxy Web. (come usare un file host sul client). - Se il tuo Gateway è anche il proxy web, non preoccuparti di questo passaggio.
risposta data 29.09.2016 - 18:11
fonte
0

È necessario creare un nuovo certificato che si presume sia valido per qualsiasi endpoint e che sia attendibile dal browser. Il tuo proxy quindi consegna quel certificato al posto di quello originale creando un vero e proprio man-in-the-middle.

Il traffico viene crittografato utilizzando il falso cert tra il browser e il proxy, quindi ri-criptato utilizzando il certificato originale tra il proxy e il punto finale.

Certamente ci sono servizi che lo faranno, Sophos per esempio ne hanno uno.

    
risposta data 29.09.2016 - 17:39
fonte
0

WireShark supporta l'intercettazione del traffico ssl quando si utilizza RSA per lo scambio di chiavi, ma ora con le persone che utilizzano Perfect Forward Secrecy, ti servirà la chiave di sessione che puoi ottenere se usi Firefox o Chrome. Vedi questo link su come ottenere e usa wireshark per decriptare il traffico.

Se non stai usando Perfect Forward Secrecy, allora dovrebbe essere semplice. Se lo stai utilizzando e il tuo client è diverso da Chrome o Firefox, dovrai eseguire ulteriori ricerche su come ottenere la chiave di sessione dal tuo client (se hai il controllo su di essa)

    
risposta data 29.09.2016 - 17:45
fonte

Leggi altre domande sui tag

Le vulnerabilità e le esposizioni comuni (CVE) potrebbero essere utilizzate dal governo degli Stati Uniti prima di essere rilasciate? Qualcuno che conosce solo il tuo numero di telefono e il tuo nome compie un furto d'identità?