E 'possibile MITM TLS senza mantenere la connessione tra proxy e server remoto?

1

E parlo di scenari in cui esprimi esplicitamente che gli utenti sanno che il MITM sta accadendo e dove gli utenti devono rispettare (per esempio, il Kazakistan voleva avere un proxy MITM a livello nazionale, per proteggere i propri cittadini da siti stranieri malevoli , vai anche fino a chiedi a Mozilla di includere la loro CA .)

Ma non riesco a pensare a uno scenario in cui non è necessario gestire le connessioni tra il proxy MITM e il server remoto. E questo mi sembra molto costoso per me su scala nazionale.

Quindi la mia domanda:

È possibile MITM TLS senza mantenere la connessione tra proxy e server remoto? Quando il cliente rispetterà il tuo ordine per installare il certificato CA root.

Supponiamo di dover gestire anche HSTS e gli utenti utilizzano i normali browser.

(Naturalmente, usare backdoor su OS / Browser sarà più semplice del dirottamento di TLS, ma supponiamo di dover seguire il percorso di hijack.)

    
posta bitinn 24.01.2017 - 07:54
fonte

2 risposte

1

I just can't think of a scenario where you don't have to manage the connections between the MITM proxy and Remote server. And that feels very expensive to me to do on a national scale.

Non particolarmente. Principalmente questo perché non lo fai su scala nazionale: tu chiedi agli ISP di farlo per te, e ti colleghi semplicemente per eseguire l'elaborazione dei dati offline (a la Room 641A , se stai facendo sorveglianza passiva).

Inoltre, il traffico non è poi così tanto per una terminazione TLS abbastanza semplice. Il Kazakistan ha solo circa 18 milioni di persone e 13,2 milioni di utenti Internet; Stack Overflow ha circa la metà di , oltre a dover eseguire un intero sito Web per loro. TLS è abbastanza economico ora , e i governi di solito ottengono finanziamenti abbastanza facilmente per "sicurezza nazionale", "difesa contro i terroristi" e cose del genere.

    
risposta data 24.01.2017 - 08:15
fonte
2

Is it possible to MITM TLS without maintaining connection between proxy and remote server?

Da un punto tecnico questo è impossibile. TLS MITM è possibile solo con connessioni TLS separate dal proxy sia al client che al server. È necessario mantenere lo stato sia dello stack TCP che TLS per l'intera durata dell'intercettazione, perché altrimenti non è possibile ricevere, decrittografare, ricodificare e inviare i dati dal client al server e viceversa. Ma questo non ha bisogno di essere fatto su una singola macchina, ma può essere fatto scalare su migliaia di sistemi.

    
risposta data 24.01.2017 - 08:45
fonte

Leggi altre domande sui tag