Come ottenere le chiavi private per la decrittografia del traffico?

1

Siamo una grande organizzazione con centinaia di server web in una DMZ. Abbiamo appliance (alcune di queste in ogni posizione) in cui viene decifrato tutto il traffico in ingresso dall'esterno della rete (beh, dovrebbe essere, ma più avanti) e inviato a un IDS / IPS.

Il problema è che adesso siamo in modalità TAP, quindi siamo in grado di decifrare RSA - circa il 9% di tutto il traffico. Ci piacerebbe andare in linea (per decrittografare anche DH), ma il problema sono i nostri certificati privati . Utilizziamo una soluzione Cloud Public Key Infrastructure (PKI) per firmare le nostre Certificate Signing Requests (CSR), ma la chiave privata non lascia mai il suo server.

Come apparirebbe un processo per ottenerli tutti? Devo andare e chiedere a ciascuno dei proprietari del server di darmi la chiave privata?

    
posta adam86 25.10.2017 - 15:13
fonte

1 risposta

1

DH è lo scambio di chiavi punto a punto. Il metodo migliore consiste nell'interrompere la crittografia e ricostruire un tunnel diverso fino al punto finale della rete. Ciò causerà un carico elevato. La maggior parte delle aziende, non appena il pacchetto entra nella loro rete sicura, vengono inoltrate decodificate per consentire l'analisi senza impatto sulle prestazioni.

Penso che la maggior parte dei dispositivi non possa annusare quel tipo di traffico, quindi è necessario rompere il tunnel. Anche se hai la chiave privata, la coppia di chiavi generata da DH è tra l'origine e la destinazione, i sistemi centrali non saranno in grado di ottenere la chiave.

Ciò che intendo nel rompere il tunnel è che i tuoi dispositivi abbiano i loro certificati e chiavi private allo stesso modo dei server e fungano da endpoint per la comunicazione.

[aggiunto]

Genera il tuo strumento csr e richiedi i certificati per ogni sito che possiedi. Se possiedi i siti non sarà un problema e sarai in grado di leggere i trafic. Come se il tuo dispositivo fosse un web server. Molti strumenti non lo permettono. Altri lo consentono ma lo limitano a un piccolo numero di server virtuali ospitati.

La raccolta delle chiavi private dai server Web potrebbe non essere sufficiente. Devi rompere il tunnel e non origliarlo.

Per ottenere le chiavi private da ciascun sito. Il certificato del sito deve essere esportabile, è necessario conoscerne la password ed esportarlo in un file (chiave privata), quindi nei propri id è necessario procedere con l'importazione. Ma probabilmente è quello che hai già fatto a causa del fatto che la tua affermazione dice che puoi leggere trafic solo alcuni DH specifici non è possibile ... :) Il processo di esportazione delle chiavi cambia un po 'se hai una finestra o un Linux, facile da trovare in Internet.

Perché puoi leggere TLS_ECDHE_RSA_WITH_AES_256_GCM_S HA384 che non stanno utilizzando Diffie-Hellman Ephemeral (DHE / EDH) o suite di cifratura effimera RSA per lo scambio di chiavi ma curva eclittica. se si snif i pacchetti e si vede se la suite di crittografia specificata inizia TLS_DHE o SSL_DHE, non sarà possibile decodificare i dati.

    
risposta data 25.10.2017 - 16:15
fonte

Leggi altre domande sui tag