Connessioni SSL longeve agli indirizzi IP dinamici

1

Sto osservando un comportamento strano sui registri del mio server proxy da quando ho iniziato a bloccare le connessioni dirette in uscita verso la porta 443 (costringendo così le applicazioni a utilizzare il server proxy per le connessioni HTTPS).

Vedo un sacco di traffico basso (nell'intervallo da 0 a 20K byte), connessioni in uscita di lunga durata (nell'intervallo da 1 a 25 minuti) tramite il server proxy alla porta 443 sugli indirizzi IP in allocazione dinamica (ISP dei consumatori).

I log mostrano che queste connessioni vengono fatte all'IP, non a un nome host che si risolve nell'IP (quindi un esempio sarebbe "CONNECT 1.2.3.4:443" e non "CONNECT dynamic.example.com: 443 "nel registro di Squid).

La maggior parte dei miei utenti ha Skype (è uno strumento aziendale per loro), quindi mi chiedevo se questo modello di connessioni fosse Skype o qualcos'altro di cui non sono a conoscenza.

    
posta AndyK 06.11.2013 - 10:39
fonte

1 risposta

1

Se hai accesso amministratore ai sistemi degli utenti puoi iniziare scaricando l'elenco dei socket aperti e dei processi connessi con "netstat -nab" su Windows o "netstat -nap" su Linux. Cerca solo la fonte e le destinazioni che stai vedendo nel proxy. Questo potrebbe chiarire cosa si sta connettendo. Puoi anche provare a connetterti al lato server per ritirare il suo certificato. Il comando openssl s_client è valido per questo.

openssl s_client -connect IPADDRESS: 443 | openssl x509 -text

Si spera che sarà immediatamente chiaro se sono benigni (traffico Skype o altro traffico semi-legittimo) o dannoso (canale di comando e controllo).

    
risposta data 11.11.2013 - 14:46
fonte

Leggi altre domande sui tag