I proxy SSL come quelli dei produttori di antivirus sequestrano i processi client?

Naviga le tue risposte
0

Nel tentativo di comprendere ulteriormente l'argomento, sono stati esaminati i seguenti post.

Tuttavia, i post non toccano il modo in cui il software antivirus trasmette tutto il traffico.

La mia comprensione è che i software antivirus come quelli di Symantec, Kasperksy, ecc. installano i certificati di root sul sistema operativo e sul client, ad es. browser web.

Non è chiaro come il software antivirus trasmetta tutto il traffico. Suggerisce che il software antivirus sta violando e / o iniettando il processo del browser.

  • Se sì, come ottiene il dirottamento e / o l'iniezione di un browser processi? Quali sono i rischi?
  • Se no, come indirizza tutto il traffico da un browser? Ho
    si presume che non cambi le configurazioni DNS o installi il proxy file di configurazione.
posta Motivated 03.11.2018 - 02:22
fonte

1 risposta

2

In base alla tua domanda presumo che tu capisca come funziona l'intercettazione SSL in generale, cioè che il processo di intercettazione SSL (l'antivirus in questo caso) sostituisce essenzialmente la connessione crittografata end-to-end originale con una connessione crittografata dal proxy a server e con un'altra connessione dal client al proxy - dove l'ultimo non utilizza il certificato del server originale ma un certificato creato dal proxy ed emesso da una CA specifica del proxy attendibile dal client.

La domanda rimane allora come l'AV locale può mettere il suo proxy nel percorso del traffico. Un modo sarebbe configurare esplicitamente il proxy nel browser. Un modo più trasparente su Windows consiste nell'utilizzare la piattaforma di filtraggio Windows (WFP), progettata esplicitamente per questo tipo di intercettazione del traffico. Per citare il Porting Packet- Elaborazione di driver e app per il WFP :

Windows Filtering Platform (WFP) enables TCP/IP packet filtering, inspection, and modification, connection monitoring or authorization, IPsec rules and processing, and RPC filtering ...

In altre parole: non è necessaria alcuna iniezione nel client. Invece WFP definisce un'interfaccia supportata su come il traffico delle applicazioni può essere intercettato e modificato. Dato che tutto il traffico tra un'applicazione e il peer di comunicazione remoto passerà infine attraverso lo stack di rete del WFP del sistema operativo, fornisce essenzialmente hook supportati in questo stack di rete e consente l'intercettazione e la modifica senza modificare l'applicazione. Questo tipo di hook viene anche utilizzato da librerie come WinDivert che consentono l'intercettazione e la modifica del traffico dalla modalità utente.

Anche la documentazione di ESET AV conferma che stanno utilizzando il WFP. Per cite :

Starting with Windows Vista Service Pack 1, Windows 7 and Windows Server 2008, the new Windows Filtering Platform (WFP) architecture is used to check network communication. ...

Ci sono anche altri modi per fare cose simili anche prima che il WFP fosse disponibile, per esempio con Driver filtro NDIS . E ci sono altri modi, tra cui l'iniezione di una DLL nell'applicazione. Per alcune informazioni, consulta Confronto delle modalità utente e delle applicazioni in modalità kernel per la modifica del traffico HTTP .

    
risposta data 03.11.2018 - 05:18
fonte

Leggi altre domande sui tag

Does HTML Purifier (che converte & to &) previene l'inquinamento dei parametri HTTP? La dedica degli IP per ciascun dominio è migliore della condivisione di un ip?