Decodifica del traffico SSL per Security Onion in corrispondenza o prima dell'interfaccia

0

Ho installato Security Onion e sto eseguendo l'acquisizione di pacchetti completi sulla mia rete domestica. Ho anche un firewall (pfSense) che fa il mio routing. Ho Security Onion seduto dietro il mio firewall e rispecchiato da un interruttore. Funziona benissimo tranne che voglio decodificare il mio traffico SSL. Preferirei che la decifrazione avvenga al volo invece di decodificare manualmente con wireshark in questo modo Snort vede tutto anche. Ho installato squid sul firewall per provare a proxyare il mio traffico ma non funziona correttamente. Inoltra tutto ma non riesco a decodificarlo (esegui l'acquisizione live sul firewall ed è ancora crittografato). Se riesco a farlo funzionare, basterà (utilizzando la chiave privata del firewall per decifrare)? Se è così, come dovrei fare per impostare questo in Security Onion? Grazie per il tuo aiuto.

    
posta zinzara 01.07.2015 - 02:25
fonte

1 risposta

1

Per impostare la decodifica TLS generale, Security Onion dovrà avere un certificato attendibile dai tuoi endpoint. Di solito questo certificato ha un CN di * quindi può firmare qualsiasi cosa.

Quindi dovresti generare una coppia di chiavi TLS per la crittografia. Il certificato deve essere aggiunto all'archivio principale sui controller di dominio ActiveDirectory, su un altro archivio centrale per altri sistemi o nei singoli endpoint. Questa coppia di chiavi consentirà a Security Onion di agire come un proxy TLS e allo stesso tempo potrà essere considerato affidabile dagli endpoint.

Il firewall cert non è correlato poiché TLS è una crittografia end-to-end in cui il server ha la chiave privata e nessun altro. La decrittografia TLS la sovverte introducendo un proxy che può decrittografare, ispezionare e crittografare nuovamente il traffico TLS. Funziona solo se il certificato utilizzato per la re-crittografia è considerato affidabile dagli endpoint. È un MitM controllato.

ATTENZIONE : questo è molto pericoloso se fatto in modo improprio poiché può abilitare il MitM dannoso se la coppia di chiavi viene rubata.

    
risposta data 01.07.2015 - 23:44
fonte

Leggi altre domande sui tag