И это работает в Chrome? Без SCT ???Stanislav писал(а): ↑05 май 2024, 11:48Ну вот как наш ССЛ инспекшн работает:Marmot писал(а): ↑05 май 2024, 08:36ну-ну, попробуй таким образом сделать сертификат для google.com например, и посмотри, что получится...Stanislav писал(а): ↑04 май 2024, 16:58 потому что у файрвола есть сертификат с бейсик констрикшеном, где написано СА = труе (именно для ССЛ инспекшн), т.е. файрвол является sub-CA authority по выпуску сертификатов и этот его сертификат выпущен официальной СА, которая присутствует в Винде по умолчанию.
П.С. извини - фром скратч делать - многа батонов надо жать
и картинко тоже приаттачить не могу, а своих вебсайтов у меня сейчас нет...Код: Выделить всё
Common Name (CN) www.google.com Organization (O) <Not Part Of Certificate> Organizational Unit (OU) <Not Part Of Certificate> Common Name (CN) checkpoint.ltsa.ca Organization (O) <Not Part Of Certificate> Organizational Unit (OU) <Not Part Of Certificate>
Using free public WiFi - real risk vs BullS..t
Правила форума
Пожалуйста, ознакомьтесь с правилами данного форума
Пожалуйста, ознакомьтесь с правилами данного форума
- Marmot
- Графоман
- Сообщения: 38417
- Зарегистрирован: 17 фев 2003, 17:58
- Откуда: Canyon Heights
- Контактная информация:
Re: Using free public WiFi - real risk vs BullS..t
-
- Маньяк
- Сообщения: 2771
- Зарегистрирован: 20 фев 2003, 09:15
- Откуда: Vancouver
Re: Using free public WiFi - real risk vs BullS..t
Уточню - и это работает без копирования корневого сертификата клиента на фаерволльный сервер? Стасик описывает не фаерволл а ССЛ прокси. В РТФМ сказано - надо поделиться своим частным ключем с прокси сервером. Так ЗиСкейлер работает.Marmot писал(а): ↑05 май 2024, 12:02И это работает в Chrome? Без SCT ???Stanislav писал(а): ↑05 май 2024, 11:48Ну вот как наш ССЛ инспекшн работает:Marmot писал(а): ↑05 май 2024, 08:36ну-ну, попробуй таким образом сделать сертификат для google.com например, и посмотри, что получится...Stanislav писал(а): ↑04 май 2024, 16:58 потому что у файрвола есть сертификат с бейсик констрикшеном, где написано СА = труе (именно для ССЛ инспекшн), т.е. файрвол является sub-CA authority по выпуску сертификатов и этот его сертификат выпущен официальной СА, которая присутствует в Винде по умолчанию.
П.С. извини - фром скратч делать - многа батонов надо жать
и картинко тоже приаттачить не могу, а своих вебсайтов у меня сейчас нет...Код: Выделить всё
Common Name (CN) www.google.com Organization (O) <Not Part Of Certificate> Organizational Unit (OU) <Not Part Of Certificate> Common Name (CN) checkpoint.ltsa.ca Organization (O) <Not Part Of Certificate> Organizational Unit (OU) <Not Part Of Certificate>
Последний раз редактировалось Vovchik 05 май 2024, 12:13, всего редактировалось 1 раз.
-
- Маньяк
- Сообщения: 2771
- Зарегистрирован: 20 фев 2003, 09:15
- Откуда: Vancouver
Re: Using free public WiFi - real risk vs BullS..t
Does https prevent man in the middle attacks by proxy server?
https://security.stackexchange.com/ques ... oxy-server
https://security.stackexchange.com/ques ... oxy-server
- Marmot
- Графоман
- Сообщения: 38417
- Зарегистрирован: 17 фев 2003, 17:58
- Откуда: Canyon Heights
- Контактная информация:
Re: Using free public WiFi - real risk vs BullS..t
Без private CA cert в trust store на стороне клиента это все работать не будет...
А модификация trust store это достаточно стремная операция...
-
- Маньяк
- Сообщения: 2771
- Зарегистрирован: 20 фев 2003, 09:15
- Откуда: Vancouver
Re: Using free public WiFi - real risk vs BullS..t
Вот похоже описание атаки по Стасику. Естественно:
Mitmproxy generates certificates on-the-fly to fool the client into believing that they are communicating with the server. To make the client trust newly forged certificates without raising warnings, it is necessary to manually register mitmproxy as a trusted CA with the device.
https://www.trustwave.com/en-us/resourc ... -sslsplit/
Mitmproxy generates certificates on-the-fly to fool the client into believing that they are communicating with the server. To make the client trust newly forged certificates without raising warnings, it is necessary to manually register mitmproxy as a trusted CA with the device.
https://www.trustwave.com/en-us/resourc ... -sslsplit/
- Stanislav
- Mr. Minority Report
- Сообщения: 43575
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Using free public WiFi - real risk vs BullS..t
Уточняю - я не могу скриншот вывесить...
Что такое SCT?
checkpoint.ltsa.ca - это мой сертификат - это Sub-CA - у меня есть ключ.
Посмотрите чейны в сертификатах - сейчас сертифицаты подписывают Sub-CA (Intermediate), а не ROOT CA - two tier certificate authority (по соображениям безопасности). Чтoбы подписать на лету мне нужен Sub-CA и его ключ, который у меня ессно есть, мне не нужен ROOT CA.
т.е. весь прикол в том, чтобы выпустить свой Sub-CA серт. и подписать его чем-то, что есть в Виндовском сторе.
Прокси - это когда прокся ничего с трафиком не делает, а мы инспектим и даже можем кой-чего почикать.
Работает, но... не работает...
Мы протестировали на Хроме/Эдже, Лисице и ИЕ - работает, но замедление заметно - выпуск сертификата на лету занимает 1-2 сек.
Нам сказали, надо взять молоток девайс побольше и мы в прошлом году это дело похерили.
Но как оказалось, тетко из секьюрити (она помешана на НИСТ) нихрена не забыла и мне этот таск поставили на этот финансовый год - часики уже тикают - пишу план имплементации.
- Marmot
- Графоман
- Сообщения: 38417
- Зарегистрирован: 17 фев 2003, 17:58
- Откуда: Canyon Heights
- Контактная информация:
Re: Using free public WiFi - real risk vs BullS..t
https://en.wikipedia.org/wiki/Certificate_Transparency
И как ты это сделаешь, если это не твой priavte CA?
- Stanislav
- Mr. Minority Report
- Сообщения: 43575
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Using free public WiFi - real risk vs BullS..t
В моей доменной СА нету такого - т.е. я не настраивал, если только АДСА по умолчания что-то делает - все сертификаты везде работают.
Я почему про Фортигейт говорю - там уже есть такой Sub-CA - выпущен ДиджиСертом - кстате, выпущен для Вай-Фая
Последний раз редактировалось Stanislav 05 май 2024, 18:28, всего редактировалось 1 раз.
- Stanislav
- Mr. Minority Report
- Сообщения: 43575
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Using free public WiFi - real risk vs BullS..t
Кстате, для бесплатного вайфая обычно перед подключением показывают страничку со всякими лигал условиями - вот ее можно сделать на моем сертификате - да, пользователю покажется предупреждение, но в 90% случаях он нажмет акцепт сертификата - ему же хочеццо интернета на халяву
Вот еще один вектор.
- Marmot
- Графоман
- Сообщения: 38417
- Зарегистрирован: 17 фев 2003, 17:58
- Откуда: Canyon Heights
- Контактная информация:
Re: Using free public WiFi - real risk vs BullS..t
Если СА root не public, то будет работать, а вот если public, тогда от тебя потребуют SCT...Stanislav писал(а): ↑05 май 2024, 18:16В моей доменной СА нету такого - т.е. я не настраивал, если только АДСА по умолчания что-то делает - все сертификаты везде работают.
Твой хитрый СА root скорее всего завязан на конкретный девайс или как еще...
- Stanislav
- Mr. Minority Report
- Сообщения: 43575
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Using free public WiFi - real risk vs BullS..t
Стандартный АД сервис - АДСА - тупо из дистра Виндовз Сервера устанавливал.Marmot писал(а): ↑05 май 2024, 18:27Если СА root не public, то будет работать, а вот если public, тогда от тебя потребуют SCT...Stanislav писал(а): ↑05 май 2024, 18:16В моей доменной СА нету такого - т.е. я не настраивал, если только АДСА по умолчания что-то делает - все сертификаты везде работают.
Твой хитрый СА root скорее всего завязан на конкретный девайс или как еще...
Ну... я его по последней моде - two tiers сделал - у меня ROOT CA standalone, Sub-CA - domain members - может поэтому...
Но старая одноуровневая работала до осени прошлого года - когда там этот реквайремент ввели?
Ну... не суть - буду колупаться с таском, буду конкретно батоны нажимать...
Последний раз редактировалось Stanislav 05 май 2024, 18:34, всего редактировалось 1 раз.
- Marmot
- Графоман
- Сообщения: 38417
- Зарегистрирован: 17 фев 2003, 17:58
- Откуда: Canyon Heights
- Контактная информация:
Re: Using free public WiFi - real risk vs BullS..t
Aaaa, вот оно как делается...Stanislav писал(а): ↑05 май 2024, 18:31Стандартный АД сервис - АДСА - тупо из дистра Виндовз Сервера устанавливал.Marmot писал(а): ↑05 май 2024, 18:27Если СА root не public, то будет работать, а вот если public, тогда от тебя потребуют SCT...Stanislav писал(а): ↑05 май 2024, 18:16В моей доменной СА нету такого - т.е. я не настраивал, если только АДСА по умолчания что-то делает - все сертификаты везде работают.
Твой хитрый СА root скорее всего завязан на конкретный девайс или как еще...
Ну... не суть - буду колупаться с таском, буду конкретно батоны нажимать...
https://community.fortinet.com/t5/Forti ... a-p/270767
Значит с Маками оно работать прост не будет
Блин, твой АДСА и есть типичный private CA, просто винда сама себе сертификаты ставит...
Т.е. это работает только на винде, которая в твоем домене, в общем случае оно рабоатть не будет...
- Stanislav
- Mr. Minority Report
- Сообщения: 43575
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Using free public WiFi - real risk vs BullS..t
Богатенький Буратино Карабас-БарабасMarmot писал(а): ↑05 май 2024, 18:33Aaaa, вот оно как делается...Stanislav писал(а): ↑05 май 2024, 18:31Стандартный АД сервис - АДСА - тупо из дистра Виндовз Сервера устанавливал.Marmot писал(а): ↑05 май 2024, 18:27Если СА root не public, то будет работать, а вот если public, тогда от тебя потребуют SCT...
Твой хитрый СА root скорее всего завязан на конкретный девайс или как еще...
Ну... не суть - буду колупаться с таском, буду конкретно батоны нажимать...
https://community.fortinet.com/t5/Forti ... a-p/270767
Значит с Маками оно работать прост не будет
- Marmot
- Графоман
- Сообщения: 38417
- Зарегистрирован: 17 фев 2003, 17:58
- Откуда: Canyon Heights
- Контактная информация:
- Stanislav
- Mr. Minority Report
- Сообщения: 43575
- Зарегистрирован: 19 окт 2005, 16:33
- Откуда: Moscow - Richmond - New Wesт - Burnaby
Re: Using free public WiFi - real risk vs BullS..t
Вовсе нет - любой комп работает и Линюх и Джава тоже!
Надо только рут и интермедиейт запихнуть в Виндовз сторе / Линукс /etc/pki сторе / cacerts в jre/lib/security.
У нас все аппы общается по ХТТПС, даже контейнеры и датабазе.
Последний раз редактировалось Stanislav 05 май 2024, 18:47, всего редактировалось 1 раз.