Сергей Ильин

Блокирование и просмотр HTTPS-трафика

В этой теме 13 сообщений

Хотел бы обсудить возможности предлагаемых на рынке продуктов по блокированию и мониторингу трафика https.

О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает. Производители говорят о разборе HTTPS-трафика с подменой сертификатов (по сути атака man in the middle). Но все может сводиться на деле к банальной блокировке шифрованного трафика.

Дополнительно скажу, что функционал по разбору HTTPS уже тестируется у InfoWatch.

В связи с этим хотелось бы услышать мнения экспертов по реализации блокировки и мониторинга HTTP и вообще нужности такого решения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хотел бы обсудить возможности предлагаемых на рынке продуктов по блокированию и мониторингу трафика https.

О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает. Производители говорят о разборе HTTPS-трафика с подменой сертификатов (по сути атака man in the middle). Но все может сводиться на деле к банальной блокировке шифрованного трафика.

Дополнительно скажу, что функционал по разбору HTTPS уже тестируется у InfoWatch.

В связи с этим хотелось бы услышать мнения экспертов по реализации блокировки и мониторинга HTTP и вообще нужности такого решения.

Ну мы это можем делать в версии с агентами -- контур информационной безопасности от СофтИнформ. Линка в подписи. Также мы ловим скайп причем и разговоры и чаты. Реально просто мы все перехватываем еще до уровня шифрования. В очень глубокие детали я не лез -- но принцип на самом деле один что для https что для скайпа что еще для чего то -- если ловишь на более низком уровне то шифрование ни на что не влияет :rolleyes:

А вот в том что касается блокирования, то делать это можно в варианте с агентами но не очень желательно. Так как сразу как мы начинаем говорить про блокировку защищенныъх каналов то может что то и нарушится да и человек сразу заметит, а как говорится " кто предупрежден тот вооружен "

Как показывает наша практика с учетом плотного общения с господами в погонах -- гораздо правильней ничего не тормозить а иметь всю информацию и грамотно проводить оперативную работу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
если ловишь на более низком уровне

Ты наверное имел ввиду на более высоком? На низком уровне уже все зашифровано, там транспорт фактически. Не шифрованный трафик можно снять только у приложения наверху.

Интересно, а при этом HTTPS-трафик ловится для любого браузера? Или только для IE и тех, кто юзает MS'вкую реализацию SSL?

Со скайпом тоже интересно - а как воспроизводить то, что записалось? У Скайпа проприаритарные кодеки (на базе GIPS) плюс ISAC, как быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Со стороны атакующих: Применение сетевых протоколов в самой сети и тем более в приложениях - дефективное, и поэтому возможность для атак типа man-in-the-middle, подмены сертификатов, и т.д. всегда будет.

Со стороны пользователя, который не хочет, чтобы мониторили то, что он делает: Боюсь, что это только как-то сработает если создать белый список посещаемых сайтов (= ip-адресов) и не исключено, что и при этом можно обходить эти системы. В Китае, например, где специализируются в обход таких систем фильтрации (необязательно в недобрых целях) люди пользуются либо web-based proxy сайтами, либо Tunneling в обход таких фильтров. Против Websense и Symantec точно работает. Про других у меня пока информации нет.

P.S.: Главное и возможно очень ложное предположение во всём этом: те, которых мы наняли - все добрые, особенно те, которые обслуживают систему защиты.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну мы это можем делать в версии с агентами -- контур информационной безопасности от СофтИнформ. Линка в подписи. Также мы ловим скайп причем и разговоры и чаты. Реально просто мы все перехватываем еще до уровня шифрования.

Кейлоггеры что ли ставите людям на машины? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кейлоггеры что ли ставите людям на машины

ну со стандратным (MS'ским SSL) все ясно, это можно сделать. А вот что делать если реализация SSL нестандартная?

со скайпом там тоже что-то можно через плагины получить, но в общем случаи записать разговор и потом его воспроизвести не получится (точнее так - если есть лицензия на GIPS плюс отдельно на кодек ISAC, то что-то можно пытаться делать), если только снимать аудио-поток со звуковой карточки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хотел бы обсудить возможности предлагаемых на рынке продуктов по блокированию и мониторингу трафика https.

Предлагаю ознакомиться со следующими решениями комплексного подхода к защите HTTP или HTTPS-трафика от Secure Computing.

О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает
.

Подробные описания технолигии и компонентов см. по ссылкам.

Secure Web (Webwasher) >>>

Secure Web SmartFilter >>>

Secure Web Protection Service >>>

В наличии и с подробным иллюстрированным описанием:

Secure Web Filter - Веб-фильтр

Secure Web Anti-Malware - Anti-Malware для Интернет

Secure Web Anti-Virus - Антивирус для Интернет

Secure Web SSL Scanner - SSL-Сканер для Интернет

Secure Web Reporter - Веб-Репортер

Secure Web Instant Message and Peer-to-peer security

Secure Web Cache - Кэш для Web 2.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ты наверное имел ввиду на более высоком? На низком уровне уже все зашифровано, там транспорт фактически. Не шифрованный трафик можно снять только у приложения наверху.

Интересно, а при этом HTTPS-трафик ловится для любого браузера? Или только для IE и тех, кто юзает MS'вкую реализацию SSL?

Со скайпом тоже интересно - а как воспроизводить то, что записалось? У Скайпа проприаритарные кодеки (на базе GIPS) плюс ISAC, как быть?

Про терминологию высокий или узкий уровень тут вопрос риторики. Ну в общем на том уровне когда уже ушло от пользователя но пока еще не зашифровано.

От браузеров не зависит в принципе.

По скайпу -- а что воспроизводить? Если про чаты то мы получаем текст и его пишем к себе и индексим. А если про звук то кодеки тоже не причем -- все гораздо ниже -- скайп несмотря на свои кодеки тоже пользуется аппаратурой в частности звуковой картой и микрофоном. А аппаратуре кодеки фиолетовы.

Кейлоггеры что ли ставите людям на машины? ;)

Нет -- кейлогеры это пошло :rolleyes:

Есть технологии если очень низко копать. Сейчас вот по СкайпСниферу идет финальное тестирование и в конце мая уже будут коммерческие поставки (деньги уже пришли). А анонстирвоали мы это 19 марта на нашей презентации в Москве -- оно уже тогда в принципе работало. Сейчас подчищаются мелочи.

так что кому будет интересно следите за нашим сайтом и при желании в конце мая уже можно будет попробовать коммерческую весрию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Про терминологию высокий или узкий уровень тут вопрос риторики

неа, это не вопрос вообще ;) это просто так и все.

скайп несмотря на свои кодеки тоже пользуется аппаратурой в частности звуковой картой и микрофоном.

Все понятно, я про этот путь написал в другом посте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
так что кому будет интересно следите за нашим сайтом и при желании в конце мая уже можно будет попробовать коммерческую весрию

Сейчас QIP на основе SIPNET'a предоставляет связь - это вы тоже снифите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает. Производители говорят о разборе HTTPS-трафика с подменой сертификатов (по сути атака man in the middle). Но все может сводиться на деле к банальной блокировке шифрованного трафика.

Дополню о блокировании и мониторинге HTTPS трафика в названных решениях.

В общем, есть 3 уровня, на которых HTTPS отслеживается (все проверены нами на практике):

1) Подстановкой сертификатов. Для обоих продуктов нужна внешняя открывашка, например: для Websense DSS - Websense Content Gateway, для Symantec DLP - BlueCoat. Этот man in the middle подставляет общающимся сторонам свои сертификаты, читает трафик, передает его на анализ по тем же алгоритмам, что и HTTP. Способен заблокировать, если уходят секреты. Карантина нет.

2) Блокировкой протоколов. Брутально, но HTTPS можно прикрыть как класс для выбранных групп пользователей средствами самой DLP системы (Symantec DLP), либо интегрированными системами (Websense Web Security).

3) На уровне Endpoint агентов DLP системы до того, как созданный трафик был зашифрован, - подобно как это реализовал СофтИнформ

Ну мы это можем делать в версии с агентами

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дополню о блокировании и мониторинге HTTPS трафика в названных решениях.

Николай, Спасибо. Итак, повторюсь, Symantec DLP работает с HTTPS через подстановку сертификатов на поддерживаемом Proxy сервере. На рабочих станциях Symantec Endpoint DLP агенты также могут работать с HTTPS через встраивание в виде плагинов в основные виды браузеров и разбор информации еще до ее шифрования

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Лола
      Я сижу с прокси-сервером https://advanced.name/.../u5 При помощи такого быстрого прокси-сервера страницы стали загружаться с одного клика, а заблокированные сайты стали доступными.
    • PR55.RP55
      1) Чаще всего такое сообщение появляется, если не верно установлено системное время. Если на PC 2025 год то самые актуальные обновления будут устаревшими. 2) Malwarebytes при наличие в системе антивируса _нужно устанавливать в режиме сканера. т.е. с отключённой защитой в реальном времени - во избежание конфликта. ---------- Форум: anti-malware.ru практически склеил ласты. Хотите получить ответ пишите на:  comss.ru
    • ratus
      Доброго времени суток! У меня следующая проблема. На информационной панели malwarebytes Следующие сообщение: "Ваши обновления не являются актуальными", При этом, с интернетом все в порядке Не помогает и обновление при помощи скаченных в ручную баз. Я подозреваю, что это могло произойти из-за установки антивируса поверх уже существующего. Но после последнего описанного события я переустановил программу корректно. Может причина в том, что антивирус не обновлен до premium версии.  
    • AM_Bot
      Алексей Андрияшин, технический директор Fortinet в России, поделился своим взглядом на тенденции информационной безопасности, а также рассказал, как защищать организацию с помощью экосистемы Fortinet. Читать далее
    • Ego Dekker
      Антивирусы были обновлены до версии 10.1.245.1.