Перейти к содержанию
Сергей Ильин

Блокирование и просмотр HTTPS-трафика

Recommended Posts

Сергей Ильин

Хотел бы обсудить возможности предлагаемых на рынке продуктов по блокированию и мониторингу трафика https.

О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает. Производители говорят о разборе HTTPS-трафика с подменой сертификатов (по сути атака man in the middle). Но все может сводиться на деле к банальной блокировке шифрованного трафика.

Дополнительно скажу, что функционал по разбору HTTPS уже тестируется у InfoWatch.

В связи с этим хотелось бы услышать мнения экспертов по реализации блокировки и мониторинга HTTP и вообще нужности такого решения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leo
Хотел бы обсудить возможности предлагаемых на рынке продуктов по блокированию и мониторингу трафика https.

О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает. Производители говорят о разборе HTTPS-трафика с подменой сертификатов (по сути атака man in the middle). Но все может сводиться на деле к банальной блокировке шифрованного трафика.

Дополнительно скажу, что функционал по разбору HTTPS уже тестируется у InfoWatch.

В связи с этим хотелось бы услышать мнения экспертов по реализации блокировки и мониторинга HTTP и вообще нужности такого решения.

Ну мы это можем делать в версии с агентами -- контур информационной безопасности от СофтИнформ. Линка в подписи. Также мы ловим скайп причем и разговоры и чаты. Реально просто мы все перехватываем еще до уровня шифрования. В очень глубокие детали я не лез -- но принцип на самом деле один что для https что для скайпа что еще для чего то -- если ловишь на более низком уровне то шифрование ни на что не влияет :rolleyes:

А вот в том что касается блокирования, то делать это можно в варианте с агентами но не очень желательно. Так как сразу как мы начинаем говорить про блокировку защищенныъх каналов то может что то и нарушится да и человек сразу заметит, а как говорится " кто предупрежден тот вооружен "

Как показывает наша практика с учетом плотного общения с господами в погонах -- гораздо правильней ничего не тормозить а иметь всю информацию и грамотно проводить оперативную работу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
если ловишь на более низком уровне

Ты наверное имел ввиду на более высоком? На низком уровне уже все зашифровано, там транспорт фактически. Не шифрованный трафик можно снять только у приложения наверху.

Интересно, а при этом HTTPS-трафик ловится для любого браузера? Или только для IE и тех, кто юзает MS'вкую реализацию SSL?

Со скайпом тоже интересно - а как воспроизводить то, что записалось? У Скайпа проприаритарные кодеки (на базе GIPS) плюс ISAC, как быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Со стороны атакующих: Применение сетевых протоколов в самой сети и тем более в приложениях - дефективное, и поэтому возможность для атак типа man-in-the-middle, подмены сертификатов, и т.д. всегда будет.

Со стороны пользователя, который не хочет, чтобы мониторили то, что он делает: Боюсь, что это только как-то сработает если создать белый список посещаемых сайтов (= ip-адресов) и не исключено, что и при этом можно обходить эти системы. В Китае, например, где специализируются в обход таких систем фильтрации (необязательно в недобрых целях) люди пользуются либо web-based proxy сайтами, либо Tunneling в обход таких фильтров. Против Websense и Symantec точно работает. Про других у меня пока информации нет.

P.S.: Главное и возможно очень ложное предположение во всём этом: те, которых мы наняли - все добрые, особенно те, которые обслуживают систему защиты.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну мы это можем делать в версии с агентами -- контур информационной безопасности от СофтИнформ. Линка в подписи. Также мы ловим скайп причем и разговоры и чаты. Реально просто мы все перехватываем еще до уровня шифрования.

Кейлоггеры что ли ставите людям на машины? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Кейлоггеры что ли ставите людям на машины

ну со стандратным (MS'ским SSL) все ясно, это можно сделать. А вот что делать если реализация SSL нестандартная?

со скайпом там тоже что-то можно через плагины получить, но в общем случаи записать разговор и потом его воспроизвести не получится (точнее так - если есть лицензия на GIPS плюс отдельно на кодек ISAC, то что-то можно пытаться делать), если только снимать аудио-поток со звуковой карточки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Хотел бы обсудить возможности предлагаемых на рынке продуктов по блокированию и мониторингу трафика https.

Предлагаю ознакомиться со следующими решениями комплексного подхода к защите HTTP или HTTPS-трафика от Secure Computing.

О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает
.

Подробные описания технолигии и компонентов см. по ссылкам.

Secure Web (Webwasher) >>>

Secure Web SmartFilter >>>

Secure Web Protection Service >>>

В наличии и с подробным иллюстрированным описанием:

Secure Web Filter - Веб-фильтр

Secure Web Anti-Malware - Anti-Malware для Интернет

Secure Web Anti-Virus - Антивирус для Интернет

Secure Web SSL Scanner - SSL-Сканер для Интернет

Secure Web Reporter - Веб-Репортер

Secure Web Instant Message and Peer-to-peer security

Secure Web Cache - Кэш для Web 2.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leo
Ты наверное имел ввиду на более высоком? На низком уровне уже все зашифровано, там транспорт фактически. Не шифрованный трафик можно снять только у приложения наверху.

Интересно, а при этом HTTPS-трафик ловится для любого браузера? Или только для IE и тех, кто юзает MS'вкую реализацию SSL?

Со скайпом тоже интересно - а как воспроизводить то, что записалось? У Скайпа проприаритарные кодеки (на базе GIPS) плюс ISAC, как быть?

Про терминологию высокий или узкий уровень тут вопрос риторики. Ну в общем на том уровне когда уже ушло от пользователя но пока еще не зашифровано.

От браузеров не зависит в принципе.

По скайпу -- а что воспроизводить? Если про чаты то мы получаем текст и его пишем к себе и индексим. А если про звук то кодеки тоже не причем -- все гораздо ниже -- скайп несмотря на свои кодеки тоже пользуется аппаратурой в частности звуковой картой и микрофоном. А аппаратуре кодеки фиолетовы.

Кейлоггеры что ли ставите людям на машины? ;)

Нет -- кейлогеры это пошло :rolleyes:

Есть технологии если очень низко копать. Сейчас вот по СкайпСниферу идет финальное тестирование и в конце мая уже будут коммерческие поставки (деньги уже пришли). А анонстирвоали мы это 19 марта на нашей презентации в Москве -- оно уже тогда в принципе работало. Сейчас подчищаются мелочи.

так что кому будет интересно следите за нашим сайтом и при желании в конце мая уже можно будет попробовать коммерческую весрию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Про терминологию высокий или узкий уровень тут вопрос риторики

неа, это не вопрос вообще ;) это просто так и все.

скайп несмотря на свои кодеки тоже пользуется аппаратурой в частности звуковой картой и микрофоном.

Все понятно, я про этот путь написал в другом посте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот, о чем я говорил. Теперь у InfoWatch в партнерсве с Aladdin есть проверка HTTPs трафика.

http://www.anti-malware.ru/forum/index.php?showtopic=7642

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
так что кому будет интересно следите за нашим сайтом и при желании в конце мая уже можно будет попробовать коммерческую весрию

Сейчас QIP на основе SIPNET'a предоставляет связь - это вы тоже снифите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Н.Зенин
О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает. Производители говорят о разборе HTTPS-трафика с подменой сертификатов (по сути атака man in the middle). Но все может сводиться на деле к банальной блокировке шифрованного трафика.

Дополню о блокировании и мониторинге HTTPS трафика в названных решениях.

В общем, есть 3 уровня, на которых HTTPS отслеживается (все проверены нами на практике):

1) Подстановкой сертификатов. Для обоих продуктов нужна внешняя открывашка, например: для Websense DSS - Websense Content Gateway, для Symantec DLP - BlueCoat. Этот man in the middle подставляет общающимся сторонам свои сертификаты, читает трафик, передает его на анализ по тем же алгоритмам, что и HTTP. Способен заблокировать, если уходят секреты. Карантина нет.

2) Блокировкой протоколов. Брутально, но HTTPS можно прикрыть как класс для выбранных групп пользователей средствами самой DLP системы (Symantec DLP), либо интегрированными системами (Websense Web Security).

3) На уровне Endpoint агентов DLP системы до того, как созданный трафик был зашифрован, - подобно как это реализовал СофтИнформ

Ну мы это можем делать в версии с агентами

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Дополню о блокировании и мониторинге HTTPS трафика в названных решениях.

Николай, Спасибо. Итак, повторюсь, Symantec DLP работает с HTTPS через подстановку сертификатов на поддерживаемом Proxy сервере. На рабочих станциях Symantec Endpoint DLP агенты также могут работать с HTTPS через встраивание в виде плагинов в основные виды браузеров и разбор информации еще до ее шифрования

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
    • Липковский Борис
      Каждый находит свое увлечение.Заработок зависит от работы которую ты умеешь делать на отлично. Самое главное если есть время.
×