Перейти к содержанию
Сергей Ильин

Блокирование и просмотр HTTPS-трафика

Recommended Posts

Сергей Ильин

Хотел бы обсудить возможности предлагаемых на рынке продуктов по блокированию и мониторингу трафика https.

О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает. Производители говорят о разборе HTTPS-трафика с подменой сертификатов (по сути атака man in the middle). Но все может сводиться на деле к банальной блокировке шифрованного трафика.

Дополнительно скажу, что функционал по разбору HTTPS уже тестируется у InfoWatch.

В связи с этим хотелось бы услышать мнения экспертов по реализации блокировки и мониторинга HTTP и вообще нужности такого решения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leo
Хотел бы обсудить возможности предлагаемых на рынке продуктов по блокированию и мониторингу трафика https.

О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает. Производители говорят о разборе HTTPS-трафика с подменой сертификатов (по сути атака man in the middle). Но все может сводиться на деле к банальной блокировке шифрованного трафика.

Дополнительно скажу, что функционал по разбору HTTPS уже тестируется у InfoWatch.

В связи с этим хотелось бы услышать мнения экспертов по реализации блокировки и мониторинга HTTP и вообще нужности такого решения.

Ну мы это можем делать в версии с агентами -- контур информационной безопасности от СофтИнформ. Линка в подписи. Также мы ловим скайп причем и разговоры и чаты. Реально просто мы все перехватываем еще до уровня шифрования. В очень глубокие детали я не лез -- но принцип на самом деле один что для https что для скайпа что еще для чего то -- если ловишь на более низком уровне то шифрование ни на что не влияет :rolleyes:

А вот в том что касается блокирования, то делать это можно в варианте с агентами но не очень желательно. Так как сразу как мы начинаем говорить про блокировку защищенныъх каналов то может что то и нарушится да и человек сразу заметит, а как говорится " кто предупрежден тот вооружен "

Как показывает наша практика с учетом плотного общения с господами в погонах -- гораздо правильней ничего не тормозить а иметь всю информацию и грамотно проводить оперативную работу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
если ловишь на более низком уровне

Ты наверное имел ввиду на более высоком? На низком уровне уже все зашифровано, там транспорт фактически. Не шифрованный трафик можно снять только у приложения наверху.

Интересно, а при этом HTTPS-трафик ловится для любого браузера? Или только для IE и тех, кто юзает MS'вкую реализацию SSL?

Со скайпом тоже интересно - а как воспроизводить то, что записалось? У Скайпа проприаритарные кодеки (на базе GIPS) плюс ISAC, как быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Со стороны атакующих: Применение сетевых протоколов в самой сети и тем более в приложениях - дефективное, и поэтому возможность для атак типа man-in-the-middle, подмены сертификатов, и т.д. всегда будет.

Со стороны пользователя, который не хочет, чтобы мониторили то, что он делает: Боюсь, что это только как-то сработает если создать белый список посещаемых сайтов (= ip-адресов) и не исключено, что и при этом можно обходить эти системы. В Китае, например, где специализируются в обход таких систем фильтрации (необязательно в недобрых целях) люди пользуются либо web-based proxy сайтами, либо Tunneling в обход таких фильтров. Против Websense и Symantec точно работает. Про других у меня пока информации нет.

P.S.: Главное и возможно очень ложное предположение во всём этом: те, которых мы наняли - все добрые, особенно те, которые обслуживают систему защиты.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну мы это можем делать в версии с агентами -- контур информационной безопасности от СофтИнформ. Линка в подписи. Также мы ловим скайп причем и разговоры и чаты. Реально просто мы все перехватываем еще до уровня шифрования.

Кейлоггеры что ли ставите людям на машины? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Кейлоггеры что ли ставите людям на машины

ну со стандратным (MS'ским SSL) все ясно, это можно сделать. А вот что делать если реализация SSL нестандартная?

со скайпом там тоже что-то можно через плагины получить, но в общем случаи записать разговор и потом его воспроизвести не получится (точнее так - если есть лицензия на GIPS плюс отдельно на кодек ISAC, то что-то можно пытаться делать), если только снимать аудио-поток со звуковой карточки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Хотел бы обсудить возможности предлагаемых на рынке продуктов по блокированию и мониторингу трафика https.

Предлагаю ознакомиться со следующими решениями комплексного подхода к защите HTTP или HTTPS-трафика от Secure Computing.

О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает
.

Подробные описания технолигии и компонентов см. по ссылкам.

Secure Web (Webwasher) >>>

Secure Web SmartFilter >>>

Secure Web Protection Service >>>

В наличии и с подробным иллюстрированным описанием:

Secure Web Filter - Веб-фильтр

Secure Web Anti-Malware - Anti-Malware для Интернет

Secure Web Anti-Virus - Антивирус для Интернет

Secure Web SSL Scanner - SSL-Сканер для Интернет

Secure Web Reporter - Веб-Репортер

Secure Web Instant Message and Peer-to-peer security

Secure Web Cache - Кэш для Web 2.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leo
Ты наверное имел ввиду на более высоком? На низком уровне уже все зашифровано, там транспорт фактически. Не шифрованный трафик можно снять только у приложения наверху.

Интересно, а при этом HTTPS-трафик ловится для любого браузера? Или только для IE и тех, кто юзает MS'вкую реализацию SSL?

Со скайпом тоже интересно - а как воспроизводить то, что записалось? У Скайпа проприаритарные кодеки (на базе GIPS) плюс ISAC, как быть?

Про терминологию высокий или узкий уровень тут вопрос риторики. Ну в общем на том уровне когда уже ушло от пользователя но пока еще не зашифровано.

От браузеров не зависит в принципе.

По скайпу -- а что воспроизводить? Если про чаты то мы получаем текст и его пишем к себе и индексим. А если про звук то кодеки тоже не причем -- все гораздо ниже -- скайп несмотря на свои кодеки тоже пользуется аппаратурой в частности звуковой картой и микрофоном. А аппаратуре кодеки фиолетовы.

Кейлоггеры что ли ставите людям на машины? ;)

Нет -- кейлогеры это пошло :rolleyes:

Есть технологии если очень низко копать. Сейчас вот по СкайпСниферу идет финальное тестирование и в конце мая уже будут коммерческие поставки (деньги уже пришли). А анонстирвоали мы это 19 марта на нашей презентации в Москве -- оно уже тогда в принципе работало. Сейчас подчищаются мелочи.

так что кому будет интересно следите за нашим сайтом и при желании в конце мая уже можно будет попробовать коммерческую весрию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Про терминологию высокий или узкий уровень тут вопрос риторики

неа, это не вопрос вообще ;) это просто так и все.

скайп несмотря на свои кодеки тоже пользуется аппаратурой в частности звуковой картой и микрофоном.

Все понятно, я про этот путь написал в другом посте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот, о чем я говорил. Теперь у InfoWatch в партнерсве с Aladdin есть проверка HTTPs трафика.

http://www.anti-malware.ru/forum/index.php?showtopic=7642

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
так что кому будет интересно следите за нашим сайтом и при желании в конце мая уже можно будет попробовать коммерческую весрию

Сейчас QIP на основе SIPNET'a предоставляет связь - это вы тоже снифите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Н.Зенин
О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает. Производители говорят о разборе HTTPS-трафика с подменой сертификатов (по сути атака man in the middle). Но все может сводиться на деле к банальной блокировке шифрованного трафика.

Дополню о блокировании и мониторинге HTTPS трафика в названных решениях.

В общем, есть 3 уровня, на которых HTTPS отслеживается (все проверены нами на практике):

1) Подстановкой сертификатов. Для обоих продуктов нужна внешняя открывашка, например: для Websense DSS - Websense Content Gateway, для Symantec DLP - BlueCoat. Этот man in the middle подставляет общающимся сторонам свои сертификаты, читает трафик, передает его на анализ по тем же алгоритмам, что и HTTP. Способен заблокировать, если уходят секреты. Карантина нет.

2) Блокировкой протоколов. Брутально, но HTTPS можно прикрыть как класс для выбранных групп пользователей средствами самой DLP системы (Symantec DLP), либо интегрированными системами (Websense Web Security).

3) На уровне Endpoint агентов DLP системы до того, как созданный трафик был зашифрован, - подобно как это реализовал СофтИнформ

Ну мы это можем делать в версии с агентами

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Дополню о блокировании и мониторинге HTTPS трафика в названных решениях.

Николай, Спасибо. Итак, повторюсь, Symantec DLP работает с HTTPS через подстановку сертификатов на поддерживаемом Proxy сервере. На рабочих станциях Symantec Endpoint DLP агенты также могут работать с HTTPS через встраивание в виде плагинов в основные виды браузеров и разбор информации еще до ее шифрования

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Да сейчас вот такие мошенники и взломщики очень продвинулись, с развитием технологий и различные мошеннические схемы развиваются. Обычные пользователи очень часто становятся жертвами взломов, обычно из-за того что слабо защищают аккаунт, думая, что их это никогда не коснется. Чтобы противостоять взлому необходимо знать определенные секреты защиты аккаунта, мне вот это пригодилось бы год назад, когда меня несколько раз взламывали и я не знал, что делать. Благо друг недавно скинул статью где детально расписано как обезопасить свой аккаунт  , только так смог уже поставить себе толковую защиту, теперь уже спокоен, что никто не взломает и не будет у моих друзей требовать деньги.
    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
×