Перейти к содержанию
Сергей Ильин

Блокирование и просмотр HTTPS-трафика

Recommended Posts

Сергей Ильин

Хотел бы обсудить возможности предлагаемых на рынке продуктов по блокированию и мониторингу трафика https.

О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает. Производители говорят о разборе HTTPS-трафика с подменой сертификатов (по сути атака man in the middle). Но все может сводиться на деле к банальной блокировке шифрованного трафика.

Дополнительно скажу, что функционал по разбору HTTPS уже тестируется у InfoWatch.

В связи с этим хотелось бы услышать мнения экспертов по реализации блокировки и мониторинга HTTP и вообще нужности такого решения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leo
Хотел бы обсудить возможности предлагаемых на рынке продуктов по блокированию и мониторингу трафика https.

О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает. Производители говорят о разборе HTTPS-трафика с подменой сертификатов (по сути атака man in the middle). Но все может сводиться на деле к банальной блокировке шифрованного трафика.

Дополнительно скажу, что функционал по разбору HTTPS уже тестируется у InfoWatch.

В связи с этим хотелось бы услышать мнения экспертов по реализации блокировки и мониторинга HTTP и вообще нужности такого решения.

Ну мы это можем делать в версии с агентами -- контур информационной безопасности от СофтИнформ. Линка в подписи. Также мы ловим скайп причем и разговоры и чаты. Реально просто мы все перехватываем еще до уровня шифрования. В очень глубокие детали я не лез -- но принцип на самом деле один что для https что для скайпа что еще для чего то -- если ловишь на более низком уровне то шифрование ни на что не влияет :rolleyes:

А вот в том что касается блокирования, то делать это можно в варианте с агентами но не очень желательно. Так как сразу как мы начинаем говорить про блокировку защищенныъх каналов то может что то и нарушится да и человек сразу заметит, а как говорится " кто предупрежден тот вооружен "

Как показывает наша практика с учетом плотного общения с господами в погонах -- гораздо правильней ничего не тормозить а иметь всю информацию и грамотно проводить оперативную работу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
если ловишь на более низком уровне

Ты наверное имел ввиду на более высоком? На низком уровне уже все зашифровано, там транспорт фактически. Не шифрованный трафик можно снять только у приложения наверху.

Интересно, а при этом HTTPS-трафик ловится для любого браузера? Или только для IE и тех, кто юзает MS'вкую реализацию SSL?

Со скайпом тоже интересно - а как воспроизводить то, что записалось? У Скайпа проприаритарные кодеки (на базе GIPS) плюс ISAC, как быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Со стороны атакующих: Применение сетевых протоколов в самой сети и тем более в приложениях - дефективное, и поэтому возможность для атак типа man-in-the-middle, подмены сертификатов, и т.д. всегда будет.

Со стороны пользователя, который не хочет, чтобы мониторили то, что он делает: Боюсь, что это только как-то сработает если создать белый список посещаемых сайтов (= ip-адресов) и не исключено, что и при этом можно обходить эти системы. В Китае, например, где специализируются в обход таких систем фильтрации (необязательно в недобрых целях) люди пользуются либо web-based proxy сайтами, либо Tunneling в обход таких фильтров. Против Websense и Symantec точно работает. Про других у меня пока информации нет.

P.S.: Главное и возможно очень ложное предположение во всём этом: те, которых мы наняли - все добрые, особенно те, которые обслуживают систему защиты.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну мы это можем делать в версии с агентами -- контур информационной безопасности от СофтИнформ. Линка в подписи. Также мы ловим скайп причем и разговоры и чаты. Реально просто мы все перехватываем еще до уровня шифрования.

Кейлоггеры что ли ставите людям на машины? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Кейлоггеры что ли ставите людям на машины

ну со стандратным (MS'ским SSL) все ясно, это можно сделать. А вот что делать если реализация SSL нестандартная?

со скайпом там тоже что-то можно через плагины получить, но в общем случаи записать разговор и потом его воспроизвести не получится (точнее так - если есть лицензия на GIPS плюс отдельно на кодек ISAC, то что-то можно пытаться делать), если только снимать аудио-поток со звуковой карточки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Хотел бы обсудить возможности предлагаемых на рынке продуктов по блокированию и мониторингу трафика https.

Предлагаю ознакомиться со следующими решениями комплексного подхода к защите HTTP или HTTPS-трафика от Secure Computing.

О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает
.

Подробные описания технолигии и компонентов см. по ссылкам.

Secure Web (Webwasher) >>>

Secure Web SmartFilter >>>

Secure Web Protection Service >>>

В наличии и с подробным иллюстрированным описанием:

Secure Web Filter - Веб-фильтр

Secure Web Anti-Malware - Anti-Malware для Интернет

Secure Web Anti-Virus - Антивирус для Интернет

Secure Web SSL Scanner - SSL-Сканер для Интернет

Secure Web Reporter - Веб-Репортер

Secure Web Instant Message and Peer-to-peer security

Secure Web Cache - Кэш для Web 2.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leo
Ты наверное имел ввиду на более высоком? На низком уровне уже все зашифровано, там транспорт фактически. Не шифрованный трафик можно снять только у приложения наверху.

Интересно, а при этом HTTPS-трафик ловится для любого браузера? Или только для IE и тех, кто юзает MS'вкую реализацию SSL?

Со скайпом тоже интересно - а как воспроизводить то, что записалось? У Скайпа проприаритарные кодеки (на базе GIPS) плюс ISAC, как быть?

Про терминологию высокий или узкий уровень тут вопрос риторики. Ну в общем на том уровне когда уже ушло от пользователя но пока еще не зашифровано.

От браузеров не зависит в принципе.

По скайпу -- а что воспроизводить? Если про чаты то мы получаем текст и его пишем к себе и индексим. А если про звук то кодеки тоже не причем -- все гораздо ниже -- скайп несмотря на свои кодеки тоже пользуется аппаратурой в частности звуковой картой и микрофоном. А аппаратуре кодеки фиолетовы.

Кейлоггеры что ли ставите людям на машины? ;)

Нет -- кейлогеры это пошло :rolleyes:

Есть технологии если очень низко копать. Сейчас вот по СкайпСниферу идет финальное тестирование и в конце мая уже будут коммерческие поставки (деньги уже пришли). А анонстирвоали мы это 19 марта на нашей презентации в Москве -- оно уже тогда в принципе работало. Сейчас подчищаются мелочи.

так что кому будет интересно следите за нашим сайтом и при желании в конце мая уже можно будет попробовать коммерческую весрию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Про терминологию высокий или узкий уровень тут вопрос риторики

неа, это не вопрос вообще ;) это просто так и все.

скайп несмотря на свои кодеки тоже пользуется аппаратурой в частности звуковой картой и микрофоном.

Все понятно, я про этот путь написал в другом посте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот, о чем я говорил. Теперь у InfoWatch в партнерсве с Aladdin есть проверка HTTPs трафика.

http://www.anti-malware.ru/forum/index.php?showtopic=7642

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
так что кому будет интересно следите за нашим сайтом и при желании в конце мая уже можно будет попробовать коммерческую весрию

Сейчас QIP на основе SIPNET'a предоставляет связь - это вы тоже снифите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Н.Зенин
О такой фичи заявляет Websense и Symantec. Однако, что именно делается с трафиком https мало кто знает. Производители говорят о разборе HTTPS-трафика с подменой сертификатов (по сути атака man in the middle). Но все может сводиться на деле к банальной блокировке шифрованного трафика.

Дополню о блокировании и мониторинге HTTPS трафика в названных решениях.

В общем, есть 3 уровня, на которых HTTPS отслеживается (все проверены нами на практике):

1) Подстановкой сертификатов. Для обоих продуктов нужна внешняя открывашка, например: для Websense DSS - Websense Content Gateway, для Symantec DLP - BlueCoat. Этот man in the middle подставляет общающимся сторонам свои сертификаты, читает трафик, передает его на анализ по тем же алгоритмам, что и HTTP. Способен заблокировать, если уходят секреты. Карантина нет.

2) Блокировкой протоколов. Брутально, но HTTPS можно прикрыть как класс для выбранных групп пользователей средствами самой DLP системы (Symantec DLP), либо интегрированными системами (Websense Web Security).

3) На уровне Endpoint агентов DLP системы до того, как созданный трафик был зашифрован, - подобно как это реализовал СофтИнформ

Ну мы это можем делать в версии с агентами

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Дополню о блокировании и мониторинге HTTPS трафика в названных решениях.

Николай, Спасибо. Итак, повторюсь, Symantec DLP работает с HTTPS через подстановку сертификатов на поддерживаемом Proxy сервере. На рабочих станциях Symantec Endpoint DLP агенты также могут работать с HTTPS через встраивание в виде плагинов в основные виды браузеров и разбор информации еще до ее шифрования

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×