"Autorizado" Hombre en el medio

4

Estoy implementando una conexión TLS con un servidor y un cliente básicos. Es una conexión unidireccional: el servidor tiene un certificado encadenado a la CA y el cliente tiene una colección de certificados raíz de confianza.

¿Es posible que una herramienta registre la conexión como un hombre en el medio, pero autorizado? Para el servidor esta herramienta parece ser un cliente; para el cliente se vería como el servidor.

¿Es esto posible? ¿Qué certificados necesita esta herramienta?

    
pregunta Yann-Reun 23.04.2015 - 11:02
fuente

3 respuestas

8

Solo necesita agregar el certificado de la herramienta en el almacén de confianza del cliente, para que el cliente confíe en su "herramienta como servidor". Luego, para no tener ningún error, cada vez que el cliente intente abrir una conexión TLS, deberá clonar el certificado real con su CA personalizada:

  • El cliente intenta iniciar la conexión con el servidor, pasa por su proxy

  • El proxy inicia la conexión real con el servidor, recupera el certificado del servidor

  • El proxy crea un nuevo certificado con el mismo CN pero con su CA personalizada

  • El proxy responde al cliente con ese nuevo certificado, el cliente confía en él porque agregó su CA personalizada en el almacén de confianza del cliente

También tenga cuidado con la propagación de posibles errores de certificados a los clientes (no como Lenovo, por ejemplo).

    
respondido por el Dillinur 23.04.2015 - 11:10
fuente
3

¿Echó un vistazo a esta respuesta ? Hay algunas herramientas enumeradas.

Sin embargo, el punto clave para usted es tener un certificado que su cliente acepte . Para responder a su pregunta, en su forma más simple, necesita:

  • Un certificado SSL válido (firmado por las CA que confían en el cliente)
  • Control de la resolución de DNS (pero si controla el entorno, tendrá su herramienta configurada en la puerta de enlace, como se sugiere en los comentarios)

Un posible escenario sería:

  1. Con resolución de DNS:

    1. El cliente busca la IP del servidor
    2. Su DNS lo resuelve en la dirección IP de su herramienta
  2. El cliente se conecta a su herramienta

  3. Su herramienta responde con un certificado firmado para el nombre de host solicitado
  4. ...
  5. Beneficio! Además, MiTM

Una versión ligeramente modificada de esta configuración es instalar en su cliente el certificado de su propia CA, con el que puede firmar el certificado SSL de su herramienta. Dado que habla sobre la eliminación de SSL 'autorizada', asumo que usted tiene el control del entorno del cliente.

    
respondido por el lorenzog 23.04.2015 - 11:21
fuente
0

Zorp Firewall ( enlace ) puede hacer esto. Soporta no solo web / http sino también un par de otros protocolos. También es muy ligero, fácilmente desplegable en un dispositivo OpenWRT.

Sin embargo, los clientes deberán confiar en su CA proxy, pero en un escenario autorizado no debería ser un problema.

    
respondido por el djozsef 24.04.2015 - 17:29
fuente

Lea otras preguntas en las etiquetas