Proxy de nivel de aplicación en HTML. Capacidades

3

Estoy estudiando para un examen de seguridad de red. Encontré en un examen anterior la siguiente pregunta y no tengo idea de la respuesta:

  

Una empresa está protegiendo su intranet mediante un host de bastión B-homed, que actúa como un proxy de nivel de aplicación.   Proporcione respuestas cortas (2 líneas como máximo) a las siguientes preguntas.

     
  • ¿Puede B permitir archivos HTML entrantes y negar archivos JPG entrantes en conexiones HTTP?
  •   
  • ¿Puede B permitir archivos HTML entrantes y negar archivos JPG entrantes en conexiones HTTPS?
  •   
  • ¿Puede B permitir archivos HTML entrantes y negar archivos JPG entrantes en conexiones HTTP VPN?
  •   

Creo que la respuesta es "no" para las tres preguntas ... pero me gustaría saberlo con seguridad.

    
pregunta StackzOfZtuff 29.12.2015 - 17:56
fuente

2 respuestas

3

Técnicamente, los tres "podrían" ser sí si las conexiones SSL y VPN terminan en B en el proxy de la aplicación.

Sin terminar las conexiones cifradas en B o usar una clave para descifrar las conexiones en el punto B, solo la primera sería verdadera, ya que en el caso 2 y 3 el proxy en teoría no podría ver el tráfico dentro de las sesiones cifradas para poder para diferenciar entre los archivos .jpg y .html.

Un ejemplo real de esto podría ser si usó mod_security en un servidor proxy como B para filtrar archivos .jpg de un servidor web detrás de él.

Dicho esto, creo que la pregunta original que has leído debe tener una mejor aclaración. O debe ser específico sobre los casos de cifrado en todas sus respuestas para compensar la falta de especificidad en la pregunta original.

    
respondido por el Trey Blalock 29.12.2015 - 22:43
fuente
1

1) Un "archivo JPG" puede ser identificado por la extensión en la solicitud HTTP, y eso es trivial para un proxy para bloquear. Pero las extensiones no son muy significativas en la web, por lo que lo que realmente debería estar buscando un proxy es cuando el servidor web devuelve datos con el tipo de contenido "imagen / jpeg", momento en el cual puede optar por tomar medidas alternativas. Pero los encabezados de tipo de contenido tampoco son la última palabra; Los navegadores no se basarán únicamente en los encabezados de tipo de contenido. Una etiqueta img hará que el navegador realice una solicitud al recurso indicado en el atributo src, y hará todo lo posible para mostrar los datos devueltos como una imagen, independientemente del encabezado de tipo de contenido (que puede ser incorrecto debido a una configuración incorrecta o como un acto de malicia). Por lo tanto, un proxy que realmente quisiera bloquear los datos JPEG necesitaría examinar el cuerpo de cada respuesta. Los encabezados de los archivos JPEG son fácilmente identificables, por lo que no sería tan difícil.

2) Si la conexión está cifrada de extremo a extremo, no puede ver ni modificar los datos. No es infrecuente que un firewall corporativo administre activamente las conexiones HTTPS, generando certificados de sitio firmados con un certificado raíz que se ha enviado a todas las estaciones de trabajo. En este caso, es lo mismo que el caso 1.

3) La pregunta me implica que el túnel VPN se termina antes de B. Entonces, lo que B ve es un HTTP sin cifrar, igual que el caso 1.

    
respondido por el bmm6o 31.12.2015 - 02:05
fuente

Lea otras preguntas en las etiquetas