Detectar solicitudes SSL de LAN

2

Cuando inicio sesión en Facebook, utilizando Wireshark en la misma máquina, puedo leer los datos de solicitud en texto sin formato.

Eso no sucede cuando estoy olfateando mi LAN: puedo leer los paquetes SSL pero ya están cifrados.

¿La única manera de leer estos paquetes en un entorno LAN es interceptando la solicitud POST antes de que vaya al enrutador? Sólo después de que el paquete será encriptado? ¿O el paquete se cifra justo antes de que la solicitud salga de la máquina del dispositivo cliente?

    
pregunta Sniffer 05.08.2015 - 00:14
fuente

1 respuesta

2

El cifrado SSL / TLS se realiza de extremo a extremo, lo que significa que solo cada extremo puede descifrar correctamente la sesión. El punto es que Wireshark, u otras herramientas de captura / rastreo de redes, no pueden escuchar los datos que contienen.

En una LAN o entorno corporativo, la intercepción de SSL se ve así:

  1. Las estaciones de trabajo cliente intentan ir a https://somesite .
  2. El dispositivo de inspección lo ve, y sobre la marcha reemplaza el certificado https://somesite's con un certificado corporativo.
  3. Cada estación de trabajo en la red confía en el certificado corporativo, por lo que no se muestra ningún error.
  4. El cliente luego cifra la solicitud con el certificado corporativo, lo que permite que el dispositivo interno descifre e inspeccione el tráfico.
  5. Si todo está bien, el dispositivo de inspección volverá a cifrar los datos usando el certificado https://somesite's , y luego los pasará al destino, y responderá a la estación de trabajo.

De esta manera, los puntos finales son realmente https://somesite y el dispositivo de inspección. Otra sesión ocurre entre la estación de trabajo y el dispositivo de inspección que se retransmite esencialmente a su destino final.

Esencialmente, el dispositivo de inspección en este caso está realizando lo que se conoce como un ataque de "intermediario", excepto aparentemente con permiso para hacerlo.

    
respondido por el Herringbone Cat 05.08.2015 - 01:26
fuente

Lea otras preguntas en las etiquetas