¿Es posible MITM TLS sin mantener la conexión entre el proxy y el servidor remoto?

Navega tus respuestas
1

Y hablo sobre el escenario en el que explícitamente les dice a los usuarios que MITM está ocurriendo y donde los usuarios deben cumplir (por ejemplo, Kazajstán quería tener un proxy MITM a nivel nacional, para proteger a sus ciudadanos de sitios web extranjeros maliciosos , incluso ir tan lejos como para pedir a Mozilla que incluya su CA .)

Pero no puedo pensar en un escenario en el que no tenga que administrar las conexiones entre el proxy MITM y el servidor remoto. Y eso me parece muy caro hacer a escala nacional.

Por lo tanto mi pregunta:

¿Es posible MITM TLS sin mantener la conexión entre el proxy y el servidor remoto? Cuando el cliente cumpla con su pedido para instalar el certificado de CA raíz.

Supongamos que también necesitamos manejar HSTS, y los usuarios usan navegadores normales.

(Por supuesto, usar puertas traseras en el sistema operativo / navegador será más fácil que secuestrar TLS, pero supongamos que tenemos que seguir la ruta de secuestro).

    
pregunta bitinn 24.01.2017 - 07:54
fuente

2 respuestas

1
  

No puedo pensar en un escenario en el que no tenga que administrar las conexiones entre el proxy MITM y el servidor remoto. Y me parece muy caro hacerlo a escala nacional.

No particularmente. Principalmente, esto se debe a que no lo hace a escala nacional; requiere que los ISP lo hagan por usted, y simplemente los conecta para realizar el procesamiento de datos fuera de línea (a la Room 641A , si está haciendo vigilancia pasiva).

Además, el tráfico no es realmente mucho para una terminación TLS bastante simple. Kazajstán solo tiene aproximadamente 18 millones de personas y 13.2 millones de usuarios de Internet; Stack Overflow tiene aproximadamente la mitad de eso , además de que tienen que ejecutar un sitio web completo para ellos. TLS es bastante barato ahora , y los gobiernos generalmente pueden obtener fondos fácilmente para "seguridad nacional", "defensa contra terroristas" y cosas por el estilo.

    
respondido por el Xiong Chiamiov 24.01.2017 - 08:15
fuente
2
  

¿Es posible MITM TLS sin mantener la conexión entre el proxy y el servidor remoto?

Desde un punto de vista técnico esto es imposible. TLS MITM solo es posible al tener conexiones TLS separadas desde el proxy al cliente y al servidor. Debe mantener el estado de la pila TCP y TLS durante toda la intercepción porque de lo contrario no podría recibir, descifrar, volver a cifrar y enviar los datos del cliente al servidor y viceversa. Pero esto no necesita hacerse en una sola máquina, sino que se puede hacer para escalar en miles de sistemas.

    
respondido por el Steffen Ullrich 24.01.2017 - 08:45
fuente

Lea otras preguntas en las etiquetas

diferencia entre SELF XSS y REFLECTED XSS ¿Es necesaria una contraseña brutal en esta configuración?