¿Cómo obtener claves privadas para el descifrado de tráfico?

1

Somos una gran organización con cientos de servidores web en una DMZ. Tenemos dispositivos (algunos de ellos en cada ubicación) donde se descifra todo el tráfico entrante desde fuera de la red (bueno, debería estarlo, pero más sobre esto más adelante) y se envía a un IDS / IPS.

El problema es que ahora mismo estamos en modo TAP, por lo que solo podemos descifrar RSA, aproximadamente el 9% de todo el tráfico. Nos encantaría ir en línea (para descifrar DH también) pero el problema es nuestro certificados privados . Utilizamos una solución de infraestructura de clave pública (PKI) en la nube para firmar nuestras solicitudes de firma de certificado (CSR), pero la clave privada nunca abandona su servidor.

¿Cómo sería un proceso para obtenerlos todos? ¿Debo ir y pedir a cada uno de los propietarios del servidor que me proporcione la clave privada?

    
pregunta adam86 25.10.2017 - 15:13
fuente

1 respuesta

1

DH es punto a punto de intercambio de claves. El mejor método es romper el cifrado y reconstruir un túnel diferente al punto final de la red. Esto causará alta carga. La mayoría de las corporaciones, tan pronto como el paquete ingresa en su red segura, son reenviadas para permitir el análisis sin impacto en el rendimiento.

Creo que la mayoría de los dispositivos no pueden oler ese tipo de tráfico, así que necesitarás romper el túnel. Incluso si tiene la clave privada, el par de claves generado por DH se encuentra entre el origen y el destino, los sistemas intermedios no podrán obtener la clave.

Lo que quiero decir al romper el túnel es que sus dispositivos tengan sus propios certificados y claves privadas del mismo modo que los servidores y que actúen como punto final de la comunicación.

[agregado]

Genere su herramienta csr y solicite certificados para cada sitio que tenga. Si es el propietario de los sitios, no será un problema y podrá leer el tráfico. De la misma manera que si su dispositivo fuera un servidor web. Muchas herramientas no lo permiten. Otros lo permiten, pero lo restringen a una pequeña cantidad de servidores virtuales alojados.

La recopilación de las claves privadas de los servidores web podría no ser suficiente. Tienes que romper el túnel y no escuchar a escondidas.

Para obtener las claves privadas de cada sitio. El certificado del sitio debe ser exportable, debe conocer la contraseña, si existe, y exportarla a un archivo (clave privada), luego en sus ID debe proceder a su importación. Pero eso es probablemente lo que ya ha hecho debido al hecho de que su declaración dice que puede leer el tráfico, solo que no es posible un DH específico ... :) El proceso de exportación de las claves cambia un poco si tiene una ventana o un Linux, fácil de encontrar en Internet.

¿Por qué puede leer TLS_ECDHE_RSA_WITH_AES_256_GCM_S HA384? No están usando Diffie-Hellman Ephemeral (DHE / EDH) o RSA Ephemeral cifrado para intercambiar claves, pero la curva eclíptica. Si detecta los paquetes y ve si el conjunto de cifrado especificado comienza con TLS_DHE o SSL_DHE, no podrá descifrar los datos.

    
respondido por el Hugo 25.10.2017 - 16:15
fuente

Lea otras preguntas en las etiquetas