Análisis de tráfico encriptado

0

¿Si hago un túnel en cualquier tcp traffic ssh o en algún protocolo ssl encriptado, alguien capturará el tráfico capaz de descifrar sin conexión usando el archivo de captura? ¿Qué técnica utilizan para hacer eso?

En mi empresa tuvimos que llamar a un proveedor de la red para analizar el tráfico de nuestra red debido a algunas actividades sospechosas en nuestra red, conectan algún sistema tipo snort ... y no creo que el procedimiento sea válido para encontrar un atacante de mineral inteligente experimentado

    
pregunta Sarastro 16.04.2016 - 05:54
fuente

1 respuesta

2

Respuesta corta: Mayormente probable que no. Su tráfico será encriptado. Sin embargo, es posible leer los datos por otros medios.

Si el sniffer es algún tipo de malware en su máquina o en el extremo receptor, ya que podría ver los datos antes de que se cifre la carga útil o después de su descapsulación.

Si el atacante obtuvo el certificado SSL y está realizando algún tipo de ataque MiTM.

Si la clave de cifrado se obtuvo por otros medios.

Si hay un exploit de día cero que se puede usar contra SSL, TLS para obtener tráfico sensible.

Editar: Además de tu comentario adicional, serías algo correcto. Snort es un IDS / IPS de código abierto y si los datos inspeccionados por el sistema estaban encriptados, snort no podría leer ninguna firma fuera del tráfico. Sin embargo, si hubiera algún tráfico sospechoso / malicioso que pudiera estar emanando de la red y que pudiera estar relacionado con un atacante que obtuviera el snort de datos, probablemente identificaría las firmas de exploits que iban y venían.

    
respondido por el Jeff Meigs 16.04.2016 - 06:06
fuente

Lea otras preguntas en las etiquetas