Descifrando el tráfico SSL para Security Onion en o antes de la interfaz

Question

Descifrando el tráfico SSL para Security Onion en o antes de la interfaz

#1 de Alain O'Dea (1 votos)

0

Tengo instalado Security Onion y realizo la captura completa de paquetes en mi red doméstica. También tengo un firewall (pfSense) que hace mi enrutamiento. Tengo Security Onion sentado justo detrás de mi firewall y reflejado desde un interruptor. Funciona muy bien, excepto que quiero descifrar mi tráfico SSL. Preferiría mucho que el descifrado se realice sobre la marcha en lugar de descifrarlo manualmente con el rayo de alambre de esa manera Snort lo ve todo también. Instalé squid en el servidor de seguridad para intentar proxy mi tráfico pero no está funcionando bien. Reenvía todo, pero no puedo descifrarlo (ejecute la captura en vivo en el firewall y aún está encriptado). Si puedo hacer que esto funcione, ¿será suficiente (usando la clave privada del firewall para descifrar)? Si es así, ¿cómo haría para configurar esto en Security Onion? Gracias por su ayuda.

encryption tls decryption

pregunta zinzara 01.07.2015 - 02:25

fuente

1 respuesta

Lea otras preguntas en las etiquetas encryption tls decryption

detectando proxy [duplicado] HTTPS y código de error 503 [cerrado]

score 1 · Answer 1

Para configurar el descifrado TLS general, Security Onion deberá tener un certificado de confianza para sus puntos finales. Por lo general, este certificado tiene un CN de * para que pueda firmar cualquier cosa.

Entonces, generarías un par de llaves TLS para el cifrado. Su certificado deberá agregarse a su almacén raíz, ya sea en sus Controladores de Dominio de ActiveDirectory, algún otro almacén central para otros sistemas, o en los puntos finales individuales. Este par de llaves permitirá que Security Onion actúe como un proxy TLS y que los puntos finales aún puedan confiar en él.

El certificado de firewall no está relacionado ya que TLS es un cifrado de extremo a extremo en el que el servidor tiene la clave privada y nadie más. El descifrado TLS subvierte esto al introducir un proxy que puede descifrar, inspeccionar y volver a cifrar el tráfico TLS. Esto solo funciona si los puntos finales confían en el certificado utilizado para volver a cifrar. Es un MitM controlado.

PRECAUCIÓN : esto es muy peligroso si se hace incorrectamente, ya que puede habilitar MitM malicioso si se roba el par de llaves.