Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Čmuchal 17. 11. 2013, 23:02:42
-
Jaké znáte nejpropracovanější softwárové, nebo i hardwárové řešení pro velmi podrobné monitorvání provozu na síti?
Jde mi i o nějaké špionážní funkce. Například kdysi jsem četl, že je možné nějákým útokem dešifrovat HTTPS komunikaci téměř v reálném čase, tak jestli to například někdo integroval do svého produktu.
-
Mám na mysli něco, co by sloužilo jako router a provádělo nějakou hlubokou analýzu provozu.
-
Viem, ze od spolocnosti CISCO su routre, ktore dokazu monitorovat internet. konkretne ide o technologiu NetFlow.
-
Třeba router TURRIS ;D óóóó jak ho miluji ;D
-
Mrknete na http://www.xplico.org, ale https asi tezko. Pokud potrebujete lepsi, musite se obratit na NSA.
-
ak kontrolujete pocitace v sieti, da sa aj https...SSL proxy spoofujuca certifikaty, cert autorita ktore ich generuje musi byt trusted na jednotlivych pc... ma v ponuke napr Bluecoat ale aj ini...
-
A je to morální? K čemu to má sloužit? To mi už přijde lepší blokace.
-
HTTPS komunikaci jde dešifrovat tak, že proxy generuje certifikáty pro jednotlivé servery za použití certifikační autority, která byla nainstalována jako důvěryhodná na všech počítačích — umí to třeba Squid (http://wiki.squid-cache.org/Features/DynamicSslCert). Funguje to ale jenom pro klasickou proxy (nastavenou ručně nebo přes WPAD), nikoliv transparentní. Ti nejlepší (http://www.root.cz/zpravicky/turktrust-subca-vydala-falesne-certifikaty-k-google-com-android-com-a-dalsim/) používají (nebo alespoň používali) subCA certifikáty od standardních certifikačních autorit, aby se nemuselo na počítače nic instalovat, ale ty certifikační autority se s vámi o vydání subCA certifikátů nejspíš moc bavit nebudou. Real-time prolamování HTTPS funguje jen v NSA^H^H^HCSI Miami :)
Co se týče ostatního (nešifrovaného) provozu, úplně na to stačí tcpdump.
Ale pokud tohle chcete používat na nějaké síti s více osobami, tak si nejprve přečtěte § 182 TZ (http://business.center.cz/business/pravo/zakony/trestni-zakonik/cast2h2d2.aspx#par182).
-
Monitorovanie: SNMP + IDS + NetFlow + aplikacne proxy.
SSL dekryptovanie maju hardverove firewally od strednej triedy vyssie.
-
Sten: https proxy jak popisuješ u Squid, ale transparentní IMHO už zřejmě existuje.
Šla by realizovat v OpenBSD pomocí paket filtru pf a "SSL inspection" módu relayd (od verze 5.4 OpenBSD).
Popis fungování v příslušné sekci manu relayd.conf:
http://www.openbsd.org/cgi-bin/man.cgi?query=relayd.conf&sektion=5&arch=&apropos=0&manpath=OpenBSD+Current (http://www.openbsd.org/cgi-bin/man.cgi?query=relayd.conf&sektion=5&arch=&apropos=0&manpath=OpenBSD+Current)
-
Cmuchalum, co si hraji na NSA, by stejne bylo nejlepsi dat par facek.
-
A je to morální? K čemu to má sloužit? To mi už přijde lepší blokace.
Nejen ze to je nemoralni, ono je to i nezakonne, dokonce je to trestny cin.
-
Chcete tím říci, že je možné se nabourat/odposlechnout např. internetové bankovnictví, které probíhá právě přes https, pokud se dotyčný "dostane do cesty" (já-ve-firemní-síti->internetové bankovnictví přes https)?
-
Pokud uzivatel nekontroluje certifikaty, tak to mozne je. Vyuziva se toho, ze prohlizec "duveruje" nejaky autorite a tudiz nezobrazi zadny varovani. Ale pokud se podivas, tak zjistis, ze podepsany to je uplne necim jinym nez by byt melo.
Ty defakto nedelas nic jinyho, nez ze uzivateli podstrcis "svuj" https web. Priklad, otevres si https://csob.cz => tohle proxina vidi, protoze tim zahajujes komunikaci na port 443 ... odchyti to a posle stejny req ... stahne si tu stranku => normalne ji vidi, a zasifruje ji svym certifikatem (kterymu ty duverujes => zadny varovani) a vrati to jako odpoved tvymu prohlizeci. Pokud se ty spokojis tim, ze https je "zeleny" a nepodivas se na certifikat ... tak nic nezjistis.
-
Pokud je to prostředí firmy, stejně tam mají jejich pc a pokud tam mají jejich pc, řeší to keyloggery. :)
-
Pokud je to prostředí firmy, stejně tam mají jejich pc a pokud tam mají jejich pc, řeší to keyloggery. :)
Přesně tak - pokud můžu na kompl instalovat certifikáty, tak tam můžu nainstalovat patchnutej prohlížeč, kterej mi zazelená adresu jakoukoli a zobrazí údajnej certifikát jakejkoli.
-
Potom kde je možné analyzovať komunikáciu...cez netflow viem, že sa dá odchytať, kto aké stranky otvára...lenže ako je možné robiť analyzu paketov - čiže vidieť vyslednú podobu odchytenej komunikácie...
-
Pokud je to prostředí firmy, stejně tam mají jejich pc a pokud tam mají jejich pc, řeší to keyloggery. :)
Přesně tak - pokud můžu na kompl instalovat certifikáty, tak tam můžu nainstalovat patchnutej prohlížeč, kterej mi zazelená adresu jakoukoli a zobrazí údajnej certifikát jakejkoli.
Je tady rozdíl. Pokud tam nainstaluju certifikáty, pak jim velmi pravděpodobně bude důvěřovat i prohlížeč, který si tam nainstaluje uživatel. Keylogger je sice také řešení, ale ten se dá prakticky využít jen zpětně (jestli vůbec, moc legální to nebude), zatímco proxy může blokovat komunikaci v reálném čase.
-
Potom kde je možné analyzovať komunikáciu...cez netflow viem, že sa dá odchytať, kto aké stranky otvára...lenže ako je možné robiť analyzu paketov - čiže vidieť vyslednú podobu odchytenej komunikácie...
Sonda, network tap, wireshark.
-
Cmuchalum, co si hraji na NSA, by stejne bylo nejlepsi dat par facek.
Ako mam detegovat, ze niekde v sieti mam zombie PC, ktory posiela sifrovane prikazy botnetu?
Ano endpoint security. Ak ta nezaberie? Musim mat k dispozicii viacstupnovu ochranu.
Posledna skusenost: hacknuty web sa pripajal na server v internete na port 80, kde bezal SSH server.
-
Ako mam detegovat, ze niekde v sieti mam zombie PC, ktory posiela sifrovane prikazy botnetu?
Lepsie povedane, PC prijima prikazy od botnetu a naspat s botnetom komunikuje cez HTTPS.
-
Potom kde je možné analyzovať komunikáciu...cez netflow viem, že sa dá odchytať, kto aké stranky otvára...lenže ako je možné robiť analyzu paketov - čiže vidieť vyslednú podobu odchytenej komunikácie...
Udelas si mirror provozu na nejakem portu v segmentu site kde te to zajima a dal to analyzujes. Vetsinou se to jmenuje port mirror/port monitor. Proste to replikuje vsechen provoz jeste na jiny port. Tohle funguje i na jinych sitovych technologiich nez ethernetu. Jestli uz to zpracujes online nebo offline normalnim packet snifferem, pripadne nejakym drahym uberdevicem na analyzu provozu uz je na tobe
Samozrejmne jde pouzit i bastl reseni ze se napichnes pres hub nebo pres pripravek mezi draty ktere te zajimaji.
-
Co se týče ostatního (nešifrovaného) provozu, úplně na to stačí tcpdump.
Ane. Jedna věc je mít na disku terabajt zalogovaných TCP spojení (to je triviální, stačí spustit sniffer), druhá věc je vybrat z toho terabajtu potřebnou informaci. To je podle druhu provozu často zatraceně složité.
-
Ako mam detegovat, ze niekde v sieti mam zombie PC, ktory posiela sifrovane prikazy botnetu?
Ano endpoint security. Ak ta nezaberie? Musim mat k dispozicii viacstupnovu ochranu.
Posledna skusenost: hacknuty web sa pripajal na server v internete na port 80, kde bezal SSH server.
Skoro bych řekl, že tohle detekovat nejde - pokud si dá útočník alespoň trochu záležet. Ta data můžou být třeba ukrytá v obrázcích - pak to vypadá, že si si občas někdo stáhne fotku. Steganografických knihoven se na netu válí plno a automatickou realtime analýzu snadno obejde i ta nejjednodušší.
-
Jde to..konkretne tento pripad vyresis Tim za povolis jest to komunikaci ktera je nutna a of PC co ji musi mit.
I pokud mas PC a pripokuje se na port 80.Staci proxy a je to . Jedine co muze na port 80 je proxy. Proxy kontroluje ze co jde pres in je http atd
Security je komplexni tema a nejde navrhnout 100% spolehlivy system
Ale jde hodne minimalizovat