fenix

Эксперт
Команда форума
Судья
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐⭐⭐
Private Club
Регистрация
26/8/16
Сообщения
9.677
Репутация
53.002
Реакции
52.760
RUB
10.000
Депозит
300 000 рублей
Сделок через гаранта
208
Доброго времени, теневики.

В рамках развития в сферах информации и безопасности в сети, мы регулярно изучаем новые направления и проходим курсы развития.
Самые интересные темы мы будем преобразовывать в статьи, стараясь изложить тему кратко, четко, локанично.
"Пробив образовательный".

Сниффинг («подслушивание»). По большей части информация в сетях передается в открытом не защищенном формате, что дает возможность третьему лицу, получившему доступ к линиям передачи информации в вашей сети, подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют программы сниффер.

Mitm атака, что это такое?

Это любой хост, который стоит на разных сетевых уровнях по середине, тем самым захватывает трафик вашего провайдера.
Mitm атака делится на две части – низкоуровневая (протоколы канального уровня) и высокоуровневая атаки (работа с HTTPS и механизмами защиты от прослушивания.

Механизмы защиты, которые не дают снифирить HTTPS:

  • SSL strip. Вычленяет из HTTP трафика ссылки на HTTPS. Работает, когда есть точка входа HTTP. Таких сайтов очень мало.
  • DNS spoofing + SSL strip. Обход HTTPS (HSTS). Некоторые сайты используют дополнительные заголовки и параметры в своем динамическом коде. В данном случае нужен эксплойт, написанный под конкретный сайт.
  • Подмена сертификатов (Не будет работать с HSTS).

Минусы использования Mitm атак:

  • Визуальное отображение (домен, замочек в адресной строке)
  • Сложность эксплуатации
  • Локальное использование.

Что такое MITMproxy

MITMproxy
– это питоновская (Python) программа, которая:

  • подменяет сертификаты
  • импорт сертификата клиентом дает возможность просматривать трафик в чистом виде
  • может работать за LAN.

У MITMproxy есть свои режимы работы (damp, veb и тд.). Он завязан на анализе клиентских приложений с сетью.

Как работает MITMproxy:

  • Создается набор файлов СА
  • На основе СА генерируются подменные сертификаты
  • Браузер проверяет наличие сертификата в локальном центре сертификации.

Практическое применение MITM

DLP –системы
- технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства для такого предотвращения утечек. DLP –системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы.

Domain – GPO (install cert) – GW (sniff hash).

Реализация в Intercepter – NG (Captive portal)

Wifi - Captive Portal – download/install cert – выход в сеть через GW (sniffer).

Captive portal – сайт авторизации, на который принудительно перенаправляются пользователи, подключившиеся к публичной сети, перед тем как получат доступ в интернет.





С уважением,
 
  • Теги
    dlp –системы dns spoofing mitm атака mitmproxy ssl strip обход https подслушивание сниффинг
  • Сверху Снизу