Руководство администратора: Настройка перехвата SSL

Руководство администратора: Настройка перехвата SSL Сертификаты

360 total security

Для настройки антивируса:

  1. Откройте антивирус и нажмите «Защита вкл.» → «Настройка».
    Руководство администратора: Настройка перехвата SSL
  2. Нажмите на ссылку «Отключить защиту» и нажмите «ОК».
    Руководство администратора: Настройка перехвата SSL

Beast

Одна из самых первых атак на SSL и TLS 1.0, обнаруженная в 2021 году. Как и POODLE, BEAST

особенности CBC-шифрования. Злоумышленники внедряют на клиентскую машину JavaScript-агент или Java-апплет, который подменяет сообщения при трансляции данных по TLS или SSL. Так как злоумышленникам известно содержание «подставных» пакетов, они могут с их помощью расшифровать вектор инициализации и прочитать остальные сообщения к серверу, например cookie-файлы для аутентификации.

На сегодняшний день уязвимости BEAST по-прежнему подвержен ряд сетевых инструментов: прокси-серверы и приложения для защиты локальных интернет-шлюзов.

Как защититься. Атакующему необходимо регулярно посылать запросы, чтобы расшифровывать данные. В VMware рекомендуют сократить длительность SSLSessionCacheTimeout — с пяти минут (рекомендация по умолчанию) до 30 секунд. Такой подход усложнит реализацию планов злоумышленникам, хотя и окажет некоторый негативный эффект на производительность.

Помимо этого нужно понимать, что в скором времени уязвимость BEAST может уйти в прошлое сама по себе — с 2020 года крупнейшие браузеры прекращают поддержку TLS 1.0 и 1.1. В любом случае с этими протоколами работает менее 1,5% всех пользователей браузеров.

Drown

, хакер может расшифровать одну из примерно тысячи TLS-сессий клиента.

О DROWN впервые стало известно в 2021 году — тогда ей оказалась подвержена треть серверов в мире. На сегодняшний день она не утратила актуальности. Из 150 тысяч самых популярных сайтов 2% до сих пор поддерживают SSLv2 и уязвимые механизмы шифрования.

Как защититься. Необходимо установить патчи, предложенные разработчиками криптографических библиотек, отключающие поддержку SSLv2. Например, две такие заплатки представили для OpenSSL (в 2021 году это были обновления 1.0.1s и 1.0.2g).

Heartbleed

Одна из самых крупных уязвимостей в софте —

. Её обнаружили в 2021 году в библиотеке OpenSSL. На момент объявления об ошибке количество уязвимых веб-сайтов

— это примерно 17% защищенных ресурсов в сети.

Атака реализуется через небольшой модуль Heartbeat расширения TLS. TLS-протокол требует, чтобы данные передавались непрерывно. В случае длительного простоя происходит разрыв и приходится заново устанавливать соединение. Чтобы справиться с проблемой, серверы и клиенты искусственно «зашумляют» канал (RFC 6520, стр.5), передавая пакет случайной длины.

Уязвимость присутствовала во всех версиях библиотеки между 1.0.1 и 1.0.1f включительно, а также в ряде ОС — Ubuntu до 12.04.4, CentOS старше 6.5, OpenBSD 5.3 и других. Полный список есть на сайте, посвященном Heartbleed. Хотя патчи против этой уязвимости были выпущены практически сразу после её обнаружения, проблема остается актуальной до сих пор. Еще в 2021 году работало почти 200 тыс. сайтов, подверженных Heartbleed.

Как защититься. Нужно обновить OpenSSL до версии 1.0.1g или выше. Можно также отключить Heartbeat-запросы вручную с помощью опции DOPENSSL_NO_HEARTBEATS. После обновления специалисты по ИБ рекомендуют перевыпустить SSL-сертификаты. Замена нужна на случай, если данные о ключах шифрования все же попали к хакерам.

Mitm-атака в законе?

Власти Республики Казахстан внесли изменения в закон «О связи» и с 1 января 2021 года обязали операторов связи и интернет-провайдеров прослушивать весь зашифрованный TLS-трафик, подменяя сертификаты сайтов национальным сертификатом безопасности, выпущенным комитетом связи. MITM-атака на законных основаниях!

Российские министерства совместно с ФСБ также рассматривают необходимость перехвата трафика с помощью подмены сертификата, выпущенного российским удостоверяющим центром.

Mitm-атака для блокировки url

Смысл атаки Man In The Middle (MITM) заключается в использовании специального прокси-сервера между оригинальным сайтом и пользователем. Этот прокси-сервер перехватывает запрос доступа к ресурсу и сам отвечает поддельным сертификатом вместо запрашиваемого. Параллельно он устанавливает свою сессию с требуемым сайтом и начинает через себя передавать трафик.

Трафик может быть расшифрован прокси-сервером, так как пользователь соглашается на такую защищенную сессию. Вот только поддельный сертификат не является верным с точки зрения браузера, который запрашивает подтверждения для данного ресурса в центре сертификации, браузер будет «ругаться» на подделку, а некоторые сайты (с certificate pinning) не откроются вообще. Также возникнут проблемы у пользователей мобильных устройств.

man in the middle
Схема MITM-атаки

Зачем это оператору связи? Перехватив и расшифровав трафик пользователя, оператор связи получает информацию о запрашиваемых ресурсах, конкретный URL, а не весь хост целиком и может точечно осуществлять блокировку.

Poodle

Впервые об атаке

стало известно в 2021 году. Уязвимость в протоколе SSL 3.0 обнаружил специалист по ИБ Бодо Мёллер (Bodo Möller) с коллегами из Google.

Ее суть заключается в следующем: хакер вынуждает клиента выполнить подключение по SSL 3.0, эмулируя разрывы связи. Затем он ищет в зашифрованном в CBC-режиме трафике специальные сообщения-метки. С помощью серии подставных запросов злоумышленник получает возможность реконструировать содержимое интересующих его данных, например cookies.

SSL 3.0 — устаревший протокол. Но вопрос его безопасности все еще актуален. Клиенты используют его, чтобы избежать проблем совместимости с серверами. По некоторым данным, почти 7% из 100 тыс. самых популярных сайтов все еще поддерживают SSL 3.0.

Про сертификаты:  Стрельба в огнестрельном тире - купить сертификат по цене от 3 500 р в СПБ

Также существуют модификации POODLE, целью которых являются более современные TLS 1.0 и TLS 1.1. В этом году появились новые атаки Zombie POODLE и GOLDENDOODLE, которые обходят защиту TLS 1.2 (они по-прежнему связаны с CBC-шифрованием).

Как защититься. В случае с оригинальным POODLE нужно отключить поддержку SSL 3.0. Однако в этом случае есть риск получить проблемы с совместимостью. Альтернативным решением может стать механизм TLS_FALLBACK_SCSV — он гарантирует, что обмен данными по SSL 3.

0 будет проводиться только со старыми системами. Злоумышленники больше не смогут инициировать понижение версии протокола. Способ защиты от Zombie POODLE и GOLDENDOODLE — отключение поддержки CBC в приложениях на базе TLS 1.2. Кардинальным решением станет переход на TLS 1.3 — в новой версии протокола не используется CBC-шифрование.

Антивирус kaspersky internet security

В зависимости от версии Касперского некоторые элементы интерфейса могут отличаться. Для настройки антивируса:

Выбор режима подмены ssl-сертификата

В окне настроек выберите приемлемый режим перехвата:

  • Для автоматической генерации агентом корневого SSL-сертификата при установке на компьютер пользователя, выберите опцию Автоматический режим. Созданный корневой сертификат будет помещен в базу доверенных создателей сертификатов и автоматически использоваться агентом для последующей выдачи дочерних сертификатов, подписанных по умолчанию именем издателя Falcongaze SecureTower.

Для смены имени издателя сертификата, которое будет указано в сведениях о безопасности соединения, задайте нужное имя в поле Имя в SSL- сертификате.

  • Для использования пользовательского SSL-сертификата в качестве корневого при перехвате шифрованного трафика, выберите опцию Пользовательский режим. Пользовательский сертификат должен быть предварительно сгенерирован и добавлен в базу системы. Для указания сертификата из базы системы выберите его имя в раскрывающемся списке Пользовательский сертификат либо нажмите кнопку Пользовательские сертификаты для добавления файлов сертификата и закрытого ключа в базу системы.

В открывшемся окне нажмите кнопку Добавить сертификат и укажите файлы сертификата и ключа одним из предложенных ниже способов:

  1. Укажите путь к существующим файлам сертификата и закрытого ключа в полях окна Добавление пользовательских сертификатов, используя кнопку Руководство администратора: Настройка перехвата SSL.
  1. Для генерации нового сертификата нажмите кнопку Сгенерировать сертификат. Введите в открывшемся окне имя нового сертификата, время его действия и укажите пути, по которым будут храниться вновь созданные  файлы сертификата(*.cer) и закрытого ключа(*.pvk). Нажмите кнопку Сгенерировать.
  1. Если требуется добавить сертификат, ранее сгенерированный в формате PFX, нажмите кнопку Конвертировать из сертификата в формате PFX. Укажите путь и пароль к файлу сертификата в формате PFX, а также путь к файлам сертификата(*.cer) и закрытого ключа(*.pvk), в которые требуется конвертировать исходный файл. Нажмите кнопку Конвертировать для завершения конвертации.

Исключение серверов из перехвата шифрованного трафика

Для работы с исключениями из процесса подмены сертификатов, нажмите кнопку Исключения SSL – серверов.

В окне менеджера исключений отображен перечень серверов (хостов), исключенных из процесса подмены по умолчанию. Для добавления нового исключения нажмите кнопку Добавить исключение.

Обходим проверку сертификата ssl

Руководство администратора: Настройка перехвата SSL

В этом кратком обзоре я хотел бы поделиться своим опытом, как отключить проверку SSL для тестовых сайтов, иначе говоря, как сделать HTTPS сайты доступными для тестирования на локальных машинах.

В современное время https протокол становится все популярней, у него масса плюсов и достоинств, что хорошо. Правда для разработчиков он может вызывать легкий дискомфорт в процессе тестирования.

Всем известно, что при посещении сайта у которого “временно” что-то случилось c сертификатом вы обнаружите предупреждение, которое показывается, если сертификат безопасности не является доверенным net::ERR_CERT_AUTHORITY_INVALID?

Привет онлайн-кинотеатрам

Все современные браузеры показывают сообщение об ошибке HSTS

Самый простой способ обхода данного запрета — это, разумеется, нажатие на вкладку “Дополнительные” и согласиться с Небезопасным режимом.

Руководство администратора: Настройка перехвата SSL

Но не во всех браузерах как оказывается, есть данная возможность. Так я столкнулся с данной проблемой в Chrome на Mac OS

Разработчики данной операционной системы настолько обеспокоены безопасностью пользователей, что даже убрали доступ в «Небезопасном режиме» к сайту, несмотря на то, что это сайт владельца устройства.

Ну что ж, поскольку, вести разработку в других, более сговорчивых браузерах было не комфортно, вот способы как обойти эту проблему:

— Все хромоподобные браузеры (Chrome, Opera, Edge …) могут открыть небезопасную веб страницу, если на английской раскладке клавиатуры набрать фразу:

thisisunsafe

прямо на данной веб странице. Это даст возможность работать с сайтом без оповещение об ошибке на момент текущей сессии браузера, пока вы не закроете вкладку Chrome.

— Если же вам предстоит более длительная работа с сайтом, то рекомендую для этих нужд создать отдельного тестового пользователя на рабочем столе и указать ему необходимы флаги.

Для Windows

C:Program Files (x86)GoogleChromeApplicationchrome.exe" --ignore-certificate-errors

Руководство администратора: Настройка перехвата SSL

Для Mac OS

/Applications/Google Chrome.app/Contents/MacOS/Google Chrome --ignore-certificate-errors --ignore-urlfetcher-cert-requests &> /dev/null

Achtung! Данные манипуляции необходимо выполнять с выключенным Chrome приложением, иначе чуда не произойдет.

Если вы оставите сертификат ненадежным, то некоторые вещи не будут работать. Например, кэширование полностью игнорируется для ненадежных сертификатов.

Браузер напомнит, что вы находитесь в небезопасном режиме. Поэтому крайне не рекомендуется шастать по злачным сайтам Интернета с такими правами доступами.

Руководство администратора: Настройка перехвата SSL

*Так же есть метод с добавлением сертификатов тестируемого сайта в конфиги браузера Настройки->Безопасность->Настроить сертификаты->Импорт… но мне он показался не продуктивным и очень муторным, поэтому не привожу

Про сертификаты:  Информация Пенсионного фонда России от 2 марта 2020 г. “Материнский капитал будет оформляться семьям проактивно”

Надеюсь моя краткая статья кому-то пригодится при разработке и тестировании сайтов =)

Подмена ssl сертификата провайдером

Источник:

http://habrahabr.ru/sandbox/88671/

Сегодня я столкнулся с довольно интересным способом «ограждения пользователей от нежелательной информации», а именно — подменой SSL сертификата.

Начну с того, что ко мне обратился мой хороший товарищ, играющий в интернет-покер. Его провайдер заблокировал один из суб-доменов покер-рума, отвечающий за ставки на спортивные события. Проверив у себя, с удивлением обнаружил, что у меня этот суб-домен открывается (начал уважать своего провайдера чуточку больше). Решил не оставаться в стороне от беды у хорошего человека.

На моем домашнем сервере поднят VPN PPTP сервер, которым я пользуюсь для доступа к общим ресурсам домашней сети, когда нахожусь на работе или где-то еще. Недолго раздумывая и взяв с товарища слово, что мой IP не будет им использоваться где-то еще, кроме этого покер-рума (кому охота потом сидеть за экстремизм или что-то еще противозаконное?) я создал для него отдельную учетную запись, выдал пароль, дал инструкции для подключения и со спокойной душой отправился по своим делам. Спустя 5 минут сообщение от товарища — «не помог этот ваш VPN».

Хочу отметить сразу, сама по себе информационная безопасность для меня в плане DNS атак и подмены SSL — лес темный, делал я все по наитию, но, прочитав пару нагуглившихся статей выяснил, что многие люди считают такие действия со стороны провайдера по крайней мере неэтичными.

Первым делом захотелось глянуть, что же за страницы получает мой товарищ при заходе на заблокированный сайт без VPN доступа. Тут начинается самое интересное, на мой взгляд:
podmena_ssl_sertifikata_provajderov.png

При наличии подключения картинка не изменилась: сайт покер-рума отдавал сертификат провайдера моего товарища. Nslookup отдавал IP адрес заглушки. После прописывания VPN-сервера в качестве DNS-сервера в подключении ситуация изменилась — сертификат начал отдаваться правильно, но доступ все равно оставался закрыт.
-_352.png
Как вы могли заметить, https из строки адреса был убран специально — проверить, как блокируется сайт при использовании VPN.

Был сброшен кэш DNS Windows и по https ситуация улучшилась — сайт начал работать. Однако доступ без https по прежнему выдает заглушку. Скорее всего, проблема где-то на ПК товарища, но в этом я не уверен, в любом случае — ему было достаточно https и на данный момент его все устраивает.

Ну, а этичность в плане подмены сертификата — остается вопросом открытым который, скорее всего, провайдером будет проигнорирован.

§

Источник:

http://habrahabr.ru/sandbox/88671/

Сегодня я столкнулся с довольно интересным способом «ограждения пользователей от нежелательной информации», а именно — подменой SSL сертификата.

Начну с того, что ко мне обратился мой хороший товарищ, играющий в интернет-покер. Его провайдер заблокировал один из суб-доменов покер-рума, отвечающий за ставки на спортивные события. Проверив у себя, с удивлением обнаружил, что у меня этот суб-домен открывается (начал уважать своего провайдера чуточку больше). Решил не оставаться в стороне от беды у хорошего человека.

На моем домашнем сервере поднят VPN PPTP сервер, которым я пользуюсь для доступа к общим ресурсам домашней сети, когда нахожусь на работе или где-то еще. Недолго раздумывая и взяв с товарища слово, что мой IP не будет им использоваться где-то еще, кроме этого покер-рума (кому охота потом сидеть за экстремизм или что-то еще противозаконное?) я создал для него отдельную учетную запись, выдал пароль, дал инструкции для подключения и со спокойной душой отправился по своим делам. Спустя 5 минут сообщение от товарища — «не помог этот ваш VPN».

Хочу отметить сразу, сама по себе информационная безопасность для меня в плане DNS атак и подмены SSL — лес темный, делал я все по наитию, но, прочитав пару нагуглившихся статей выяснил, что многие люди считают такие действия со стороны провайдера по крайней мере неэтичными.

Первым делом захотелось глянуть, что же за страницы получает мой товарищ при заходе на заблокированный сайт без VPN доступа. Тут начинается самое интересное, на мой взгляд:
podmena_ssl_sertifikata_provajderov.png

При наличии подключения картинка не изменилась: сайт покер-рума отдавал сертификат провайдера моего товарища. Nslookup отдавал IP адрес заглушки. После прописывания VPN-сервера в качестве DNS-сервера в подключении ситуация изменилась — сертификат начал отдаваться правильно, но доступ все равно оставался закрыт.
-_352.png
Как вы могли заметить, https из строки адреса был убран специально — проверить, как блокируется сайт при использовании VPN.

Был сброшен кэш DNS Windows и по https ситуация улучшилась — сайт начал работать. Однако доступ без https по прежнему выдает заглушку. Скорее всего, проблема где-то на ПК товарища, но в этом я не уверен, в любом случае — ему было достаточно https и на данный момент его все устраивает.

Ну, а этичность в плане подмены сертификата — остается вопросом открытым который, скорее всего, провайдером будет проигнорирован.

Подмена сертификата

Между пользователем и сервером устанавливается управляемый узел с легитимным SSL-сертификатом, активно перехватывающий трафик. Этот узел выдаёт себя за легитимный сервер, предъявляя валидный сертификат, и появляется возможность провести MITM-атаку.

Согласно исследованию команд из Mozilla, Google и ряда университетов, примерно 11% защищенных соединений в сети «прослушиваются». Это — результат установки подозрительных корневых сертификатов на компьютерах пользователей.

Про сертификаты:  Огнезащитное покрытие конструктивного типа по металлу купить по выгодным по ценам в Москве

Как защититься. Пользоваться услугами надежных SSL-провайдеров. Проверить «качество» сертификатов можно с помощью сервиса Certificate Transparency (CT). Помочь с обнаружением «прослушки» могут и облачные провайдеры — уже сегодня некоторые крупные компании предлагают специализированные инструменты для мониторинга подключений по TLS.

Другим способом защиты станет новый стандарт ACME, который автоматизирует получение SSL-сертификатов. При этом он добавит дополнительные механизмы для проверки собственника сайта. Подробнее о нем мы писали в одном из наших предыдущих материалов.

Руководство администратора: Настройка перехвата SSL
/ Flickr / Yuri Samoilov / CC BY

Подмена сертификата шифрования и настройка антивирусов

Для корректной работы в продуктах Контура проверьте, происходит ли подмена сертификата шифрования и настройте антивирусы.

Подмена сертификата шифрования, firewall, agents, антивирусы, системы безопасности.

Подмена сертификата шифрования

Подмена сертификата шифрования. настройка антивирусов для работы с продуктами скб контур.

Чтобы убедиться в отсутствии перешифровки https-трафика антивирусными программами или proxy, воспользуйтесь одним из способов ниже:

  1. Зайдите на портал диагностики, в раздел «Проверка связи» (https://help.kontur.ru/check). Если в одной из строчек не стоит галочка, а значение в столбике «Сертификат» подсвечено красным, то происходит подмена сертификата. Название программы, подменяющей сертификат, указано в графе «Издатель».

2. Зайдите на сайт https://auth.kontur.ru, нажмите левой кнопкой мыши по значку «замкА» (возле адресной строки) либо правой кнопкой мыши на странице > Свойства > Сертификаты и проверьте, какой сертификат сервера предлагается. Сертификат должен быть таким:

Если сертификат другой, значит происходит перешифровка https-трафика. Название программы, подменяющей сертификат, указано в строке «Кем выдан».   

Определите, какой программой выдан сертификат и настройте её таким образом, чтобы она не вмешивалась в работу наших сервисов. Инструкции по настройке программ, которые могут влиять на подмену сертификата, представлены ниже.

Отключите активную защиту для https-сайтов. Для этого кликните правой кнопкой мыши по значку Avast, который находится в области уведомлений, и выберите пункт «Открыть интерфейс пользователя Avast».

Перейдите в пункт «Настройки».

Выберите раздел Активная защита (или Компоненты) > Веб-экран > Настройки.

Снимите галочки со следующих пунктов и нажмите «ОК».

Отключите фильтрацию https-протоколов в ESET Smart Security. Для этого откройте ESET > Настройка > Дополнительные настройки (или Перейти к расширенным параметрам).

Перейдите в раздел Интернет и электронная почта > Защита доступа в интернет > Веб-протоколы > Настройка модуля > снимите галочку с пункта «Включить проверку протокола HTTPS».

В зависимости от версии Касперского некоторые элементы интерфейса могут отличаться.

  1. Отключите фильтрацию https-протоколов, для этого снимите галочку о проверке протоколов https/защищенных соединений. Инструкция по настройке доступна по ссылке.

2. Отключите надстройки Kaspersky Internet Security. Для этого в Internet Explorer выберите вкладку Сервис > Настроить надстройки.

В разделе «Отображать» выберите пункт «Все надстройки». Найдите в списке надстройки Kaspersky Protection и Kaspersky Protection Toolbar, щелкните по строке правой кнопкой мыши и выберите пункт «Отключить».

3. Отключите внедрение скриптов Касперского и проверку защищенных соединений. Для этого откройте Kaspersky Internet Security > Настройки > Дополнительно > Сеть > Внедрять в трафик скрипт для взаимодействия с веб-страницами.

4. Откройте Kaspersky Internet Security > Настройки > Защита > Веб-Антивирус (или Веб-Защита).

Откройте Расширенные настройки и отключите «Автоматически активировать расширение Kaspersky Protection в браузерах».

5. Отключите проверку HTTPS-соединений. Для этого Откройте Kaspersky Internet Security > Настройки > Дополнительно > Сеть. В блоке «Проверка защищенных соединений» отключите опцию «Проверять защищенные соединения».

Отключите проверку HTTPS-соединений. Для этого откройте Dr.Web > Настройка > Основные > Сеть > Безопасные соединения. Установите переключатель «Проверять зашифрованный трафик» в положение «Откл.».

Отключите проверку HTTPS-соединений. Если в вашем браузере установлено дополнение AdGuard, для него ничего отключать не нужно. Если оно не установлено, то откройте программу «AdGuard» > Настройки > Общие настройки > уберите галочку с пункта «Фильтровать HTTPS протокол».

Привязка ssl-сертификата к серверу

Для определения соответствия “сервер-сертификат” нажмите кнопку Привязки сертификатов и следуйте рекомендациям, приведенным далее:

  • Для привязки к определенному серверу корневого сертификата на вкладке Корневые сертификаты, нажмите кнопку Добавить сертификат для сайта. Введите имя хоста (доменное имя), на которое будут выданы дочерние сертификаты и к которому будет привязан корневой сертификат, в поле Имя хоста (IP-адрес). Выберите один из предустановленных корневых сертификатов в раскрывающемся списке поля Корневой сертификат либо нажмите кнопку Пользовательские сертификаты для добавления и указания файлов сертификата и закрытого ключа на компьютере пользователя.
  • Для привязки к определенному серверу уже имеющегося сертификата, выберите вкладку Пользовательские сертификаты. Агент не будет генерировать для указанных в данной вкладке серверов новые дочерние сертификаты, а будет использовать для процедур подмены сертификаты, заданные пользователем. В открывшемся окне в поле Имя хоста (IP-адрес) введите имя хоста (доменное имя), к которому будет привязан сертификат. Выберите один из сертификатов в раскрывающемся списке поля Сертификат: (если сертификаты уже добавлялись ранее) либо нажмите кнопку Пользовательские сертификаты для выбора пользовательских сертификатов из списка либо добавления и указания файлов сертификата и закрытого ключа на компьютере пользователя.

Антивирус kaspersky endpoint security 11

Для настройки антивируса зайдите в меню «Настройки» → «Общие параметры» → «Параметры сети» и снимите флажок «Проверять защищенные соединения».
Руководство администратора: Настройка перехвата SSL

Оцените статью
Мой сертификат
Добавить комментарий