Apache: MITM saldırılarını önlemek için SSL güven zincirini doğrulamak istiyor musunuz?

SSL ortadaki adam saldırılarının, özellikle şirket ortamlarında düşündüğümden çok daha yaygın olduğunu fark ettim. Şeffaf bir SSL proxy sunucusu bulunan birkaç işletmeyi duydum ve gördüm. Tüm istemciler bu proxy sertifikasına güvenecek şekilde yapılandırılmıştır. Bu temel olarak işverenin teorik olarak SSL şifreli trafiği bile tarayıcıda herhangi bir uyarı yapmadan yakalayabileceği anlamına gelir. Yukarıda belirtildiği gibi, müşteriler sertifika güvenilir olarak geliyor. Bu yalnızca kullanılan sertifikayı manuel olarak doğrulayarak açıklanabilir.

Bana göre, işveren, çalışanın SSL trafiğini gözetlemek için üstün konumunu kullanıyor gibi görünüyor. Benim için bu, tüm SSL kavramını güvenilmez kılıyor. Mitmproxy kullanarak benzer bir kurulumu kendim başarılı bir şekilde test ettim ve müşteri ile elektronik bankacılık sunucum arasındaki iletişimi okuyabildim. Bu kimseye açıklanmaması gereken bir bilgidir.

Bu yüzden sorum oldukça basit: Sunucu tarafında güven zincirini nasıl doğrulayabilirim? İstemcinin sunucumun sertifikasını ve yalnızca bir güven zincirini kullandığından emin olmak istiyorum. Acaba bunun Apache'nin SSL yapılandırmasıyla gerçekleştirilip gerçekleştirilemeyeceğini? Bu, birçok uygulamaya kolayca uygulanabileceğinden uygun olacaktır. Bu mümkün değilse, PHP bunu yapmak için bir yol biliyor mu? Veya başka bir öneriniz var mı?

Bu sorunun MITM konusunun birçok soruda tartışıldığı security.stackexchange.com için daha uygun olacağını düşünüyorum . Her neyse:

Sunucu sertifikasının doğrulanması yalnızca istemcide yapılır ve istemcide sertifikayı doğrulama noktası, istemcinin doğru sunucuyla konuştuğundan ve güvenemediğinden emin olması gerektiği için bir şekilde sunucuya taşınamaz. (güvenilmeyen) sunucuyu istemci için bu kararı verir.

SSL müdahalesi durumunda, sunucu açısından TLS istemcisi SSL yakalama güvenlik duvarı / AV'dir. Bu nedenle, sunucu tarafındaki sorun, beklenen istemciyle (tarayıcı) konuşup konuşmadığını (güvenlik duvarı / AV) tespit etmektir. Bunu yapmanın en güvenli yolu istemcinin kimliğini doğrulamak için istemci sertifikalarını kullanmaktır - ve aslında istemci kimlik doğrulaması kullanılırsa SSL müdahalesi çalışmaz, yani MITM beklenen istemci sertifikasını sağlayamadığından TLS el sıkışması başarısız olur.

Yalnızca istemci sertifikaları nadiren kullanılır. Ayrıca, başarısız bir TLS anlaşması, istemcinin sunucuya SSL müdahalesi olmadan iletişim kurabileceği anlamına gelmez, ancak istemci sunucuyla hiç iletişim kuramaz. Alternatif bir yol, TLS el sıkışmasının parmak izine dayalı olarak TLS istemcisinin türünü tespit etmek için bazı sezgisel tarama kullanmak, yani şifrelerin türü ve sırası, belirli uzantıların kullanılması ... Bir SSL önleme proxy'si teoride orijinali taklit edebilirken Merhaba çoğu mükemmel değil. Ayrıca bkz Algılama man-in-the-middle HTTPS sunucu tarafında veya bölüm III TLS Uygulama Sezgiseller içinde HTTPS Kesişme Güvenlik Impact .

Bana göre, işveren, çalışanın SSL trafiğini gözetlemek için üstün konumunu kullanıyor gibi görünüyor. Benim için bu, tüm SSL kavramını güvenilmez kılıyor

Sorun SSL kavramında veya teknik uygulamada değil, başka birinin bağlantının bir uç noktası, yani iş istasyonunuz üzerinde tam kontrole sahip olması.
Gerçek güvenlik riskinin kökü budur ...

Güvenlik açısından, normal şartlarda bir MITM'nin başarılı olmasını engelleyen güven zincirini bozan iş istasyonunuz tehlikeye girer.

Sunucu tarafında güven zincirini nasıl doğrulayabilirim?

Yapamazsın. Bu müşteri tarafında yapılır.

Kullanım durumunuza bağlı olarak, gerçek SSL sertifikalarınızı veya kullandığınız CA'ları içeren bir listeyle (karma) istemciye ek bir başlık gönderdiğiniz RFC 7469 HTTP Genel Anahtar Sabitleme'dir .

Yanlış yol bu. Sunucu güven zincirini kontrol etmez. Müşteri. Bu nedenle şirketin bu şekilde kullanılmasının nedeni, şirketin env güvenliğini sağlamak ve çalışanın çalışma zamanında ne yaptığını kontrol etmektir.

Siz (bir çeşit) OLABİLİRSİNİZ , ama asıl soru, YOK ETMEK .

Ancak, apache.conf'daki bir bayrağı değiştirmek kadar basit değildir.

Ayrıca, "saldırgan" olarak (örn. İşveren) onlar olabilir, istemci bilgisayarı kontrol eden hep senin girişimleri folyo yeterli çaba harcamaya meyilli olup olmadığını çok büyük balık olmadıkça, iyi tarafından (bunlar büyük olasılıkla değildir böylece kullanıcılarınızın güvenli olmadıkça size bağlanamayacağı hedefinize ulaşırsınız))

• Eğer olabilir javascript TLS reimplement ve istemci bağlandığında sertifikası web sitenizin belgesi varsa sizin kontrol yok.

• Eğer şanslıysanız , kullanıcı istemci tarafı Javascript'in kullanılan uzak sertifika hakkında bilgi alabileceği tarayıcı kullanıyor olabilir (ve böylece sunucunuzun sertifikasının sabit kodlanmış değeriyle kolayca doğrulayabilir).

• özel şifrelemenizi çalıştırmak için JavaScript kullanabilirsiniz . Dolayısıyla, şirketin kötü TLS MiTM başarılı olsa bile, yine de verilerinize erişmesine izin vermez. Tabii ki, yeterince ilgiliyse (ve müşteriyi kontrol ettikleri için), anında güvenli javascript'inizi, transit olan tüm bilgileri kaydeden (veya değiştiren) kendi ile değiştirebilirler.

Ayrıca, TLS MiTM proxy'leri kullanan işletmeler de genellikle istemci bilgisayarı tamamen kontrol ettiğinden, kullanıcının gördüğü her şeyin videosunu kaydetmek ve kullanıcının yazdığı tüm tuş vuruşlarını (ve fare hareketlerini) kaydetmek için ekran ve keylogger'ı kolayca kurabilirler. Gördüğünüz gibi saldırgan zaman, IS müşteri, onu kandırmak için hiçbir kesinlikle güvenli bir yolu yoktur. Gerçekten ne kadar rahatsız edecekleri sorusu ... Ve yukarıdaki çözümlerden bazıları sizin için yeterince iyi olabilir.