• XSS.stack #1 – первый литературный журнал от юзеров форума

Работа NGFW , в качестве AppSec

Отслеживать
b1t

b1t

(L2) cache
Пользователь
Регистрация
16.06.2006
Сообщения
326
Реакции
5
Наверно уже все знакомы с NGFW решениями от разных брендов. Суть у всех одна и таже - многоуровневая / проверка разными средствами трафик. Ну как бы да, все вроде ОК.
Но есть один нюанс, который я не могу понять. Так вот, есть модуль/блейд/функция (у каждого производителя по своему называется) App security, который инспектирует трафик, определяет что за приложение.
Для примера: можно определить, что это VK сайт, и там можно разрешать/запрещать аудио/видео, а чат - пожалуйста. Ну или на оборот.
Так же , может определить, что это приложение скайп. Скайп работает через (HTTPS)443 порт! Также много чего работают через 443 порт. Однако NGFW их разбирает, по сигнатурам трафика. Логично все вроде.. Но как он то делает, если трафик шифрован? Не ужели только по destination IP адресам "понимает" что это за программа?
И все это делает без SSL инкапсуляции, то есть без подмены сертификата.
 
b1t так в x.509 все это и написано. Веб-сайты - это понятно. Ты еще спроси как детектят openvpn и wireguard траф и режут его, там же пошифровано все. По ip адресу можно очень много чего определить, вплоть до годового оборта корпа, я об этом еще давно писал
 
marmalade сказал(а):
b1t так в x.509 все это и написано. Веб-сайты - это понятно. Ты еще спроси как детектят openvpn и wireguard траф и режут его, там же пошифровано все. По ip адресу можно очень много чего определить, вплоть до годового оборта корпа, я об этом еще давно писал
Где и когда написал, лучше ссылку дал бы почитать ))

Да и причем тут x.509 ?
Я правильно понял, речь про сертификат?
Из вики вот состав сертификата:
  • Сертификат
    • Версия
    • Серийный номер
    • Идентификатор алгоритма подписи
    • Имя издателя
    • Период действия:
      • Не ранее
      • Не позднее
    • Имя субъекта
    • Информация об открытом ключе субъекта:
      • Алгоритм открытого ключа
      • Открытый ключ субъекта
    • Уникальный идентификатор издателя (обязательно только для v2 и v3)
    • Уникальный идентификатор субъекта (обязательно только для v2 и v3)
    • Дополнения (для v2 и v3)
      • Возможные дополнительные детали
  • Алгоритм подписи сертификата (обязательно только для v3)
  • Подпись сертификата[5] (обязательно для всех версий)
 
Чудес тут нет - или подмена сертификата (deep SSL inspection), или домейны из сертификатов извлекают (certificate-based inspection),
для сайтов с одним сертификатом но несколькими вебсайтами пользуются часто SNI и оттуда домены можно видеть до того как
TLS энкапсуляция/шифрование начинается.
 
PolyglotEleven сказал(а):
Чудес тут нет - или подмена сертификата (deep SSL inspection), или домейны из сертификатов извлекают (certificate-based inspection)
Ну ясень пень, что чудеса нет. Как то это работает ведь. И скажу, что точно не подмена сертификата. Я лично юзал NGWF от Checkpoint, там модуль SSL inspection была отключена. То есть он без этого как то вычисляет сигнатуры программ.
 
b1t сказал(а):
Где и когда написал, лучше ссылку дал бы почитать ))

Да и причем тут x.509 ?
Я правильно понял, речь про сертификат?
Из вики вот состав сертификата:
Там же домен прямым текстом указан. nslookup не всегда точный. Вот и вся разгадка.
b1t сказал(а):
Ну ясень пень, что чудеса нет. Как то это работает ведь. И скажу, что точно не подмена сертификата. Я лично юзал NGWF от Checkpoint, там модуль SSL inspection была отключена. То есть он без этого как то вычисляет сигнатуры программ.
Если с веб сайтами разобрались, то программы напиши пример. И ты смотрел на github проекты которые "сигнатурят" например дамп wireshark?

Кое-что посложнее и поинтересней - это определять сотрудника компании по айпи адресу, как делают эти сервисы - https://albacross.com https://www.snitcher.com
 
marmalade сказал(а):
Если с веб сайтами разобрались, то программы напиши пример.
ну программы наверно по такой же логите работают, раз через сертификат палят. А вот например видел в одном NGFW , скажем VK, где можно запретить чат, но можно музыку слушать, или например можно чатить, но выслать файлы/фотки - нельзя.


marmalade сказал(а):
И ты смотрел на github проекты которые "сигнатурят" например дамп wireshark?
Нет. И если не сложно, можете онлайн хотяб на 20 мин устроить ликбез по этим новым "технологиям"?
а то про эти сайты тоже ничего не слышал и не знаю что делают.

marmalade сказал(а):
Кое-что посложнее и поинтересней - это определять сотрудника компании по айпи адресу, как делают эти сервисы - https://albacross.com https://www.snitcher.com
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх