08-04-2012, 00:26
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
כל הרעיון של SSL בשימושו באינטרנט, מבוסס על מנגנון של PKI - Public Key Infrastructure...
כחלק מה negotiation של SSL, השרת מציג בפנייך תעודה שנחתמה בצורה דיגיטלית על ידי גוף ידוע, שחתימתו כלולה במערכת ההפעלה שלך או באפליקציה שלך, והתעודה הזו עוברת אימות. אם תהיה התקפת MITM, התעודה שתוצג על ידי התוקף, תהיה או לא חתומה על ידי מקור ידוע (למשל - חתומה-עצמית), או, אם בצורה כלשהי התוקף הצליח לשטות באחד מהגופים הידועים כדי שיחתום לו על תעודה שתואמת לשם ה host שאליו אתה מתחבר, אזי התעודה תהיה חתומה בצורה תקינה (עד שהנתקף יגלה וידרוש להוסיף את המספר הסידורי של תעודה זו ל CRL של החותם), אבל אז זהות החותם תהיה שונה, ושוב, תוכל לדעת.
רק במידה והתוקף הצליח לגרום לאותו חותם תעודות להפיק תעודה נוספת עבור המפתח הפרטי שברשותו, על אותו host, ואז לעשות MITM בין הלקוח לשרת, רק במקרה הזה, הכל יראה בסדר (אבל עדיין תוכל להשוות את המספר הסידורי... צירוף זה של זהות החותם + מספר סידורי של התעודה, נשמע לי שאין התקפה שלא תעלה עליה...)
פה אנחנו מדברים על איך נפתח ה session, לפני שמתחיל המעבר של המידע.
אתה שואל על מקרה שבו מישהו מצטרף באמצע שכבר יש session פעיל, שאפקטיבית, מבחינת התוקף, עובר בו זבל אקראי למדי, ומצליח איכשהוא לפענח את התקשורת של שני הצדדים, ולזייף את המשכה?
אשר למה שהוספת בעריכה: ברפרוף מהיר, נראה שהתוקף במקרה המסויים הזה צריך שהמשתמש יגלוש לאתר שיוגש על ידי ה "SSLVPN" (זה קצת אדיוטי לקרוא ל reverse proxy בשם VPN, ר"ת שמכילים במהותם את המילה Network, אבל נזרום עם כל ה Vendor-ים שלא הצליחו לממש מה ש OpenVPN עושה כבר שנים רבות...) - כלומר, בסבירות גבוהה, לשלוט על אתר אינטרנט פנימי בארגון, שמפורסם על ידי VPN.
באופן כללי, דעתי האישית היא, ש clientless VPN הוא דבר נורא ואיום מבחינת אבטחה, בין אם זה באמת VPN (ואז זה בעצם ממילא מתקין לך תוכנה דרך הדפדפן, בצורה מפוקפקת למדי, כך שלא ברור מה כאן בדיוק clientless), ובין אם זה בגישה למשאבי אינטראנט מתוך הדפדפן, שאליו אנשים נכנסים מאיזה מחשב שבא להם ("כי זה VPN של ג'וניפר/סיסקו/צ'קפויינט, אז זה מאובטח!!!"), וד"ש ל key-logger-ים ולסוסים הטרוייאנים באשר הם...
|