Re: анонимайзеры и выхо д в инет - есть выход?
Tue, 21 Apr 2009 23:45:07 +0600 Murat D. Kadirov bander...@gmail.com wrote: The monkey in the middle? В dsniff какая-то приблуда была... Там это на более примитивном уровне, насколько я могу судить. Он всегда представляется заданным сертификатом. А можно сделать красивее: Да дофига этих методов обхода, через днс запросы, к примеру, мало ли. Суть в том, что нереально заблокировать всё и вся, чего желает топикстартер, от человека даже просто со знаниями сетевых технологий ниже среднего. Реально. Если у тебя знания на порядок выше. Правда мы сейчас немножко про другое. Когда к нам приходит коннект, мы смотрим, куда он направлен (до ната/редиректа), подключаемся к удаленному узлу, получаем с него сертификат, выдираем оттуда subject, вставляем в свой сертификат-заготовку, подписываем его локальным CA, после чего заворачиваем TCP сессию клиента на наш локальный прокси с заданным сертификатом. Клиент ни о чем не догадывается. Можно еще локальный CA назвать VeryVerySign. Для правдоподобности. Естественно, что всё это прокатывает только с подконтрольной сетью, где мы можем внедрить свои сертификаты. У остальных пользователей будет выскакивать Unknown CA. Мм.. это вроде последняя демонстрация нападения на сертификаты не помню кто демонитрировал на какой-то конфе по безопасносте с месяц тому назад, не? Нет, речь о другом. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: анонимайзеры и выхо д в инет - есть выход?
Wed, 22 Apr 2009 12:06:35 +0400 Max Kosmach m...@tcen.ru wrote: 21.04.2009 20:15, Alexander GQ Gerasiov пишет: Tue, 21 Apr 2009 13:50:30 +0300 Peter Pentchev r...@ringlet.net wrote: On Tue, Apr 21, 2009 at 01:57:30PM +0400, Sapytsky Ilya wrote: я сюда написАл сюда от того, что мне надоело тратить час в день на эту фигню... Что бы не делал, не остановишь достаточно умных людей, у которых есть внешний сервак и которые знают как поставить stunnel + dante. Порт 443 не заблокируешь, так stunnel и на порте 443 может работать как front-end для dante. Порт 443 можно терминировать на локальный прокси с автогенерируемым сертификатом, подписанным CA, стоящим на всех машинах в офисе. Гемморойно, но технически вполне реализуемо. Более того, кто-то из вендоров такую железку делал. То ли Cisco, то ли Juniper. Aladdin еще с их webssl вспоминается. Это, кстати, вполне себе еще один повод не считать https панацеей. Это если не смотреть на сертификат сервера. Правда в случае наличия правильного CA смотреть будут далеко не все. Так тебе ничего не стоит сделать корневой сертификат с красивым именем Verisign или Microsoft или Mozilla. А подписанный сертификат будет вообще копией реального, только с другими ключами/подписями. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: анонимайзеры и выхо д в инет - есть выход?
Twas brillig at 12:34:35 21.04.2009 UTC+03 when i.chu...@generali.garant.ua did gyre and gimble: ИЧ Требование приходить в контору к 9:00 это ограничение свободы. Нет, не ограничение. Соглашение. Но если его не выполнять - работодатель будет свободен от соглашения выплачивать деньги. -- pgppls3PpZJDU.pgp Description: PGP signature
Re: анонимайзеры и выхо д в инет - есть выход?
Tue, 21 Apr 2009 13:50:30 +0300 Peter Pentchev r...@ringlet.net wrote: On Tue, Apr 21, 2009 at 01:57:30PM +0400, Sapytsky Ilya wrote: я сюда написАл сюда от того, что мне надоело тратить час в день на эту фигню... Что бы не делал, не остановишь достаточно умных людей, у которых есть внешний сервак и которые знают как поставить stunnel + dante. Порт 443 не заблокируешь, так stunnel и на порте 443 может работать как front-end для dante. Порт 443 можно терминировать на локальный прокси с автогенерируемым сертификатом, подписанным CA, стоящим на всех машинах в офисе. Гемморойно, но технически вполне реализуемо. Более того, кто-то из вендоров такую железку делал. То ли Cisco, то ли Juniper. Это, кстати, вполне себе еще один повод не считать https панацеей. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: анонимайзеры и выхо д в инет - есть выход?
Tue, 21 Apr 2009 21:11:26 +0400 Иван Лох l...@1917.com wrote: On Tue, Apr 21, 2009 at 08:15:16PM +0400, Alexander GQ Gerasiov wrote: Tue, 21 Apr 2009 13:50:30 +0300 Peter Pentchev r...@ringlet.net wrote: On Tue, Apr 21, 2009 at 01:57:30PM +0400, Sapytsky Ilya wrote: я сюда написАл сюда от того, что мне надоело тратить час в день на эту фигню... Что бы не делал, не остановишь достаточно умных людей, у которых есть внешний сервак и которые знают как поставить stunnel + dante. Порт 443 не заблокируешь, так stunnel и на порте 443 может работать как front-end для dante. Порт 443 можно терминировать на локальный прокси с автогенерируемым сертификатом, подписанным CA, стоящим на всех машинах в офисе. Гемморойно, но технически вполне реализуемо. Более того, кто-то из вендоров такую железку делал. То ли Cisco, то ли Juniper. The monkey in the middle? В dsniff какая-то приблуда была... Там это на более примитивном уровне, насколько я могу судить. Он всегда представляется заданным сертификатом. А можно сделать красивее: Когда к нам приходит коннект, мы смотрим, куда он направлен (до ната/редиректа), подключаемся к удаленному узлу, получаем с него сертификат, выдираем оттуда subject, вставляем в свой сертификат-заготовку, подписываем его локальным CA, после чего заворачиваем TCP сессию клиента на наш локальный прокси с заданным сертификатом. Клиент ни о чем не догадывается. Можно еще локальный CA назвать VeryVerySign. Для правдоподобности. Естественно, что всё это прокатывает только с подконтрольной сетью, где мы можем внедрить свои сертификаты. У остальных пользователей будет выскакивать Unknown CA. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org