[uylug-varios] Interceptar SSL
Damián Muraña
damian at murana.uy
Fri Jun 9 10:51:13 PDT 2017
Quizá hablar de DPI cuando se habla de cómo un ISP puede identificar
tráfico de servicios puntuales no es lo más preciso. Entiendo que se usan
varias tecnologías, entre ellas DPI, fingerprinting, etc.
He implementado para casos puntuales Snort, ntopng y pfSense (con traffic
shapper en capa 7) para este tipo de filtrados (bloquear, monitorear y
aplicar QoS respectivamente).
En esta lista hay algunos fingerprints que al día de hoy son válidos, otros
han cambiado:
https://wiki.mikrotik.com/wiki/Basic_traffic_shaping_based_on_layer-7_protocols
Con bastante análisis se encuentran fingerprints en paquetes cifrados con
SSL/TLS y resulta funcional para diferenciar tráfico de aplicaciones. A
nivel de navegación web en mi práctica no ha resultado tan útil, en esos
casos he utilizado SSL Interception o los viejos y queridos proxies.
Saludos,
El 9 de junio de 2017, 14:25, Carlos M. Martinez<
carlosmarcelomartinez at gmail.com> escribió:
> El escenario de SSL Intercept en el mundo empresarial está bien claro. En
> el post original en realidad estábamos hablando del mundo operador, donde
> vos no podes hacer que los PCs de tus usuarios confíen en CAs arbitrarias.
>
> On 9 Jun 2017, at 14:21, Enrique Verdes wrote:
>
> El 9 de junio de 2017, 13:08, Eduardo Trápani <etrapani at gmail.com>
> escribió:
>
>>
>> Pero es importante entender el cómo, porque no hay ni magia ni
>> heurísticas en este caso. Tampoco se trata de descifrar SSL sin más (no
>> hay ataques conocidos para hacer eso de manera general) sino de hacer lo
>> que se llama "Ataque de intermediario" o "Man in the middle"[1]. Yo lo
>> llamaría "man in the middle institucional".
>>
>
> Eso me consta. Lo implementamos con un DLP (Data Leak Protection) en la
> empresa.
>
>>
>>
>> ¿Podría algo así hacerse fuera de un entorno cerrado donde se tiene
>> control de cada equipo a nivel "root"? En este momento no, a menos que
>> se tome control de un emisor de certificados raíz o emita certificados
>> falsos[4] y además se tenga control del canal para poder interceptar.
>> Supongo que se imaginan quiénes están en condiciones de hacer eso a
>> escala más o menos global...
>>
>> Que ciertos gobiernos lo puedan hacer no lo dudaría, pero, un proveedor
> de Internet puede hacerlo para aplicar tarifas diferenciales según si el
> tráfico es voz o texto?
>
> Voy a tener que leer más.
>
> --
> Enrique M. Verdes
> <https://uy.linkedin.com/pub/enrique-verdes/1/794/ba8>
>
> "As we enjoy great advantages from the inventions of others, we should be
> glad of an opportunity to serve others by any invention of ours; and this
> we should do freely and generously."
>
> Benjamin Franklin
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
>
--
*Damián Murañahttp://www.murana.uy/ <http://www.murana.uy/>Por favor, evite
enviarme documentos adjuntos en formato Word o PowerPoint.Vea
http://www.gnu.org/philosophy/no-word-attachments.html
<http://www.gnu.org/philosophy/no-word-attachments.html>http://documentfreedom.org/openstandards.es.html
<http://documentfreedom.org/openstandards.es.html>*
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20170609/3ebce8a3/attachment-0001.htm>
More information about the Uylug-varios
mailing list