Доброго времени, теневики.
В рамках развития в сферах информации и безопасности в сети, мы регулярно изучаем новые направления и проходим курсы развития.
Самые интересные темы мы будем преобразовывать в статьи, стараясь изложить тему кратко, четко, локанично.
"Пробив образовательный".
Сниффинг («подслушивание»). По большей части информация в сетях передается в открытом не защищенном формате, что дает возможность третьему лицу, получившему доступ к линиям передачи информации в вашей сети, подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют программы сниффер.
Mitm атака, что это такое?
Это любой хост, который стоит на разных сетевых уровнях по середине, тем самым захватывает трафик вашего провайдера.
Mitm атака делится на две части – низкоуровневая (протоколы канального уровня) и высокоуровневая атаки (работа с HTTPS и механизмами защиты от прослушивания.
Механизмы защиты, которые не дают снифирить HTTPS:
Минусы использования Mitm атак:
Что такое MITMproxy
MITMproxy – это питоновская (Python) программа, которая:
У MITMproxy есть свои режимы работы (damp, veb и тд.). Он завязан на анализе клиентских приложений с сетью.
Как работает MITMproxy:
Практическое применение MITM
DLP –системы - технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства для такого предотвращения утечек. DLP –системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы.
Domain – GPO (install cert) – GW (sniff hash).
Реализация в Intercepter – NG (Captive portal)
Wifi - Captive Portal – download/install cert – выход в сеть через GW (sniffer).
Captive portal – сайт авторизации, на который принудительно перенаправляются пользователи, подключившиеся к публичной сети, перед тем как получат доступ в интернет.
С уважением, Особая информационная служба "FENIX"
В рамках развития в сферах информации и безопасности в сети, мы регулярно изучаем новые направления и проходим курсы развития.
Самые интересные темы мы будем преобразовывать в статьи, стараясь изложить тему кратко, четко, локанично.
"Пробив образовательный".
Сниффинг («подслушивание»). По большей части информация в сетях передается в открытом не защищенном формате, что дает возможность третьему лицу, получившему доступ к линиям передачи информации в вашей сети, подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют программы сниффер.
Mitm атака, что это такое?
Это любой хост, который стоит на разных сетевых уровнях по середине, тем самым захватывает трафик вашего провайдера.
Mitm атака делится на две части – низкоуровневая (протоколы канального уровня) и высокоуровневая атаки (работа с HTTPS и механизмами защиты от прослушивания.
Механизмы защиты, которые не дают снифирить HTTPS:
- SSL strip. Вычленяет из HTTP трафика ссылки на HTTPS. Работает, когда есть точка входа HTTP. Таких сайтов очень мало.
- DNS spoofing + SSL strip. Обход HTTPS (HSTS). Некоторые сайты используют дополнительные заголовки и параметры в своем динамическом коде. В данном случае нужен эксплойт, написанный под конкретный сайт.
- Подмена сертификатов (Не будет работать с HSTS).
Минусы использования Mitm атак:
- Визуальное отображение (домен, замочек в адресной строке)
- Сложность эксплуатации
- Локальное использование.
Что такое MITMproxy
MITMproxy – это питоновская (Python) программа, которая:
- подменяет сертификаты
- импорт сертификата клиентом дает возможность просматривать трафик в чистом виде
- может работать за LAN.
У MITMproxy есть свои режимы работы (damp, veb и тд.). Он завязан на анализе клиентских приложений с сетью.
Как работает MITMproxy:
- Создается набор файлов СА
- На основе СА генерируются подменные сертификаты
- Браузер проверяет наличие сертификата в локальном центре сертификации.
Практическое применение MITM
DLP –системы - технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства для такого предотвращения утечек. DLP –системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы.
Domain – GPO (install cert) – GW (sniff hash).
Реализация в Intercepter – NG (Captive portal)
Wifi - Captive Portal – download/install cert – выход в сеть через GW (sniffer).
Captive portal – сайт авторизации, на который принудительно перенаправляются пользователи, подключившиеся к публичной сети, перед тем как получат доступ в интернет.
С уважением, Особая информационная служба "FENIX"