embaralhar https sobre http para evitar a detecção pelo Firewall

1

Meu campus instalou recentemente o Fortigate Firewall e começou a falsificar certificados https. por exemplo. Os certificados parecem inválidos, dizendo: "Google.com; verificado pela Fortinet CA"
Existe uma maneira de embaralhar o tráfego de https de tal forma que ele seja invisível para o Firewall e ainda seja igualmente seguro.

    
por Richa 18.02.2014 / 18:58

1 resposta

3

Este é um ataque man-in-the-middle, e seu navegador WWW lhe disse que estava acontecendo. O homem no meio era o departamento de TI do seu campus. Quase certamente não foi "resolvido" como tal. O homem no meio simplesmente aproveitou a posição privilegiada do xyr como o departamento de TI para instruir seu computador a não avisar sobre a interceptação do seu tráfego SSL mais.

Muitos firewalls de nível corporativo fazem isso hoje em dia. É conhecido como "SSL Proxy", "SSL Inspection", "HTTPS Inspection", "Inspeção de Conteúdo HTTPS" e assim por diante. O primeiro é o mais preciso, já que esta prática se aplica a mais do que apenas HTTP criptografado. Os firewalls também o aplicam a outros protocolos criptografados, incluindo SMTP, IMAP, POP e FTP criptografados.

Simplificando, o firewall está fazendo exatamente o que a criptografia foi projetada para proteger: interceptando o tráfego de e-mail, WWW e FTP entre você e o mundo, descriptografando-o, lendo e possivelmente alterando-o e criptografando-o novamente.

No caso normal, como você viu, o seu navegador WWW vê isso e reclama.

Portanto, o que as pessoas que executam esses firewalls forçam uma autoridade de certificação em sua máquina, na lista de autoridades de certificação confiáveis do seu navegador WWW. Seu navegador WWW vê que o certificado usado pela parte do firewall que está voltado para você é assinado por essa autoridade de certificação confiável que foi imposta a você e acredita que tudo está bem.

Esse forçamento é feito em configurações corporativas com a implantação da autoridade de certificação confiável adicional por meio da Política de Grupo em todos os computadores corporativos.

Quando isso é impraticável, uma alternativa que pode ser empregada é a organização comprar uma autoridade de certificação de assinatura de uma autoridade de certificação raiz confiável e usá-la para assinar todos os certificados nonce que são entregues ao navegador WWW pelo firewall. Novamente, o seu navegador vê uma cadeia de certificados apropriada que leva de volta a uma das autoridades de certificação raiz confiáveis em sua lista e acredita que tudo está bem.

Em ambos os casos, todo o seu WWW, e-mail, FTP e outros tráfegos aparentemente seguros foram vistos, lidos e possivelmente alterados (se ele decidiu que não gostou do conteúdo por qualquer motivo) pelo seu departamento de TI do campus, de tal forma que, para os olhos inexperientes, procurando os ícones de "bloqueio" nos navegadores da WWW e em sua laia, tudo parece seguro.

Leitura adicional

por 19.02.2014 / 01:26