21:37 Tue 21 Apr, Alexander GQ Gerasiov wrote: > Tue, 21 Apr 2009 21:11:26 +0400 > Иван Лох <l...@1917.com> wrote: > > > On Tue, Apr 21, 2009 at 08:15:16PM +0400, Alexander GQ Gerasiov wrote: > > > Tue, 21 Apr 2009 13:50:30 +0300 > > > Peter Pentchev <r...@ringlet.net> wrote: > > > > > > > On Tue, Apr 21, 2009 at 01:57:30PM +0400, Sapytsky Ilya wrote: > > > > > я сюда написАл сюда от того, что мне надоело тратить час в день > > > > > на эту фигню... > > > > > > > > Что бы не делал, не остановишь достаточно умных людей, у которых > > > > есть внешний сервак и которые знают как поставить stunnel + dante. > > > > Порт 443 не заблокируешь, так stunnel и на порте 443 может > > > > работать как front-end для dante. > > > Порт 443 можно терминировать на локальный прокси с автогенерируемым > > > сертификатом, подписанным CA, стоящим на всех машинах в офисе. > > > > > > Гемморойно, но технически вполне реализуемо. Более того, кто-то из > > > вендоров такую железку делал. То ли Cisco, то ли Juniper. > > > > The monkey in the middle? В dsniff какая-то приблуда была... > Там это на более примитивном уровне, насколько я могу судить. Он всегда > представляется заданным сертификатом. А можно сделать красивее:
Да дофига этих методов обхода, через днс запросы, к примеру, мало ли. Суть в том, что нереально заблокировать всё и вся, чего желает топикстартер, от человека даже просто со знаниями сетевых технологий ниже среднего. > Когда к нам приходит коннект, мы смотрим, куда он направлен (до > ната/редиректа), подключаемся к удаленному узлу, получаем с него > сертификат, выдираем оттуда subject, вставляем в свой > сертификат-заготовку, подписываем его локальным CA, после чего > заворачиваем TCP сессию клиента на наш локальный прокси с заданным > сертификатом. Клиент ни о чем не догадывается. Можно еще локальный CA > назвать VeryVerySign. Для правдоподобности. Естественно, что всё это > прокатывает только с подконтрольной сетью, где мы можем внедрить свои > сертификаты. У остальных пользователей будет выскакивать "Unknown CA". Мм.. это вроде последняя демонстрация нападения на сертификаты не помню кто демонитрировал на какой-то конфе по безопасносте с месяц тому назад, не? -- Murat D. Kadirov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
