رمزگشایی ترافیک TLS با PolarProxy

این یک پست وبلاگ مهمان توسط Erik Hjelmvik ، xpert xpert در پزشکی قانونی شبکه و نظارت بر امنیت شبکه در NETRESEC است.

PolarProxy یک TLS شفاف است که ترافیک TLS را به صورت پرونده PCAP رمزگشایی می کند . PolarProxy به هیچ وجه با داده های تونل شده تداخل نمی کند ، فقط جریان ورودی TLS را می گیرد ، رمزگشایی می کند ، دوباره رمزگذاری می کند و به مقصد می رساند. به همین دلیل از PolarProxy می توان به عنوان پروکسی عمومی رمزگشایی TLS برای تقریباً هر پروتکلی استفاده کرد که از رمزگذاری TLS استفاده می کند ، از جمله HTTPS ، HTTP / 2 ، DoH ، DoT ، FTPS ، SMTPS ، IMAPS ، POP3S و SIP-TLS. در درجه اول برای بازرسی از ترافیک رمزنگاری شده در غیر این صورت از بدافزار ، مانند بات نت هایی که از HTTPS برای فرمان و کنترل رایانه های قربانی استفاده می کنند ، طراحی شده است. بازدید از ترافیک رمزگذاری شده از دستگاه های اینترنت اشیا و سایر محصولات تعبیه شده یا تجزیه و تحلیل ترافیک رمزگذاری شده از تلفن های همراه و تبلت ها ، از دیگر موارد استفاده محبوب برای PolarProxy است این واقعیت که PolarProxy ترافیک رمزگشایی شده را بدون هیچ سرصفحه TLS به صورت رمزگشایی صادر می کند ، کاربران را قادر می سازد ترافیک رمزگشایی شده را با محصولی که از رمزگشایی TLS پشتیبانی نمی کنند مانند تشخیص نفوذ و محصولات پزشکی قانونی شبکه مانند Suricata ، Zeek و NetworkMiner ، بازرسی کنند. [19659004] PolarProxy برای هر نصب یک گواهینامه CA ریشه منحصر به فرد ایجاد می کند که باید توسط مشتریانی که ترافیک TLS خود را رمزگشایی می کنند اعتماد کنند. بنابراین ریشه CA PolarProxy باید توسط سیستم عامل ها ، مرورگرها و برنامه هایی که می خواهید ترافیک TLS را از آنها رمزگشایی کند ، به اعتماد داشته باشید. ترافیک DoH) در پرونده proxy-191023-091924.pcap ، که در جریان سخنرانی TLS رهگیری و رمزگشایی من در کنفرانس CS3Sthlm در سال 2019 به صورت زنده ضبط شده است. همانطور که مشاهده می کنید ، پرس و جو DoH در داخل یک درخواست HTTP / 2 ارسال می شود. همچنین ممکن است متوجه شوید که درخواست HTTP / 2 توسط یک رکورد TLS کپسوله نشده است. به این دلیل که PolarProxy قبل از ذخیره ترافیک رمزگشایی شده در یک پرونده ضبط ، تمام داده های TLS را حذف کرده است. نمودار جریان رمزگشایی PolarProxy

PolarProxy تحت مجوز CC BY-ND 4.0 منتشر شده است ، این بدان معناست که شما آزاد هستید از این نرم افزار برای هر هدفی حتی تجاری استفاده کنید. برای استفاده از PolarProxy برای اجرای آزمایشی ، به سادگی دستورات زیر را روی دستگاه Linux اجرا کنید: