رمزگشایی ترافیک TLS با PolarProxy

این یک پست وبلاگ مهمان توسط Erik Hjelmvik ، xpert xpert در پزشکی قانونی شبکه و نظارت بر امنیت شبکه در NETRESEC است.

PolarProxy یک TLS شفاف است که خروجی رمزگشایی شده TLS را به عنوان پرونده های PCAP خروجی می دهد . PolarProxy به هیچ وجه با داده های تونل شده تداخل نمی کند ، فقط جریان ورودی TLS را می گیرد ، رمزگشایی می کند ، دوباره رمزگذاری می کند و به مقصد می رساند. به همین دلیل از PolarProxy می توان به عنوان یک پروکسی رمزگشایی عمومی TLS برای تقریباً هر پروتکلی استفاده کرد که از رمزگذاری TLS استفاده می کند ، از جمله HTTPS ، HTTP / 2 ، DoH ، DoT ، FTPS ، SMTPS ، IMAPS ، POP3S و SIP-TLS.

در درجه اول برای بازرسی از ترافیک رمزگذاری شده در غیر این صورت از بدافزار ، مانند بات نت هایی که از HTTPS برای فرمان و کنترل رایانه های قربانی استفاده می کنند ، طراحی شده است. بازدید از ترافیک رمزگذاری شده از دستگاههای اینترنت اشیا و سایر محصولات جاسازی شده یا تجزیه و تحلیل ترافیک رمزگذاری شده از تلفن های همراه و تبلت ها ، از دیگر موارد استفاده محبوب برای PolarProxy است. این واقعیت که PolarProxy ترافیک رمزگشایی شده را بدون هیچ سرصفحه TLS به صورت رمزگشایی صادر می کند ، کاربران را قادر می سازد ترافیک رمزگشایی شده را با محصولی که از رمزگشایی TLS پشتیبانی نمی کنند مانند تشخیص نفوذ و محصولات پزشکی قانونی شبکه مانند Suricata ، Zeek و NetworkMiner ، بازرسی کنند. 19659004] PolarProxy برای هر نصب یک گواهینامه CA ریشه منحصر به فرد ایجاد می کند که باید توسط مشتریانی که ترافیک TLS خود را رمزگشایی می کنند اعتماد کنند. بنابراین ریشه CA PolarProxy باید توسط سیستم عامل ها ، مرورگرها و برنامه هایی که می خواهید ترافیک TLS را از آنها رمزگشایی کند ، به اعتماد داشته باشید.

تصویر Wireshark در بالا DNS بیش از HTTPS را نشان می دهد ( ترافیک DoH) در پرونده proxy-191023-091924.pcap ، که به طور مستقیم در طی سخنرانی TLS رهگیری و رمزگشایی من در کنفرانس CS3Sthlm در سال 2019 ضبط شد. همانطور که مشاهده می کنید ، پرس و جو DoH در داخل یک درخواست HTTP / 2 ارسال می شود. همچنین ممکن است متوجه شوید که درخواست HTTP / 2 توسط یک سابقه TLS کپسوله نشده است. به این دلیل که PolarProxy قبل از ذخیره ترافیک رمزگشایی شده در یک پرونده ضبط ، تمام داده های TLS را حذف کرده است. نمودار جریان رمزگشایی PolarProxy

PolarProxy تحت مجوز CC BY-ND 4.0 منتشر شده است ، این بدان معناست که آزاد هستید از این نرم افزار برای هر هدفی حتی تجاری استفاده کنید. برای استفاده از PolarProxy برای اجرای آزمایشی ، به سادگی دستورات زیر را روی دستگاه Linux اجرا کنید: