Недавно я собирал информацию о брандмауэрах OSI Layer-7, то есть о брандмауэрах, которые могут блокировать трафик в зависимости от приложения.

Большинство из этих брандмауэров имеют такие возможности, как "Блокировать Twitter" или "Блокировать трафик Facebook" ... что приводит меня к следующему вопросу:

Как эти брандмауэры могут блокировать такой трафик, если Twitter и Facebook полностью зашифрованы TLS?

Я пытался теоретизировать это сам, и вот выводы, к которым я пришел:

  • Это не может быть сделано с постоянным посредником, потому что эти сертификаты являются эфимерными, и пользователи будут предупреждены каждый раз, когда они пытаются добраться до этих сайтов, и им также нужно будет каждый раз принимать сертификат (документация утверждает, что это не так). не бывает).

  • Мое дикое предположение состоит в том, что это "блокирующее" действие выполняется при согласовании соединения SSL/TLS и до его установления. Они могли бы получить сертификат сайта, посмотреть, для каких сайтов они используются, и если некоторые из них (скажем) Twitter или Facebook, заблокировать его?

Если ничего из вышеперечисленного не является правильным, какие другие методы могут быть использованы для достижения этой цели?

Примечание: я не говорю о конкретной марке, мне просто интересно, как эта технология работает, не нарушая цепочку SSL/TLS.

|источник

2 ответа2

1

Вам может потребоваться определить "приложение" в этом контексте. Если вы говорите только о блокировании определенных громких веб-сайтов с мобильными приложениями в качестве настраиваемого пользовательского интерфейса (как, например, ваши примеры в Twitter и Facebook), то брандмауэр может сделать несколько вещей:

  1. Заблокируйте (или ответьте неправильно) DNS-запросы для этих сайтов или связанных с ними CDN (самые большие сайты обычно имеют свои собственные CDN).
  2. Блокируйте трафик на известные IP-адреса этих сайтов и их известные узлы CDN (пограничные серверы).
  3. Наблюдайте за началом всех согласований TLS и отключайте все соединения, где в сертификате сервера содержится доменное имя, которое нужно заблокировать, или любое из известных связанных доменных имен (доменных имен CDN).
|источник
0

Конечно, корпоративный брандмауэр может фильтровать "крупных игроков" по (cdn или server) IP-адресу, но это определенно не уровень 7.

Однако MITM-атака на SSL возможна, если кто-то установит прокси-сервер (корневой CA) в ваш браузер. После этого проверка 7 уровня может быть выполнена на открытом тексте.

Нет необходимости устанавливать (даже удаленно) требуемый доверенный сертификат в браузере в управляемой корпоративной среде. С сертификатом на месте брандмауэр действует как прокси-соединение (новое внешнее) SSL-соединение на ваше имя с веб-сайтом, получает данные и после проверки пересылает их вам в другой ssl-сеанс. Он создает поддельный сертификат для вас, который имитирует оригинал, но подписан компанией, которой доверяют. Обычный пользователь ничего не заметит. Никаких предупреждений, никаких всплывающих окон. Все отлично.

Конечно, если вы используете свое собственное устройство, не контролируемое компанией, вы сразу увидите чит. Но, конечно, вы не можете использовать свое собственное устройство в сети компании. Теперь понятно почему. :)

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .