Σελ. 3 από 6 ΠρώτηΠρώτη 12345 ... ΤελευταίαΤελευταία
Εμφάνιση 31-45 από 84
  1. #31
    Εγγραφή
    22-09-2014
    Μηνύματα
    839
    Downloads
    1
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    200/200
    ISP
    INALAN
    Router
    Huawei HG8245T
    Παράθεση Αρχικό μήνυμα από XTCgr Εμφάνιση μηνυμάτων
    Π@π@ριά! και πως θα βλέπουμε survivor και Ραδιο Αρβύλα??
    Με IPTV

  2. #32
    Εγγραφή
    03-03-2004
    Περιοχή
    Ankh-Morpork, Discworld
    Ηλικία
    39
    Μηνύματα
    22.552
    Downloads
    1
    Uploads
    0
    Άρθρα
    4
    Τύπος
    VDSL2
    Ταχύτητα
    100/40 Mbps
    ISP
    Deutsche Telekom
    Router
    FRITZ!Box 7560
    Παράθεση Αρχικό μήνυμα από XTCgr Εμφάνιση μηνυμάτων
    Π@π@ριά! και πως θα βλέπουμε survivor και Ραδιο Αρβύλα??
    Ράδιο Αρβύλα τα καλύτερα τα έχει και στο Youtube.
    Το άλλο που είπες, χάρη σου κάνει που σου το κόβει (αν το κόβει) η Ρωσία.

  3. #33
    Εγγραφή
    24-06-2006
    Περιοχή
    Αργυρούπολη
    Ηλικία
    56
    Μηνύματα
    284
    Downloads
    0
    Uploads
    0
    Ταχύτητα
    2048/256
    ISP
    OTEnet
    DSLAM
    ΟΤΕ - ΗΛΙΟΥΠΟΛΗΣ
    Παράθεση Αρχικό μήνυμα από DVader Εμφάνιση μηνυμάτων
    Θέλεις να το εξηγήσεις λίγο περισσότερο πως το εννοείς ..το MITM ..? Με proxy ..γιατί δεν θα παίζει ..τίποτα ...

    - - - Updated - - -

    Πάντως η ανακοίνωση μίλαγε για γενικό μπλόκο αδιακτρίτος....
    χοντρικά:

    το -όποιο - firewall (μίλησα για fortigate που ξέρω οτι το κάνει) τερματίζει πάνω του το HTTPS request και δημιουργεί ένα νέο με το destination
    στο σημείο αυτό έχεις σε σχεδόν clear text τα requests (μπορείς σε real time να διαβάσεις μέχρι και IM) - εκεί είναι το MITM
    με ένα rule κάνεις abort ότι θες να "κοπεί" - ο client θα δει ένα μήνυμα του τύπου destination unreachable (αν δεν θές να "φανείς") ή ότι άλλο

    με content filter (πάνω στο ίδιο rule) μπορείς να "κόψεις" ότι άλλο - proxies, tor, porn κλπ

    για vpn αρκεί να "κόψεις" κάποιο "ενδιάμεσο" route - το target δεν θα είναι reachable και το vpn δεν θα γίνει established ποτέ.

  4. #34
    Εγγραφή
    02-04-2005
    Περιοχή
    Κλωζάνη
    Ηλικία
    41
    Μηνύματα
    3.552
    Downloads
    8
    Uploads
    0
    ISP
    Μπάμπης νετ
    DSLAM
    ΟΤΕ - ΠΕΥΚΟΧΩΡΙ
    Παράθεση Αρχικό μήνυμα από exop001 Εμφάνιση μηνυμάτων
    χοντρικά:

    το -όποιο - firewall (μίλησα για fortigate που ξέρω οτι το κάνει) τερματίζει πάνω του το HTTPS request και δημιουργεί ένα νέο με το destination
    στο σημείο αυτό έχεις σε σχεδόν clear text τα requests (μπορείς σε real time να διαβάσεις μέχρι και IM) - εκεί είναι το MITM
    με ένα rule κάνεις abort ότι θες να "κοπεί" - ο client θα δει ένα μήνυμα του τύπου destination unreachable (αν δεν θές να "φανείς") ή ότι άλλο

    με content filter (πάνω στο ίδιο rule) μπορείς να "κόψεις" ότι άλλο - proxies, tor, porn κλπ

    για vpn αρκεί να "κόψεις" κάποιο "ενδιάμεσο" route - το target δεν θα είναι reachable και το vpn δεν θα γίνει established ποτέ.
    To HTTPS δεν βασίζεται πάνω σε SSL/TSL;
    Δλδ δεν υπάρχει ένα public & ένα private key;
    Δεν εγγυάται ότι ότι είναι encrypted με το public μπορεί να γίνει decrypt με το private key και μόνο;
    Υδραυλικός, φωτογράφος, εραστής και ποιητής...
    http://www.flickr.com/photos/120411235@N06/

  5. #35
    Εγγραφή
    24-06-2006
    Περιοχή
    Αργυρούπολη
    Ηλικία
    56
    Μηνύματα
    284
    Downloads
    0
    Uploads
    0
    Ταχύτητα
    2048/256
    ISP
    OTEnet
    DSLAM
    ΟΤΕ - ΗΛΙΟΥΠΟΛΗΣ
    φυσικά ναι.
    αν το HTTPS session τερματίσει πάνω στο μηχάνημα και το μηχάνημα φτιάξει άλλο session προς το destination και όλα αυτά χωρίς να "φαίνεται", (το FG το κάνει seamlessly-δεν φαίνεται κάποια αλλαγή ούτε στον client ούτε στο server) τότε έχουμε MITM.
    Αν δεν το έκανε έτσι, θα φαινόταν η "επέμβαση" στο certificate.

  6. #36
    Εγγραφή
    09-02-2006
    Μηνύματα
    2.910
    Downloads
    4
    Uploads
    0
    Τύπος
    VDSL2
    ISP
    ΟΤΕ Conn-x
    Router
    OPNsense
    Παράθεση Αρχικό μήνυμα από exop001 Εμφάνιση μηνυμάτων
    με MITM είναι εφικτό χωρίς να μπλοκάρει τίποτε - μόνο ότι επιθυμούν μπορεί να κόβεται
    Μιλάμε για deep packet inspection σε μια χώρα με τεράστιο πληθυσμό και οπτικές ίνες στα σπίτια. Δεν είναι εφικτό.
    Εκτός κι αν εφαρμόσουν μια λύση σαν της Τουρκίας που μπλοκάρει το twitter και αλλάζεις dns και μπαίνεις. Θα γίνουν ρεζίλι παγκοσμίως.

  7. #37
    Εγγραφή
    18-08-2003
    Περιοχή
    3491
    Μηνύματα
    5.137
    Downloads
    19
    Uploads
    0
    Ταχύτητα
    16000/800
    ISP
    Conn-x OTE/Otenet
    DSLAM
    ΟΤΕ - ΑΡΗΣ
    Router
    C876
    SNR / Attn
    9(dB) / 8(dB)
    Path Level
    Fastpath
    Παράθεση Αρχικό μήνυμα από exop001 Εμφάνιση μηνυμάτων
    χοντρικά:

    το -όποιο - firewall (μίλησα για fortigate που ξέρω οτι το κάνει) τερματίζει πάνω του το HTTPS request και δημιουργεί ένα νέο με το destination
    στο σημείο αυτό έχεις σε σχεδόν clear text τα requests (μπορείς σε real time να διαβάσεις μέχρι και IM) - εκεί είναι το MITM
    με ένα rule κάνεις abort ότι θες να "κοπεί" - ο client θα δει ένα μήνυμα του τύπου destination unreachable (αν δεν θές να "φανείς") ή ότι άλλο

    με content filter (πάνω στο ίδιο rule) μπορείς να "κόψεις" ότι άλλο - proxies, tor, porn κλπ

    για vpn αρκεί να "κόψεις" κάποιο "ενδιάμεσο" route - το target δεν θα είναι reachable και το vpn δεν θα γίνει established ποτέ.
    Δεν είναι τόσο απλό να γίνει στο Internet κάτι τέτοιο, ούτε είναι ακριβώς καθαρό ακόμα κι όταν συμβαίνει σε εταιρικά δίκτυα. Όταν εγώ πάω να ανοίξω π.χ. το adslgr.com με https , πίσω από firewall που είναι ρυθμισμένο για ssl mitm, λειτουργεί όπως είπες. Το δικό μου https connection τερματίζει πάνω στον firewall. Συνεπώς, ο firewall μου κάνει present ένα certificate για το adslgr.com το οποίο δεν είναι signed από κάποιο globally trusted CA. Συνήθως σε τέτοιες περιπτώσεις ρυθμίζεται ο client ( με domain policy/κτλ ) να εμπιστεύεται τον τοπικό CA που έκανε sign το certificate του firewall και ο broswer δεν κράζει. Επίσης, θεωρούμε ότι σε εταιρικό περιβάλλον οι συνδέσεις είναι κατά ένα βαθμό προβλέψιμες και κάνουμε mitm μόνο ότι θεωρούμε ότι δεν γνωρίζουμε ( κυρίως κίνηση προς Internet, η οποία όμως καλύπτεται από AUP ).

    Αν πάμε να το εφαρμόσουμε στο Internet όμως έχουμε 2 σοβαρά προβλήματα. Το πρώτο έχει να κάνει με το γεγονός ότι η Ρωσσία δεν είναι globally trusted CA, ούτε θα μπορούσε να γίνει, αν δεν ακολουθεί τις διαδικασίες που απαιτούνται ( => να μη βγάζει certificate για ότι θέλει ). Το δεύτερο είναι ότι έχουμε σπάσει τελείως το https ακόμα και για εφαρμογές που θεωρούμε ότι το χρειάζονται. Π.Χ, ας πούμε ότι αναγκάζουν τους πολίτες να εμπιστευτούν το CA. Τη στιγμή που θα λαμβάνω το ίδιο ακριβώς certificate όταν θέλω να συνδεθώ στην τράπεζά μου και όταν θέλω να συνδεθώ σε κάποιον που προσποιείται ότι είναι η τράπεζά μου, γίνεται πολύ πιο δύσκολο να διακρίνω τον δεύτερο.

    Πέρα αυτού, έχω περιέργια να δω πως και πόσο θα κάνει scale οποιαδήποτε λύση επιλέξουν.
    In theory, practice is the same as theory.
    In practice, it isn't.

  8. #38
    Εγγραφή
    02-04-2005
    Περιοχή
    Κλωζάνη
    Ηλικία
    41
    Μηνύματα
    3.552
    Downloads
    8
    Uploads
    0
    ISP
    Μπάμπης νετ
    DSLAM
    ΟΤΕ - ΠΕΥΚΟΧΩΡΙ
    Παράθεση Αρχικό μήνυμα από exop001 Εμφάνιση μηνυμάτων
    φυσικά ναι.
    αν το HTTPS session τερματίσει πάνω στο μηχάνημα και το μηχάνημα φτιάξει άλλο session προς το destination και όλα αυτά χωρίς να "φαίνεται", (το FG το κάνει seamlessly-δεν φαίνεται κάποια αλλαγή ούτε στον client ούτε στο server) τότε έχουμε MITM.
    Αν δεν το έκανε έτσι, θα φαινόταν η "επέμβαση" στο certificate.
    Μα πως ο ενδιάμεσος θα κάνει decode το περιεχόμενο για να το αναλύσει και για να το ξαναπακετάρει αν δεν έχει το private key;
    Υδραυλικός, φωτογράφος, εραστής και ποιητής...
    http://www.flickr.com/photos/120411235@N06/

  9. #39
    Εγγραφή
    18-01-2009
    Ηλικία
    37
    Μηνύματα
    1.285
    Downloads
    1
    Uploads
    0
    Ταχύτητα
    1.020/16.075
    ISP
    Forthnet
    DSLAM
    Forthnet - ΑΘΗΝΑ
    Router
    Thompson TG585v7
    SNR / Attn
    6(dB) / 17,5(dB)
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από Φανερός Πράκτωρ Εμφάνιση μηνυμάτων
    Μα πως ο ενδιάμεσος θα κάνει decode το περιεχόμενο για να το αναλύσει και για να το ξαναπακετάρει αν δεν έχει το private key;
    Αυτό που γίνεται σε εταιρίες αλλά δεν μπορεί να γίνει σε μια ολόκληρη χώρα είναι το εξής μπαίνει ο reverse proxy στη μέση κάνει decode τη πληροφορία από το site βλέπει ότι θέλει να δει και μετά το κάνει encrypt με δικό του κλειδί και στο στέλνει εσένα τον χρήστη. μέσω υποδομών της εταιρίας πχ gpo κάνω trust το reverse proxy ως certificate authority και δεν σου βγάζει https warnings. Σίγουρα όμως κάτι τέτοιο θα ήταν πανάκριβο και χαζό σε μια χώρα με τέτοιο πληθυσμό.
    “This is hell, this is not Wall Street. We have a little thing called integrity here” Crowley King of Hell
    A computer without windows is like a cake without mustard!!!

  10. #40
    Εγγραφή
    02-04-2005
    Περιοχή
    Κλωζάνη
    Ηλικία
    41
    Μηνύματα
    3.552
    Downloads
    8
    Uploads
    0
    ISP
    Μπάμπης νετ
    DSLAM
    ΟΤΕ - ΠΕΥΚΟΧΩΡΙ
    Δλδ δεν υπάρχει κάποια δικλείδα ασφαλείας ότι αυτός που λέει ότι είναι κάποιος είναι όντως αυτός (ακόμα και αν αλλάξει τελείως το περιεχόμενο των σελίδων);
    Πως δλδ στο SSH σε ρωτάει αν κάνεις trust το destination με το συγκεκριμένο hash την πρώτη φορά που συνδέεσαι;
    Αυτό περίμενα να γίνεται αυτόματα με κάποιο certificate authority που είναι globaly trustable και available...

    Το HTTPS υποτίθεται ότι υπάρχει για να εξαφανίσει το man in the middle attack και αυτό που περιγράφεις είναι το definition του...
    Υδραυλικός, φωτογράφος, εραστής και ποιητής...
    http://www.flickr.com/photos/120411235@N06/

  11. #41
    Το avatar του μέλους sdikr
    sdikr Guest
    Παράθεση Αρχικό μήνυμα από Φανερός Πράκτωρ Εμφάνιση μηνυμάτων
    Δλδ δεν υπάρχει κάποια δικλείδα ασφαλείας ότι αυτός που λέει ότι είναι κάποιος είναι όντως αυτός (ακόμα και αν αλλάξει τελείως το περιεχόμενο των σελίδων);
    Πως δλδ στο SSH σε ρωτάει αν κάνεις trust το destination με το συγκεκριμένο hash την πρώτη φορά που συνδέεσαι;
    Αυτό περίμενα να γίνεται αυτόματα με κάποιο certificate authority που είναι globaly trustable και available...

    Το HTTPS υποτίθεται ότι υπάρχει για να εξαφανίσει το man in the middle attack και αυτό που περιγράφεις είναι το definition του...
    Αν στον Browser βάλεις σαν root certificate και trusted σαν certificate authority την συσκευή αυτή τότε ο browser Θεωρεί πως είναι όλα οκ.

  12. #42
    Εγγραφή
    08-05-2003
    Περιοχή
    Москва/Афины
    Μηνύματα
    2.949
    Downloads
    8
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    100МБит/сек
    ISP
    Cosmote
    Router
    Sercomm
    Παράθεση Αρχικό μήνυμα από lewton Εμφάνιση μηνυμάτων
    Ράδιο Αρβύλα τα καλύτερα τα έχει και στο Youtube.
    Το άλλο που είπες, χάρη σου κάνει που σου το κόβει (αν το κόβει) η Ρωσία.
    στα σοβαρά τώρα, ξέρω πολύ κόσμο που χρησιμοποιεί vpn για το linkedin μιας και είναι (το μόνο έως σήμερα) κομμένο στην Ρωσία

  13. #43
    Εγγραφή
    18-01-2009
    Ηλικία
    37
    Μηνύματα
    1.285
    Downloads
    1
    Uploads
    0
    Ταχύτητα
    1.020/16.075
    ISP
    Forthnet
    DSLAM
    Forthnet - ΑΘΗΝΑ
    Router
    Thompson TG585v7
    SNR / Attn
    6(dB) / 17,5(dB)
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από Φανερός Πράκτωρ Εμφάνιση μηνυμάτων
    Δλδ δεν υπάρχει κάποια δικλείδα ασφαλείας ότι αυτός που λέει ότι είναι κάποιος είναι όντως αυτός (ακόμα και αν αλλάξει τελείως το περιεχόμενο των σελίδων);
    Πως δλδ στο SSH σε ρωτάει αν κάνεις trust το destination με το συγκεκριμένο hash την πρώτη φορά που συνδέεσαι;
    Αυτό περίμενα να γίνεται αυτόματα με κάποιο certificate authority που είναι globaly trustable και available...

    Το HTTPS υποτίθεται ότι υπάρχει για να εξαφανίσει το man in the middle attack και αυτό που περιγράφεις είναι το definition του...
    Εσένα σπίτι σου δεν μπορεί να σου δώσει κανείς να κάνεις trust certificate που δεν είναι signed από κάποια CA αλλά σε περιβάλλον εταιρίας μπορώ να το κάνω.
    “This is hell, this is not Wall Street. We have a little thing called integrity here” Crowley King of Hell
    A computer without windows is like a cake without mustard!!!

  14. #44
    Εγγραφή
    03-03-2004
    Περιοχή
    Ankh-Morpork, Discworld
    Ηλικία
    39
    Μηνύματα
    22.552
    Downloads
    1
    Uploads
    0
    Άρθρα
    4
    Τύπος
    VDSL2
    Ταχύτητα
    100/40 Mbps
    ISP
    Deutsche Telekom
    Router
    FRITZ!Box 7560
    Παράθεση Αρχικό μήνυμα από XTCgr Εμφάνιση μηνυμάτων
    στα σοβαρά τώρα, ξέρω πολύ κόσμο που χρησιμοποιεί vpn για το linkedin μιας και είναι (το μόνο έως σήμερα) κομμένο στην Ρωσία
    Στα σοβαρά, εφόσον η Ρωσία αποφάσισε (κακώς προφανώς) να κόψει την πρόσβαση στο LinkedIn, δε μπορείς να παραπονιέσαι αν δε σε αφήνουν να μπαίνεις μέσω VPN στο LinkedIn.
    Τα παράπονά σου θα έπρεπε να στρέφονται στην απαγόρευση του LinkedIn.
    Και δε θα έπρεπε να μη σέβεσαι τους νόμους της χώρας όπου βρίσκεσαι, εκτός αν εν γνώσει σου το κάνεις ως πράξη αντίστασης (στην οποία περίπτωση να είσαι έτοιμος να πληρώσεις το τίμημα).

  15. #45
    Εγγραφή
    24-02-2012
    Μηνύματα
    514
    Downloads
    2
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    122880/122880
    ISP
    HCN
    Παράθεση Αρχικό μήνυμα από Φανερός Πράκτωρ Εμφάνιση μηνυμάτων
    Δλδ δεν υπάρχει κάποια δικλείδα ασφαλείας ότι αυτός που λέει ότι είναι κάποιος είναι όντως αυτός (ακόμα και αν αλλάξει τελείως το περιεχόμενο των σελίδων);
    Πως δλδ στο SSH σε ρωτάει αν κάνεις trust το destination με το συγκεκριμένο hash την πρώτη φορά που συνδέεσαι;
    Αυτό περίμενα να γίνεται αυτόματα με κάποιο certificate authority που είναι globaly trustable και available...

    Το HTTPS υποτίθεται ότι υπάρχει για να εξαφανίσει το man in the middle attack και αυτό που περιγράφεις είναι το definition του...
    Certificates μπορεί να εκδόσει ο οποιοσδήποτε, και εσύ ακόμη, πανεύκολα. Το ζήτημα είναι ότι αυτά τα certificates δε θα είναι trusted για κανένα client, είτε είναι browser, είτε οτιδήποτε άλλο. Φυσικά manually στο δικό σου client, πχ. τον εταιρικό browser, μπορείς να προσθέσεις τα δικά σου certificates, τα οποία ξέρεις ότι τα έχεις εκδόσει εσύ και τα εμπιστεύεσαι. Προκειμένου όμως οι clients να σε συμπεριλάβουν ως trusted CA, θα πρέπει να λειτουργείς και με τέτοιο τρόπο ακολουθώντας τους κανόνες. Η άλλη λύση είναι να παρέχεις δικούς σου clients ή από εταιρείες που συνεργάζονται μαζί σου, οι οποίοι θα είναι και οι μόνοι που θα σε έχουν περασμένο ως trusted CA και άρα οι μόνοι που θα λειτουργούν, πράγμα αδύνατο σε κλίμακα μιας χώρας, μιας και με HTTPS παίζουν όλες οι εφαρμογές εκεί έξω και δε μπορείς να αντικαταστήσεις κάθε κομμάτι λογισμικού με εγχώριο.

    Ωστόσο το HTTPS δεν έχει καμία άμεση σύνδεση με proxies/VPNs/tor. Αυτά μπορούν να λειτουργήσουν πάνω σε όποιο πρωτόκολλο γουστάρεις, είτε παρέχει το ίδιο κρυπτογράφιση, είτε όχι, και μάλιστα να μην έχει ιδέα αυτός που κάνει DPI ότι αυτά που εσύ στέλνεις μέσα από το X πρωτόκολλο είναι όντως πχ. HTTP requests. Αυτό γίνεται κρυπτογραφόντας το πραγματικό traffic σου, το οποίο άμα θέλεις το στέλνεις και μέσω HTTP με ότι headers γουστάρεις δίχως να έχει ιδιαίτερη σημασία, αρκεί να έχεις ρυθμίσει την άλλη πλευρά να διαχειρίζεται σωστά αυτό που της στέλνεις.

Σελ. 3 από 6 ΠρώτηΠρώτη 12345 ... ΤελευταίαΤελευταία

Παρόμοια Θέματα

  1. Μηνύματα: 13
    Τελευταίο Μήνυμα: 12-07-17, 01:41
  2. [Other] Router και vpn σε συνδιασμό με speedport entry ii.
    Από yoda73 στο φόρουμ ADSL & Broadband Hardware, routers και modems...
    Μηνύματα: 2
    Τελευταίο Μήνυμα: 10-07-17, 17:01
  3. Μηνύματα: 19
    Τελευταίο Μήνυμα: 04-05-17, 06:38
  4. Μηνύματα: 46
    Τελευταίο Μήνυμα: 05-08-16, 02:48

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας