Miesięcznik informatyków i menedżerów IT sektora publicznego

Kamil Folga

Inspekcja szyfrowanych połączeń do WWW

Szyfrowanie zwiększa poziom bezpieczeństwa. Jednak zawartość przesyłana protokołem HTTPS często wymaga deszyfracji, np. na potrzeby analizy antywirusowej czy antyspamowej. W celu analizy połączeń szyfrowanych wymagane jest użycie specjalizowanego proxy.

Mitmproxy to interaktywne proxy ze wsparciem TLS/SSL, dedykowane testerom bezpieczeństwa oraz programistom. Nawet jeżeli nie zajmujemy się bezpieczeństwem, warto sprawdzić, jak działa to rozwiązanie. Narzędzie umożliwia pełną analizę ruchu HTTPS. Dzięki niemu możemy lepiej zrozumieć, w jaki sposób ruch TLS/SSL jest deszyfrowany i szyfrowany. Tego typu operację często przeprowadzają popularne urządzenia UTM (unified threat management) w celu realizacji skanowania antywirusowego czy antyspamowego.

Atak w dobrej sprawie

Mitmproxy realizuje atak MITM (Man-in-the-Middle), który pozwala wnikać w ruch przesyłany pomiędzy klientem a serwerem. Atakujący staje się pośrednikiem w komunikacji pomiędzy dwiema stronami, co pozwala mu ingerować i modyfikować komunikację w trakcie jej trwania. Wykrycie takiego ataku jest dość trudne. Atakujący może więc podsłuchiwać lub modyfikować ruch, co pozwala przechwytywać uprawnienia lub ważne informacje.

Większa obecność protokołu HTTPS oraz rozbudowane ostrzeżenia w przeglądarkach pozwalają zredukować liczbę potencjalnych ataków MITM. TLS/SSL to najlepsza ochrona, ale może do tego celu posłużyć również protokół SSH lub Google QUIC. Ataki MITM najczęściej zdarzają się w sieciach, których nie znamy, czyli w hotelach, restauracjach, galeriach handlowych. Aby im zapobiec, należy zminimalizować liczbę sytuacji, w których używane jest publiczne Wi-Fi, a także używać VPN w celu zabezpieczenia połączenia.

Mitmproxy pozwala wnikać w zapytania i odpowiedzi HTTP/HTTPS, a następnie modyfikować komunikację w trakcie jej trwania. Istnieje również możliwość zapisywania komunikacji HTTP/HTTPS. Instalacja mitmproxy jest możliwa na systemach macOS, Windows oraz Linux. W przypadku systemu Windows należy użyć instalatora dostępnego na stronie mitmproxy.org. W Windowsie wprawdzie nie jest wspierana konsola mitmproxy, ale można użyć interfejsu Web oraz narzędzia mitmdump. W przypadku systemu Linux możliwa jest instalacja ze źródeł lub gotowych pakietów dla różnych dystrybucji. Przygotowano również obraz mitmproxy do pobrania z Docker Hub. Istnieje też możliwość zainstalowania pakietów przez instalator pip3.

Jak działa mitmproxy

Standardowo mitmproxy działa według określonych dla proxy schematów. W przypadku protokołu nieszyfrowanego HTTP użytkownik wysyła zapytanie, które trafia do proxy. Mitmproxy przechwytuje to zapytanie, łączy się do serwera nadrzędnego i po uzyskaniu odpowiedzi przekazuje informacje do klienta. Sprawa komplikuje się w przypadku protokołu szyfrowanego HTTPS. Klient wysyła wówczas zapytanie na port 443, w przeciwieństwie do portu 80 dla HTTP. Przy standardowym proxy takie połączenie jest przekazywane bez zmian i pozostaje zupełnie niewidoczne dla serwera pośredniczącego.

Mitmproxy staje się serwerem HTTPS dla użytkownika, a jednocześnie klientem dla serwera, z którym połączenie zamierza zrealizować użytkownik. W ten sposób proxy pośredniczy w przekazywaniu komunikacji HTTPS, szyfrując i deszyfrując połączenia pomiędzy użytkownikiem a serwerem. Jeżeli nie wykonamy dodatkowej konfiguracji, to działanie zakończy się informacją, że certyfikat serwera nie jest prawidłowy w przeglądarce użytkownika. Dzieje się tak dlatego, że w tej sytuacji to mitmproxy będzie realizował zadania serwera HTTPS, z którym zamierzał połączyć się użytkownik. Mitmproxy posiada jednak własne CA (certificate authority), więc możemy wygenerować przy jego użyciu certyfikaty i stać się zaufanym CA dla klienta. By to osiągnąć, należy na komputerze użytkownika dodać do zaufanych urzędów certyfikacji CA z mitmproxy.

[...]

Autor zawodowo zajmuje się informatyką ze specjalizacją w zakresie bezpieczeństwa sieci. Publikuje w magazynach komputerowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej