Logger en proxy https trafikk?

[Prosit]

La oss si at arbeidsplassen/skolen/nettcafen kjører HTTP og HTTPS trafikk gjennom en egen lokal proxy, for å logge alt av trafikk for sikkerhetshensyn eller lignende, eller for å avlaste nettlinjen litt.

 

Hvordan er det da om man besøker nettbanken sin? Dette foregår jo over HTTPS, men alt som går fra nettleser og banken går jo via proxy. Kommer da dette kryptert inn i proxyloggen? Tenkte jeg skulle lufte dette litt for å få et konkret svar. Om dette er tilfellet, vil det vel være enkelt å komme utenom proxylogging og blokkerte nettsteder ved å surfe gjennom en proxy som blockfiltering.com, som støtter at kommunikasjonen foregår over HTTPS?

 

Riktignok kommer vel da blockfiltering.com opp i loggen, men kun det alene,

og en hel rekke GET's i loggen til den siden? Takker om noen kan svare ærlig

og sikkert på dette.

[Zenit]

Ja, proxyen kun formidler og setter opp forbindelsen mellom deg og motparten. Siden trafikken er kryptert blir den ikke mellomlagret heller, da ssl er en helt annen protokoll enn http. Meningen er å ikke mellomlagre slik trafikk for ellers forsvinner halve vitsen med https og man kunne lett utført "mitm - man in the middle" angrep.

 

En typisk http-proxy vil altså kun formidle din https-oppkobling mellom deg og motpart. I loggen vil det ikke stå noe mer enn hvem du koblet deg opp mot, altså enden av ssl-tunnelen. Så det er riktig som du sier at https kan være en måte å omgå en proxy på, og det blir da også gjort ved å sette opp ssl-tunneller. Men okei, det er lite å logge likevel kan jo masse trafikk mot samme site hele tiden være avslørende i seg selv.

 

Når det er sagt påstår noen leverandører at de kan filtrere kryptert trafikk. F.eks. Blue Coat har noen dokumenter om det på sin side (krever registrering): http://www.bluecoat.com/resources/whitepapers , http://www.bluecoat.com/doc/539 Men så vidt jeg kan er det her snakk om to forskjellige tunneller, proxyen setter opp en tunnell mellom seg og siten du prøver og nå, så én tunnell mellom deg og proxyen. Det burde være mulig å se det på sertifikatet at trafikken går mot proxyen.

 

Forresten, er dette en skoleoppgave?

[Stigma]

Loggen i en proxy vil bare logge hvilke sider du kontakter, evt. hvilke filer som overføres også dersom det er detaljert logging. Den vil ikke logge f.eks. passordet på nettbanken din, bare at du har besøkt den.

 

Det sagt så er det jo selvfølgelig teknisk mulig å avlytte en maskin dersom all trafikken går gjennom en proxy, men det er ikke slik det fungerer i praksis ved mindre IT-annsvarlig bevisst prøver å svindle folk og bruker annen software i tillegg til å avlytte. Dessuten vil all den viktige trafikken være kryptert mellom nettbanken og din lokale maskin, slik at selv om noen bevisst hadde avlyttet trafikken så hadde det ikke akkurat vært enkelt å knekke krypteringen og ta kontroll over kontoen.

 

Skal du svindle folk så er det jo tross alt mye enklere å få dem til å gi fra passordene sine frivillig via mail, det har jo phiserene funnet ut for lenge siden. Det er nok av dumme mennesker, så hvorfor gidde å bruke tid på vanskeligere mål?

 

-Stigma

Endret 9. november 2007 av Stigma

[Prosit]

Takk for svar begge to! Stigma; synes det kommer fram av denne siden (http://www.squid-cache.org/Versions/v3/3.0/cfgman/logformat.html) fra Squid at det er mulig å logge passord ved å lagre GET og POST variablene i loggen? Mulig jeg leste feil, litt stresset for øyeblikket.

 

Zenit; dette er ingen skoleoppgave, men er av typen som knuser vekkeruret for å finne ut hvordan det fungerer. Så måtte bare få bekreftet mine tanker omkring dette, da jeg driver litt med programmering, og må vite dette av sikkerhetsårsaker.

 

Takk så mye for svar forresten!