- •Часть 1. Сертификаты, которым доверяет ваш браузер
- •Часть 2. Выявление атаки через посредника
- •Общие сведения и сценарий
- •Необходимые ресурсы
- •Сертификаты, которым доверяет ваш браузер
- •Отобразите корневые сертификаты в Chrome.
- •Отображение сертификатов в хранилище цс в Firefox.
- •Выявление атаки через посредника
- •Сбор правильных и неизмененных отпечатков сертификата.
- •Получите отпечаток сертификата, используемый вм рабочей станции CyberOps.
- •Сравните отпечатки
- •Задачи (необязательно)
- •Вопросы для повторения
Сравните отпечатки
Используйте таблицу 1 для сравнения отпечатка сертификата, полученного на HTTPS-сайте Cisco, с отпечатком, полученным внутри своей сети. Напоминаем, что отпечатки могут меняться со временем.
Отпечатки совпадают?
Ответы будут отличаться в зависимости от используемой сети. Если они используют виртуальную машину в соответствии с инструкциями, ответ - да; скорее всего, в хранилище виртуальной машины не установлен ложный ЦС.
Что это означает?
Ответы будут отличаться в зависимости от используемой сети. Если отпечатки совпадают, скорее всего, не было подделки сертификата и, следовательно, прокси-сервер HTTPS не работает; трафик, передаваемый между локальным компьютером и сайтом cisco.com, зашифрован сквозным шифрованием. Несовпадающие отпечатки пальцев означают, что кто-то еще перехватил соединение, отправил свой собственный сертификат на хост-машину и установил новое соединение SSL / TLS с cisco.com, разместив себя посередине. Поскольку новый сертификат был отправлен на локальный компьютер, отпечаток этого нового сертификата отличается от сертификата, используемого cisco.com. Трафик между локальной машиной и сайтом cisco.com может быть прочитан прокси-сервером HTTPS.
Обеспечивает ли этот метод полную надежность?
Нет. Несовпадающие отпечатки пальцев служат для перехвата трафика SSL / TLS, но с соответствующими отпечатками следует обращаться осторожно. Следует учитывать несколько исключений: 1. На виртуальной машине CyberOps Workstation, скорее всего, НЕ будут установлены корневые сертификаты ЦС, принадлежащие предприятию. В этом сценарии трафик виртуальной машины может не быть перехвачен, в то время как другие машины в локальной сети это делают. 2. Предприятие может использовать динамические правила для перехвата только выбранных сайтов.
Задачи (необязательно)
Проверьте отпечатки для сайтов, показанных в таблице 1, но воспользуйтесь графическим интерфейсом своего веб-обозревателя.
Советы. Найдите способ показать отпечаток в графическом интерфейсе браузера. Напоминание. В этом задании полезно использовать Google, а в Windows отпечаток (fingerprint) часто именуется thumbprint.
Проверьте все отпечатки, перечисленные в таблице 1, с помощью OpenSSL (часть 2, шаги 1–3).
Вопросы для повторения
Какие условия необходимы для работы прокси-сервера HTTPS?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Cisco и/или ее
дочерние компании. Все права защищены.
Конфиденциальная информация
корпорации Cisco Стр.