IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

HTTPS, Proxy web, et tracabilité


Sujet :

Sécurité

  1. #1
    Futur Membre du Club
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    8
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2006
    Messages : 8
    Points : 6
    Points
    6
    Par défaut HTTPS, Proxy web, et tracabilité
    Bonjour,

    Je me demandais comment se passait la sécurisation lors d'une requête HTTPS à travers un proxy ?

    Quelles informations peut logger le proxy ?

    Par exemple, j'appèle le page :
    https://www.exemple.com/dossier/page.html

    Le proxy sait forcément que je veux consulter le site www.exemple.com je suppose puisqu'il met le navigateur du client en relation avec lui.

    Mais sait-il que je consulte la page /dossier/page.html ?

    Quelles informations logue un proxy standard (type squid) lorsqu'une requête HTTPS est demandée ?

  2. #2
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Novembre 2006
    Messages
    46
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2006
    Messages : 46
    Points : 31
    Points
    31
    Par défaut
    Alors quelles informations sont loguées dans un proxy standard je ne sais pas, cela doit dépendre de la façon dont il est configuré.

    Par contre il sait forcément quelle page tu consulte même en HTTPS, il faut bien qu'il contacte le serveur (donc il connaît le nom de domaine), mais il faut aussi qu'il sache quelle ressource tu demande au serveur (donc la page dans ton exemple).

    Tu peux vérifier quelles infos circulent en clair avec un moniteur réseau (je crois qu'il y en a un qui s'appelle wireshark)

  3. #3
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Mai 2007
    Messages
    11 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Mai 2007
    Messages : 11 517
    Points : 50 367
    Points
    50 367
    Par défaut
    En HTTPS, le proxy ne connais que la première page demandée (et encore, il se peut qu'il ne connaisse que le site demandé). Ensuite, une fois que la connexion HTTPS est établie, tout ce qui se passe dedans est totalement caché au proxy, il ne peut lire le contenu.

    Si le proxy ouvre le tunnel HTTPS pour le lire (il en a les moyens), tu le sauras immédiatement car tu auras un problème avec le certificat présenté et ton navigateur va râler.

    Après, si le site distant est mal foutu, c'est à dire que la page HTTPS présente à la fois des objets HTTP et HTTPS, le proxy pourra connaitre/lire tous les objets HTTP
    Raymond
    Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi

    Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
    e-verbe Un logiciel de conjugaison des verbes de la langue française.

    Ma page personnelle sur DVP
    .

  4. #4
    Expert éminent
    Avatar de Michaël
    Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Juillet 2003
    Messages
    3 497
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Juillet 2003
    Messages : 3 497
    Points : 8 237
    Points
    8 237
    Par défaut
    Citation Envoyé par ram-0000 Voir le message
    Si le proxy ouvre le tunnel HTTPS pour le lire (il en a les moyens), tu le sauras immédiatement car tu auras un problème avec le certificat présenté et ton navigateur va râler.
    pas forcément
    Le proxy peut être mandaté pour https, il va donc prendre la place du client. Ensuite, en générant à la volée un certificat avec un nom correspondant au site visité, le client n'y verra que du feu (à condition que l'autorité racine du proxy soit connue chez les clients).

    Evidemment, faire un man-in-the-middle de cette manière doit être signalée aux utilisateurs et surtout pas pour tous les sites (exceptions à créer pour les banques, etc).

  5. #5
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Mai 2007
    Messages
    11 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Mai 2007
    Messages : 11 517
    Points : 50 367
    Points
    50 367
    Par défaut
    Citation Envoyé par Michaël Voir le message
    pas forcément
    Je ne suis pas d'accord avec toi

    Si le proxy fait un man in the middle (car c'est bien cela qu'il fait pour ouvrir le tunnel), cela veut dire qu'il doit présenter un certificat serveur (au nom du site www visité) au client.

    Pour présenter ce certificat, il faut obligatoirement connaitre la clé privée associée au certificat présenté (sinon SSL ne marchera pas).

    Donc soit le proxy possède les clés privées de tous les certificats (ce dont je doute), soit il présente un certificat "maison" avec une clé privée mais alors le client se rendra compte immédiatement de la supercherie (le navigateur va râler en disant que le certificat présenté n'est pas celui du site visité).

    Si tu vas sur un site HTTPS (https://www.verisign.com) au travers du proxy et que ce proxy te présente un autre certificat (https://www.monentreprise.com) signé par une authorité de confiance que tu connais (monentreprise.com) et qui est dans ta base des AC reconnues, cela ne va pas marcher.

    Après, si le navigateur du client est configuré pour accepter n'importe quoi, c'est une autre histoire (et même, je ne suis pas sûr que l'on puisse bypasser ce contrôle sur les différents navigateurs).
    Raymond
    Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi

    Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
    e-verbe Un logiciel de conjugaison des verbes de la langue française.

    Ma page personnelle sur DVP
    .

  6. #6
    Membre confirmé
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    466
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2007
    Messages : 466
    Points : 632
    Points
    632
    Par défaut
    Bonjour,

    Je vais apporter mon grain de sel :p

    La signature du certificat sera invalide, le souci c'est que qui lis les alertes certificat ? combien accepte les certificats sans les lires c'est ca le soucis :p

    Ton navigateur te leve une alerte en disant attention nouveau certif mais personne lis ca :s

    Bien cordialement

    PS: si la signature du certificat d'origine est en md5 ca se bypass facilement

  7. #7
    Expert éminent
    Avatar de Michaël
    Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Juillet 2003
    Messages
    3 497
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Juillet 2003
    Messages : 3 497
    Points : 8 237
    Points
    8 237
    Par défaut
    J'ai dû mal m'expliquer Je n'ai pas dit que le proxy présentait un certificat www.monentreprise.com

    Je vais sur https://www.mabanque.fr. Le proxy entame une communication avec www.mabanque.fr et se fait passer pour moi : jusque là, aucune erreur https (en considérant que www.mabanque.fr présente un certif valide). Le proxy va générer automatiquement un certificat ayant les mêmes propriétés de noms (CommonName et SAN), donc www.mabanque.fr et me le présentera. Ce certificat est signé par l'autorité de certification de mon entreprise. Cette autorité est reconnue de confiance dans mon entreprise (via gpo pour que tous mes sites internes fonctionnent sans erreur ssl) donc le certificat généré à la volée sera reconnu comme valide : même nom que le site visité, date valide, signé par une autorité de confiance. C'est pour cela que les postes de l'entreprise n'auront pas d'erreur. Evidemment, si la personne va voir qui a signé le certificat, il verra que c'est le proxy. Pour ceux qui sont intéressés par la mise en place d'un tel proxy, regardez du côté de ftmg 2010 Il faudrait voir si squid propose cela

    Comme je l'ai déjà dit, il faut bien évidemment prévenir les gens que l'on scanne https et placer un certain nombres d'exceptions pour les sites connus et réputés de confiance (banques par exemple). Bref, modifier la politique de scan des accès web.

  8. #8
    Futur Membre du Club
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    8
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2006
    Messages : 8
    Points : 6
    Points
    6
    Par défaut
    OK, Merci beaucoup pour vos réponses !

    Donc en fait, le proxy connait la première page visitée... Je pensais que le navigateur commençait par ouvrir un tunel SSL avec le site distant et que seulement ensuite il envoyait sa requête GET là dedans.

    Pour ce qui est du "man in the middle" par le proxy, merci pour avoir soulevé ce détail aussi. C'est intéréssant de savoir que si un proxy arrive à pénétrer dans le tunnel, on est automatiquement averti coté client.

  9. #9
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Mai 2007
    Messages
    11 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Mai 2007
    Messages : 11 517
    Points : 50 367
    Points
    50 367
    Par défaut
    Citation Envoyé par easyzik Voir le message
    Donc en fait, le proxy connait la première page visitée... Je pensais que le navigateur commençait par ouvrir un tunel SSL avec le site distant et que seulement ensuite il envoyait sa requête GET là dedans.
    Je ne suis même pas sûr, il faudrait regarder avec un analyseur de protocole ce qui passe.
    • Soit la 1ere requete est envoyé au proxy et c'est le proxy qui déduit le site, ouvre la tunnel SSL et envoie la page dans le tunnel
    • Soit le site est déduit par le navigateur et envoyé au proxy et ensuite la page demandée est envoyé au proxy dans le tunnel SSL
    Raymond
    Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi

    Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
    e-verbe Un logiciel de conjugaison des verbes de la langue française.

    Ma page personnelle sur DVP
    .

  10. #10
    Futur Membre du Club
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    8
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2006
    Messages : 8
    Points : 6
    Points
    6
    Par défaut
    Ce qui me semble étrange dans le fait que le proxy pourrait connaitre la "première page" c'est que une fois la connexion établie, cette dernière ne va pas être permanente.
    Je ne sais pas combien de temps cela peut durer en général, mais au bout d'une certaine période d'inactivité, on va forcément se faire déconnecter.
    Cela signifierait qu'au prochain clic sur la page, il faudra de nouveau établir une connexion sécurisée et l'URL serait alors de nouveau connue ? Pas super fiable pour un protocole sécurisé...

    Le meilleurs moyen et en effet de faire le test et regarder ce qui se passe mais je n'ai pas moyen de le faire de mon coté, je n'ai pas les droits root

    Si certains veulent s'amuser je suis preneur de leur conclusion...

  11. #11
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Mai 2007
    Messages
    11 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Mai 2007
    Messages : 11 517
    Points : 50 367
    Points
    50 367
    Par défaut
    Je pense de plus en plus que le proxy ne connait pas la 1ere page. En effet, cette 1ere page peut contenir en paramètres l'authentification ou d'autres choses un peu sensibles.

    Je pense que c'est l'option 2 qui est bonne
    • Soit le site est déduit par le navigateur et envoyé au proxy et ensuite la page demandée est envoyé au proxy dans le tunnel SSL


    Mais je suis aussi preneur d'une vraie preuve.
    Raymond
    Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi

    Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
    e-verbe Un logiciel de conjugaison des verbes de la langue française.

    Ma page personnelle sur DVP
    .

  12. #12
    Membre confirmé
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    466
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2007
    Messages : 466
    Points : 632
    Points
    632
    Par défaut
    Bonjour,

    Bon j'essayerai de faire des test demain :p

  13. #13
    Futur Membre du Club
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    8
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2006
    Messages : 8
    Points : 6
    Points
    6
    Par défaut
    Je me permets de relancer pour savoir ce qu'avaient donnés tes tests, spawntux ?

    Et si d'autres ont pu ou peuvent tester, je suis preneur de leurs résultats aussi...

Discussions similaires

  1. Réponses: 0
    Dernier message: 07/12/2012, 19h47
  2. Réponses: 0
    Dernier message: 31/12/2008, 13h45
  3. Adaptation d'un script proxy web (Glype)
    Par colin.sauvanet dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 1
    Dernier message: 29/05/2008, 16h24
  4. Réponses: 26
    Dernier message: 19/06/2007, 11h02
  5. [Débutant][HTTPS][Proxy] Récupération HTML
    Par jgavard dans le forum Entrée/Sortie
    Réponses: 2
    Dernier message: 06/11/2006, 12h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo