Comments on: SSL VPN sistemlerde MITM tehlikesi http://blog.lifeoverip.net/2008/07/10/ssl-vpn-sistemlerde-mitm-tehlikesi/ Life (Over) IP, Fri, 11 Jul 2008 19:50:36 +0000 hourly 1 By: paz http://blog.lifeoverip.net/2008/07/10/ssl-vpn-sistemlerde-mitm-tehlikesi/comment-page-1/#comment-290 Fri, 11 Jul 2008 19:50:36 +0000 http://blog.lifeoverip.net/?p=575#comment-290 encypt trafiği ettercap decrpt etmek için bir şekilde mevcut session ı tekrardan başlatmak durumda kalıcağını düşünüyorum ,L2 seviyesinde sniff yapılsa bile, buda session uın tekrardan kurulması anlamına geliyor, kullanıcıların azıcık uyanık olması gerekiyor) veya mutual olarak SSL destekleyen bir SSL VPN çözümü kullanılması gerekiyor..

]]> By: Huzeyfe ONAL http://blog.lifeoverip.net/2008/07/10/ssl-vpn-sistemlerde-mitm-tehlikesi/comment-page-1/#comment-289 Fri, 11 Jul 2008 16:30:39 +0000 http://blog.lifeoverip.net/?p=575#comment-289 Cp anlayamaz zira CP tarafi istemci sertifika kontrolu yapmiyor. Yapsa zaten(MSN’nin login asamasi gibi) bu tip problemler yasanmaz.
Ortadan girmek akan ssl trafiginde zor degil, hatta diger protokoller kadar kolay. Trafigi bir sekilde L2 seviyesinde uzerinizden gecirebilirseniz her turlu islemi yaparsiniz.

Ettercap’in kodlarina ya da plugin yapisina bakacak olursaniz demek istedigimi daha net anlarsiniz.

]]> By: paz http://blog.lifeoverip.net/2008/07/10/ssl-vpn-sistemlerde-mitm-tehlikesi/comment-page-1/#comment-288 Fri, 11 Jul 2008 14:03:57 +0000 http://blog.lifeoverip.net/?p=575#comment-288 Ettercap olursa sanırım ettercap CP tarafı ile SSL handshake yapıyor oluyor, Bunu CP anlayabilir belki.. bu durumda ortadan girmek , akan SSL trafiğinde zor gibi connection başlangıcı sırasında araya girmek gerekiyor proxy veya diğer şekilde..

Checkpoint in SSLVPN ‘inde 1 sene önce bir XSRF açığı çıkmıştı, diğer vendorlarda bu şekilde olabilir gibi geliyor. Güzel çalışma ..

]]> By: Huzeyfe ONAL http://blog.lifeoverip.net/2008/07/10/ssl-vpn-sistemlerde-mitm-tehlikesi/comment-page-1/#comment-287 Fri, 11 Jul 2008 13:42:27 +0000 http://blog.lifeoverip.net/?p=575#comment-287 Evet ekran goruntusunu almak icin lokal makinemi kullandim fakat buna gerek yok. Proxy kullanan birinin trafigini uzerinize aldiginizda bu trafigi istediginiz gibi yonlendirebilirsiniz.

Daha dogrusu soyle soyleyelim, trafigi uzerinizden gecirebiliyorsaniz iptables(Linux) vs ile istediginiz porta yonlendirip(bu portta Burp vs calisiyor olabilir) bilgileri alabilirsiniz.

Aslinda yonlendirme yapmaya gerek yok. Ettercap’a bir ssl filtresi yaparak parolayi alabilir ve ayni anda kullanicinin baglantisini sonlandirabilirsiniz.

Zaten sorunun tum ssl uygulamalar icin gecerli oldugunu belirtmistim ama SSL VPNler icin biraz daha tehlikeli.

]]> By: paz http://blog.lifeoverip.net/2008/07/10/ssl-vpn-sistemlerde-mitm-tehlikesi/comment-page-1/#comment-286 Fri, 11 Jul 2008 13:37:10 +0000 http://blog.lifeoverip.net/?p=575#comment-286 Anladığım kadarıyla, daha doğrusu ekrandan gördüğüm kadarıyla kullanıcı browserına proxy olarak kendi proxy ni girmissin , doğal olarak kullandığın proxy (burp sanırım)kendi SSL sertifikasını kullanıcı karşısına çıkarıcaktır.
Yalnız bunu MITM olarak sölemek zor , çünkü SSL VPN yapıcak kullanıcın makinasında proxy tanımı yapıyorsun yani RaW olarak(Sniff) bunu yapsan ok , fakat bu şekilde her SSL kullanan uygulama için aynı risk mevcut..

Şöle , örnek olarak SSL li bir uygulamada aynı yöntem ile kullanıcı browser ayarlarında kendi proxyni tanımlarsan yine şifresini falan görürsün :))

]]> By: zapatov http://blog.lifeoverip.net/2008/07/10/ssl-vpn-sistemlerde-mitm-tehlikesi/comment-page-1/#comment-285 Fri, 11 Jul 2008 09:26:34 +0000 http://blog.lifeoverip.net/?p=575#comment-285 hocam yazılarını çok beğeniyorum. teşekkürler

]]>