SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Dekódolja az SSL-t a Wireshark segítségével

Ha valaha is megpróbálta a Wireshark alkalmazást az internetes forgalom figyelésére, valószínűleg problémába ütközött - sokan titkosítva. Valójában a legtöbb webhely SSL vagy TLS titkosítást használ a felhasználók biztonságának megőrzése érdekében. A mindenütt levő titkosítás jó dolog, ha az Amazon-on vásárol, de ez valódi fájdalom, amikor megpróbál egy hálózatot kezelni. Így derítem le az SSL-t a Wireshark segítségével.

Mik a Wireshark és az SSL??

A Wireshark egy a hálózati forgalom elemző; ez egy alapvető segédprogram, amelyet sok rendszergazda használ a hálózata problémáinak elhárítására. Pontosabban, rögzíti a kereteket - a csomagok építőköveit -, és lehetővé teszi azok szétválogatását és elemzését. A Wireshark használatával megnézheti a hálózatán áthaladó forgalmat, és boncolhatja azt, a kereteken belül megnézve a nyers adatokat.

Az SSL egy titkosítási protokoll, amely az OSI modell szállítási rétegén működik. Különböző titkosítási módszereket használ az adatok biztonságához, amikor a hálózatokon keresztül mozog. Megjegyzés: Ebben az útmutatóban leginkább az SSL-re hivatkozom, mint az SSL és a TLS, utódja SSC és TLS rövidített kifejezésére utalva..

Az SSL titkosítás megnehezíti a Wireshark használatát, mivel megakadályozza, hogy az adminisztrátorok megtekinthessék az egyes csomagok által hordozott adatokat. Ha a Wireshark helyesen van beállítva, akkor dekódolni tudja az SSL-t és visszaállíthatja a nyers adatok megtekintésének képességét.

Titkos előzetes kulcs használata az SSL és a TLS visszafejtéséhez

A javasolt módszer egy mester előtti titkos kulcs használata az SSL dekódolásához a Wiresharkban. A előzetes titkos kulcs az ügyfél generálja, és a kiszolgáló felhasználja a munkamenet forgalmat titkosító mesterkulcs levezetésére. Ez a kriptográfia jelenlegi szabványa, és általában Diffie-Hellman útján valósul meg.

Böngészőjével készíthető az előzetes titkos kulcs naplózása, amelyet a Wireshark használ az SSL és a TLS munkamenetek dekódolására..

Az SSL és a TLS titkos kulcs előzetes titkos kulcsával történő visszafejtésének lépései:

  • Állítsa be a környezeti változót
  • Indítsa el a böngészőt
  • A Wireshark konfigurálása
  • Rögzítse és dekódolja a munkamenetet

Ha végzett, akkor visszafejteni tudja az SSL és a TLS munkameneteket a Wiresharkban anélkül, hogy hozzáférnie kellene a célszerverhez.

Állítsa be a Windows környezeti változót

Ban ben ablakok, környezeti változót kell beállítania a Haladó rendszerbeállítások hasznosság. Ez a változó neve SSLKEYLOGFILE, tartalmaz egy utat, ahol az előzetes titkos kulcsokat tárolják.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Kezdje a jobb egérgombbal a A számítógépem, és kiválasztja Tulajdonságok a menüből. Az Rendszer menü nyílik meg.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Ezután kattintson a gombra Haladó rendszerbeállítások a bal oldalon lévő listán. Az Rendszer tulajdonságai ablak kinyílik.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

A Fejlett lapon kattintson a Környezeti változók gomb.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Kattints a Új… gomb alatt Felhasználói változók. A változót a következő alatt is létrehozhatja Rendszerváltozók ha szeretne naplózni az SSL kulcsokat a rendszer minden felhasználójának, de inkább a profilomra szorítkozom.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Alatt Változó név, írja be a következőt:

SSLKEYLOGFILE

Ban,-ben Változó érték mezőbe írja be a naplófájl elérési útját. Akkor is kattinthat a Fájl böngészése ... gombot, és a fájlválasztó segítségével adja meg az elérési utat.

Megjegyzés: ha ezt egy rendszerszintű környezeti változóként hozza létre, akkor megfelelő helyettesítő karaktereket kell használnia, vagy a fájlt minden felhasználó számára elérhető helyen kell tárolnia. Például választhat % USERPROFILE% \ App Data \ ssl-keys.log vagy C: \ ssl-keys.log.

Ha végzett, kattintson a gombra rendben és lépjen a következő lépésekre.

Állítson be egy Linux vagy Mac környezeti változót

Ban ben Linux és Mac, be kell állítania a SSLKEYLOGFILE környezeti változó segítségével nano. Ban ben Linux, a változó a következőben van tárolva: ~ / .Bashrc. A Mac, a változót létrehozza a fájlban  ~ / .MacOSX / környezet.

Nyisson meg egy terminált és használja ezt a parancsot Linux alatt:

nano ~ / .bashrc

Nyisd ki Indítóállás, kettyenés Egyéb, és indítson el egy terminált a futtassa ezt a parancsot a Mac OSX rendszerben:

nano ~ / .bash_profile

A következő lépések mindkét operációs rendszer esetében azonosak.

A fájl végén adja hozzá ezt a sort:

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

export SSLKEYLOGFILE = ~ / .ssl-key.log

nyomja meg Ctrl + X, Y a módosítások mentéséhez.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Zárja be a terminál ablakot, és nyisson meg egy újat a változó beállításához, majd írja be az alábbiakat annak megerősítéséhez:

echo $ SSLKEYLOGFILE

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

A parancs végrehajtása után a fenti képhez hasonló kimenetet kell látnia. /Users/comparitech/.ssl-key.log az SSL pre-master kulcsnaplóm teljes elérési útja. Megjegyzés: Érdemes feljegyezni a sajátját, amely más lesz, hogy belépjen a Wiresharkba.

Most, hogy a változó be van állítva, továbbléphet a következő lépésekre.

Indítsa el a böngészőt, és keresse meg a naplófájlt

Mielőtt elindítaná a Wireshark programot, és konfigurálná az SSL dekódolását egy előre elkészített kulcs használatával, indítsa el a böngészőt, és ellenőrizze, hogy a naplófájl használatban van.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

A napló kitöltése érdekében fontos, hogy látogasson el egy webhelyre, ahol engedélyezve van az SSL. A teszteléshez a saját Apache szervert használom, de minden webhely működni fog. Az elő-master megosztott kulcs használatának egyik legnagyobb előnye a nem kell hozzáférnie a szerverhez az SSL dekódolása.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Miután meglátogatott egy SSL-kompatibilis webhelyet, ellenőrizze, hogy vannak-e adatok a fájlban. Ban ben ablakok, Te tudod használni Jegyzettömb. Ban ben Linux vagy Mac, használja a következő parancsot:

macska ~ / .ssl-log.key

Bármely operációs rendszeren a fájljainak úgy kell kinéznie, mint az enyém. Miután megerősítette, hogy böngészője a kiválasztott helyre naplózza az előmező kulcsokat, konfigurálhatja a Wireshark szolgáltatást arra, hogy ezeket a kulcsokat használja az SSL visszafejtéséhez.

Konfigurálja a Wiresharkot az SSL dekódolásához

Amint a böngésző bejelentkezik az előzetes kulcsokkal, ideje konfigurálni a Wireshark-t, hogy ezeket a naplókat az SSL visszafejtéséhez használja.
SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Nyissa meg a Wireshark szoftvert, és kattintson az elemre szerkesztése, azután preferenciák. Az preferenciák párbeszédpanel nyílik meg, és a bal oldalon megjelenik az elemek listája. Kiterjed jegyzőkönyvek, görgessen le, majd kattintson a gombra SSL.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Az SSL protokoll opcióinak listájában egy bejegyzést fog látni (Elő) - Mester titkos naplófájl neve. Keresse meg az előző lépésben beállított naplófájlt, vagy csak illessze be az elérési utat.

Amikor befejezte a (Elő) - Mester titkos naplófájl neve, kettyenés rendben és térjen vissza Wiresharkba. Készen állsz a továbblépésre.

Rögzítse a munkamenetet, és dekódolja az SSL-t

Az utolsó lépés egy tesztmenet rögzítése és ellenőrzés, hogy a Wireshark sikeresen dekódolja az SSL-t.

  • Indítsa el a szűrés nélküli rögzítési munkamenetet, minimalizálja azt, és nyissa meg a böngészőt.
  • Látogasson el egy biztonságos webhelyre az adatok generálása érdekében, és opcionálisan állítsa be az 'ssl' képernyőszűrőjét a munkamenet zajának minimalizálása érdekében.
  • Kattintson bármilyen, titkosított adatokat tartalmazó keretre.

Az én esetemben egy olyan szöveget / HTML-kódolást tartalmazó HTTP-forgalmat választom, mivel szeretném látni a forráskódot, amelyet a webszerver küld a böngészőmhez. De minden olyan titkosított forgalom, amely előzetes titkos kulcsot használ, működni fog ezzel a módszerrel. Ez magában foglalja az összes adatot, amely a Periff Forward Encryption (PFE) felhasználását használja a Diffie-Hellman vagy hasonló kulcscsere révén.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Miután kiválasztott egy titkosított keretet, nézze meg a Csomag byte nézet, és különösen a nézet alatti fülek. Látnia kell a következő bejegyzést: Dekódolt SSL adatok, többek között.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Észre fogod venni, hogy az ülésem továbbra is tele van szeméttel, és HTML nem látható. Ennek oka az, hogy webszerverem (és a legtöbb Apache szerver) alapértelmezés szerint a GZIP tömörítést használja.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Ha rákattint a Tömörítetlen entitástest lapon, amely csak ebben az esetben jelenik meg, ha engedélyezve van az SSL visszafejtés, megnézheti a webhely forráskódját. Például itt van az alapértelmezett Apache oldal címeleme sima szövegben.

RSA-kulcs használata az SSL visszafejtéséhez

Lehet, hogy korábban észrevette, hogy a Wireshark rendelkezik egy mezővel, amely lehetővé teszi az RSA kulcsok feltöltését és az SSL dekódolását. Gyakorlatban, Az RSA kulcs visszafejtése elavult.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Az SSL RSA-kulccsal való visszafejtésének az az oka, hogy a Perfect Forward Encryption (PFE) elavulttá vált. A Diffie-Hellman-nal tárgyalt ülések nem használják közvetlenül az RSA-kulcsot; ehelyett előállítanak egy egyszeri kulcsot, amelyet csak a RAM-ban tárolnak, és amely a lemezen lévő kulcsmal van titkosítva.

Ha korábban RSA-kulcsot használt a forgalom dekódolásához, és nem működött, akkor az SSL naplózás engedélyezésével meggyőződhet arról, hogy a célgép Diffie-Hellman cseréket használ..

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

A naplózás bekapcsolásához kattintson a gombra szerkesztése az eszköztár menüből, és válassza a lehetőséget preferenciák. Bontsa ki a jegyzőkönyvek bal oldali menüpont, és görgessen lefelé SSL. Innen rákattinthat a Böngészés gombot, és állítsa be az SSL-napló helyét.

A hely meghatározása után az összes SSL-interakció bekerül a megadott fájlba.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Rögzítsen egy munkamenetet az SSL-kompatibilis gazdagépével, majd ellenőrizze a naplókat. Pontosabban görgessen addig, amíg meg nem találja a keretet, amelyen a TLS kézfogás tárgyalt. Valószínű, hogy a titkosító karakterláncban látni fog egy figyelmeztető DHE bejegyzést.

Ez azt jelenti, hogy a Diffie-Hellman kulcscsere engedélyezve van. Az én esetemben az Apache kifejezetten a Diffie-Hellman-t használja ellipszis-görbe kulcsokkal, amelyet a karakterlánc jelöl ECDHE.

Görgessen egy kicsit tovább, és valószínűleg látni fogja, hogy a fő titok nem található.

SSL visszafejtési útmutató: Hogyan lehet visszafejteni az SSL-t a Wireshark segítségével

Ha a naplók így néznek ki, és nem tudja visszafejteni a forgalmat RSA-kulcs segítségével, akkor nincs más választása, mint átváltani a fenti előzetes titkos módszerre..

Mivel a PFE általános gyakorlattá válik, mivel a TLSv1.3 valószínűleg kényszeríti a kérdést, az egyszerű RSA kulcs visszafejtés elavult, ezért nem szabad használni.

A Wireshark megkönnyíti az SSL forgalom visszafejtését

Nagyon szeretem, ahogy a Wireshark kezeli az SSL dekódolást. A kriptográfia bonyolult, és a szabványok folyamatosan változnak, hogy biztonságosabbá váljanak. Miután a Wireshark és a környezet megfelelően beállítva, csak annyit kell tennie, hogy megváltoztatja a füleket a dekódolt adatok megtekintéséhez. Ennél semmi egyszerűbb.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

78 − = 71

Adblock
detector