Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Dešifrirajte SSL pomoću Wiresharka


Ako ste ikada pokušali koristiti Wireshark za nadzor web prometa, vjerovatno ste naišli na problem - veliki dio je šifriran. U stvari, većina web-mjesta koristi SSL ili TLS enkripciju kako bi zaštitili svoje korisnike. Sveprisutna enkripcija dobra je stvar ako kupujete na Amazonu, ali pravi je bol pri pokušaju administriranja mreže. Evo kako dešifriram SSL pomoću Wiresharka.

Što su Wireshark i SSL?

Wireshark je a analizator mrežnog prometa; to je osnovni uslužni program koji mnogi administratori koriste za rješavanje problema na svojim mrežama. Konkretno, on bilježi okvire - građevinske blokove paketa - i omogućuje vam da ih sortirate i analizirate. Pomoću Wireshark-a možete pogledati promet koji teče vašom mrežom i rastaviti ga, zaviriti u okvire na neobrađene podatke.

SSL je protokol šifriranja koji djeluje na transportnom sloju OSI modela. Koristi razne metode šifriranja za zaštitu podataka tijekom kretanja po mrežama. Napomena: U ovom ćemo se vodiču uglavnom odnositi na SSL kao pretpostavljeni termin za SSL i TLS, njegov nasljednik..

SSL šifriranje čini korištenje Wiresharka izazovnijim jer sprječava administratore da pregledaju podatke koje svaki paket nosi. Kad se Wireshark pravilno postavi, on može dešifrirati SSL i vratiti vašu sposobnost pregledavanja neobrađenih podataka.

Pomoću tajnog ključa prije master-a za dešifriranje SSL-a i TLS-a

Upotreba tajnog ključa prije master-a za dešifriranje SSL-a u Wiresharku je preporučena metoda. tajni ključ generira klijent i poslužitelj ga koristi za dobivanje glavnog ključa koji šifrira sesijski promet. To je trenutni standard u kriptografiji i obično se provodi kroz Diffie-Hellman.

Vaš preglednik može omogućiti evidentiranje tajni ključ prije master koji Wireshark koristi za dešifriranje SSL i TLS sesija.

Evo koraka za dešifriranje SSL-a i TLS-a s tajnim ključem prije master-a:

  • Postavite varijablu okruženja
  • Pokrenite svoj preglednik
  • Konfigurirajte Wireshark
  • Snimite i dešifrirajte sesiju

Kada završite, moći ćete dešifrirati SSL i TLS sesije u Wiresharku bez potrebe za pristupom ciljnom poslužitelju..

Postavljanje varijable Windows okruženja

U Windows, morat ćete postaviti varijablu okruženja pomoću Napredne postavke sistema korisnost. Ova varijabla, imenovana SSLKEYLOGFILE, sadrži put na kojem su pohranjeni tajni ključevi pred-master.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Započnite desnim klikom na Moje računalo, i odabir Svojstva s izbornika. Sustav otvorit će se izbornik.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Zatim kliknite Napredne postavke sistema na popisu s lijeve strane. Svojstva sustava otvorit će se prozor.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Na Napredna kliknite karticu Okolišne varijable dugme.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Kliknite gumb Novi… gumb ispod Korisničke varijable. Također možete stvoriti varijablu ispod Varijable sustava ako želite zapisati SSL ključeve za svakog korisnika u sustavu, ali radije bih ga držao ograničenim na svoj profil.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Pod, ispod Naziv varijable, upišite sljedeće:

SSLKEYLOGFILE

U Promjenjiva vrijednost upišite put do datoteke dnevnika. Također možete kliknuti ikonu Pregledaj datoteku ... gumb i odredite put pomoću alata za odabir datoteka.

Kao napomenu, ako ovo stvarate kao varijablu okruženja u cijelom sustavu, morat ćete upotrijebiti odgovarajuće zamjenske znakove ili pohraniti datoteku na mjesto dostupno svim korisnicima. Na primjer, možete odabrati % USERPROFILE% \ Podaci podataka \ ssl-keys.log ili C: \ SSL-keys.log.

Nakon što završite, kliknite u redu i prijeđite na sljedeći skup koraka.

Postavljanje varijable okoline za Linux ili Mac

U Linux i ortak, morat ćete postaviti SSLKEYLOGFILE koristeći varijablu okoline nano. U Linux, varijabla je pohranjena u ~ / .Bashrc. Na ortak, napravit ćete varijablu u datoteci  ~ / .MacOSX / okolina.

Otvorite terminal i koristite ovu naredbu u Linuxu:

nano ~ / .bashrc

Otvoren lansirna, klik drugo, i pokrenuti terminal za pokrenite ovu naredbu u Mac OSX-u:

nano ~ / .bash_profile

Sljedeći su koraci isti za oba operativna sustava.

Na kraju datoteke dodajte ovaj redak:

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

izvoz SSLKEYLOGFILE = ~ / .ssl-key.log

tisak Ctrl + X, Y da biste spremili promjene.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Zatvorite prozor terminala i otvorite drugi za postavljanje varijable, a zatim upišite sljedeće da biste potvrdili da je uspješno postavljena:

echo $ SSLKEYLOGFILE

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Nakon što izvršite naredbu, trebali biste vidjeti izlaz sličan gornjoj slici. /Users/comparitech/.ssl-key.log puni je put do mog SSL dnevnika pred-master ključeva. Napomena: U Wireshark ćete htjeti upisati svoju bilješku, koja će biti drugačija.

Sada kada je varijabla postavljena, možete prijeći na sljedeći skup koraka.

Pokrenite preglednik i provjerite ima li datoteka zapisa

Prije nego što pokrenete Wireshark i konfigurirate ga za dešifriranje SSL-a pomoću pred-master ključa, trebali biste pokrenuti preglednik i potvrditi da se datoteka dnevnika koristi.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Da biste popunili dnevnik, važno je da posjetite web mjesto s omogućenim SSL-om. Koristim vlastiti Apache server za testiranje, ali bilo koja web lokacija će raditi. Jedna od najvećih prednosti korištenja zajedničkog ključa prije master-a je ne treba vam pristup poslužitelju za dešifriranje SSL-a.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Nakon što ste posjetili web-lokaciju s omogućenom SSL-om, provjerite datoteku za podatke. U Windows, možeš koristiti blokčić za bilješke. U Linux ili ortak, koristite sljedeću naredbu:

mačka ~ / .ssl-log.key

U bilo kojem operacijskom sustavu vaša bi datoteka trebala izgledati kao moja gore. Nakon što potvrdite da vaš preglednik bilježi pred-glavne ključeve na odabranoj lokaciji, možete konfigurirati Wireshark da koristi te ključeve za dešifriranje SSL-a.

Konfigurirajte Wireshark za dešifriranje SSL-a

Jednom kada vaš preglednik bilježi pred-glavne ključeve, vrijeme je da konfigurirate Wireshark za upotrebu tih zapisa za dešifriranje SSL-a.
Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Otvorite Wireshark i kliknite Uredi, zatim Postavke. Postavke otvorit će se dijaloški okvir, a na lijevoj strani vidjet ćete popis stavki. Proširiti protokoli, pomaknite se prema dolje, a zatim kliknite SSL.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Na popisu opcija za SSL protokol vidjet ćete unos za (Pre) -Master-Secret zapis datoteke. Dođite do datoteke dnevnika koju ste postavili u prethodnom koraku ili jednostavno zalijepite put.

Kada završite postavljanje (Pre) -Master-Secret zapis datoteke, klik u redu i povratak u Wireshark. Spremni ste za početak.

Snimite sesiju i dešifrirajte SSL

Posljednji korak je snimanje testne sesije i provjerite je li Wireshark uspješno dešifrirao SSL.

  • Započnite nefiltriranu sesiju hvatanja, umanjite je i otvorite preglednik.
  • Posjetite sigurnu web lokaciju kako biste generirali podatke i opcionalno postavili filtar za prikaz 'ssl' da biste smanjili šum sesije.
  • Kliknite bilo koji okvir koji sadrži šifrirane podatke.

U mom slučaju odabrat ću onaj koji sadrži HTTP promet s kodiranjem teksta / HTML-a, jer bih želio vidjeti izvorni kôd koji web poslužitelj šalje mom pregledniku. Ali svaki šifrirani promet koji koristi tajni ključ prije gospodara funkcionirat će s ovom metodom. To uključuje sve podatke koji koriste Perfect Forward Encryption (PFE) putem Diffie-Hellmana ili slične razmjene ključeva..

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Nakon što odaberete šifrirani okvir, pogledajte Paketni bajt pogled, a posebno kartice ispod pogleda. Trebali biste vidjeti unos za Dešifrirani SSL podaci, među ostalim.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Primijetit ćete da moja sesija i dalje izgleda kao da je puna smeća, a ne vidi se HTML. To je zato što moj web poslužitelj (i većina poslužitelja Apache) koristi GZIP kompresiju prema zadanim postavkama.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Kada kliknete na Nekomprimirano tijelo entiteta na kartici koja se u ovom slučaju prikazuje samo uz omogućeno SSL dešifriranje, možete vidjeti izvorni kôd web lokacije. Na primjer, ovdje je naslovni element zadane stranice Apache u otvorenom tekstu.

Korištenjem RSA ključa za dešifriranje SSL-a

Možda ste primijetili ranije da Wireshark ima polje koje vam omogućuje prijenos svojih RSA ključeva i njihovo korištenje za dešifriranje SSL-a. U praksi, Dešifriranje RSA ključa je zastarjelo.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Razlog zbog kojeg se dešifriranje SSL-a s RSA ključem više ne upotrebljava je Perfect Forward Encryption (PFE) zbog kojeg je zastario. Sjednice dogovorene s Diffie-Hellmanom ne koriste RSA ključ izravno; umjesto toga generiraju jednokratni ključ, pohranjen samo u RAM-u, koji se šifrira pomoću ključa na disku.

Ako ste prethodno koristili RSA ključ za dekodiranje prometa, a prestao je raditi, možete potvrditi da ciljni stroj koristi Diffie-Hellman razmjene omogućavanjem SSL evidentiranja.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Da biste uključili zapisnik, kliknite Uredi s izbornika na alatnoj traci i odaberite Postavke. Proširite protokoli stavku izbornika slijeva i pomaknite se prema dolje SSL. Odavde možete kliknuti na pretraživati gumb i postavite lokaciju vašeg SSL zapisnika.

Nakon što je lokacija postavljena, sve SSL interakcije bit će zabilježene u navedenoj datoteci.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Snimite sesiju s vašim SSL-om, a zatim provjerite zapisnike. Pomaknite se dok ne pronađete okvir s kojim su dogovoreni rukovanje TLS-om. Vjerojatno je da ćete u nizu šifri vidjeti unos informativnog DHE-a.

To znači da je omogućena razmjena ključeva Diffie-Hellman. U mom slučaju Apache posebno koristi Diffie-Hellman s tipkama eliptične krivulje, što je označeno nizom ECDHE.

Pomaknite se malo dalje i vjerojatno ćete vidjeti da glavnu tajnu nije moguće pronaći.

Vodič za dešifriranje SSL-a: Kako dešifrirati SSL pomoću Wiresharka

Ako vaši dnevnici izgledaju tako i ne možete dešifrirati promet pomoću RSA ključa, nemate drugog izbora nego prijeći na gornju tajnu metodu pre-master.

Budući da PFE postaje standardna praksa, a TLSv1.3 vjerojatno nameće problem, jednostavno dešifriranje RSA ključa je zastarjelo i ne bi se trebalo koristiti.

Wireshark olakšava dešifriranje SSL prometa

Jako mi se sviđa način na koji Wireshark postupa s SSL dešifriranjem. Kriptografija je komplicirana, a standardi se neprestano mijenjaju kako bi bili sigurniji. Ali nakon što se Wireshark i vaše okruženje pravilno postave, sve što trebate učiniti je promijeniti karticu za pregled dešifriranih podataka. Ne može biti lakše od toga.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

34 − = 24

Adblock
detector