ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




HTTPS/SSL Network Packet Forensics Device

Система перехвата и анализа HTTPS/SSL-соединений в реальном времени

Назначение

HTTPS/SSL Network Packet Forensics Device (HTTPS/SSL-перехватчик) – программно-аппаратный комплекс, предназначенный для расшифровки информации, передаваемой через Интернет по протоколу HTTPS/SSL.

Система способна перехватывать имена пользователей и пароли авторизации на https-страницах, например, при входе в Google, Gmail, Yahoo, eBay и др., а также содержимое шифрованных страниц и электронные письма, отправленные с таких страниц (в т.ч. вложения).

Принцип работы

Система работает как proxy-сервер для наблюдаемого компьютера. При попытке установить шифрованное соединение HTTPS/SSL, система осуществляет перехват по принципу MITM (man in the middle, человек посередине), перехватывая и подменивая сертификат SSL-сервера. Таким образом, HTTPS/SSL-перехватчик встраивается в канал и может просматривать пересылаемую зашифрованную информацию.

Варианты включения HTTPS/SSL-перехватчика в исследуемую сеть:

  1. ED2S (прозрачный proxy-сервер);
  2. HTTPS Proxy (настраиваемый proxy-сервер).

1. ED2S (прозрачный proxy-сервер). Необходимо настроить маршрутизацию исследуемой сети на пересылку HTTPS-пакетов на HTTPS/SSL-перехватчик. Такая схема рекомендована для сетей крупных предприятий и сетей передачи данных поставщиков телекоммуникационных услуг, т.к. для ее осуществления обязательно наличие оборудования, способного перенаправлять поток данных.

Настроенная маршрутизация

2. HTTPS Proxy (настраиваемый proxy-сервер). Наблюдаемые компьютеры следует настроить таким образом, чтобы они использовали HTTPS/SSL-перехватчик в качестве proxy-сервера для протокола HTTPS. Такая схема рекомендована для сетей средних и малых предприятий.

Настроенное подключение

Также система может автономно расшифровывать собранные HTTPS/SSL пакеты, при наличии секретного ключа (private key).

Особенности

Перехват и подмена настоящего сертификата SSL-сервера;

Расшифровка доступна только для стандартного HTTPS/SSL трафика без дополнительной защиты;

Возможно объединение HTTPS/SSL-перехватчика с E-Detective или E-Detective Decoding Centre (EDDC) в единую систему обработки данных для расширения функциональных возможностей;

Недостатком средства является то, что наблюдаемый пользователь может получить предупреждение о несоответствии сертификата. Этого можно избежать, пользуясь услугами центров сертификации. За дополнительной информацией обращайтесь к ответственному за направление.

Основные характеристики

Поддерживаемые версии SSL: SSL v3 и старше;

Пропускная способность: 100 Мбит/с;

Извлекаемая информация: имя пользователя (Login) и пароль, дата и время, IP- и MAC-адресы, ссылки на страницы (URL), содержимое просмотренных страниц, электронные письма (в т.ч. вложения).

Варианты и области применения

Комплекс ориентирован на использование судебно-правовыми органами, силовыми структурами, органами безопасности банков, крупных предприятий, государственных структур и др. для отслеживания, контроля и выявления незаконной активности пользователей в сети Интернет по протоколу HTTPS/SSL.


Приобрести HTTPS/SSL Network Packet Forensics Device и получить дополнительную информацию можно в Лаборатории компьютерной криминалистики и информационной безопасности:
  тел./факс: +380 44 467-7590
  тел.: +380 44 425-2342
  e-mail:
  skype: d_domarev
  ул. Верхний Вал, 44, г. Киев, 04071, Украина.



Поделиться информацией