Igen, a hálózati beálltástól függően a webproxy kiszolgálók tudnak transzparens módon, a kliensek számára nem láthatóan a forgalomba ékelődni.
Ha SSL-t is bontani akarsz a forgalom vizsgálathoz, meg kell tudni oldani, hogy minden kliensre felkerüljön (központilag vagy manuálisan) a proxy által bontásra használt (jellemzően Subordinate CA) tanúsítvány.
Érdemes bizonyos webkategóriákat (pl.: bankolásra használt oldalakat) SSL kivételre (bypassra) felvenni, valamint a kliens alkalmazások működéséhez külön kezelni az egyes kivételeket.
Sok alkalmazás már vizsgálja a kapcsolat felépítésekor, hogy a kliens a gyártó által beégetett tanúsítvánnyal próbál-e a saját távoli szerveréhez kapcsolódni, vagy "kéretlenül" beleállsz a forgalomba (MITM), így kapcsolódni, működni sem fognak.
A klienseket tájékoztatni kell a forgalom monitorozásáról valamint a keletkezett adataik miként lesznek kezelve.
Mind hálózati konfigurációval, mind szabályozással javasolt tiltani az eszköz kikerülésére való módosítási kísérleteket.
Ha azon gondolkozol, hogy oldalakat ne lehessen elérni, akkor proxy-ás helyet DNS alapú szűrésen is lehetne gondolkodni. Talán egyszerűbb kivitelezni, de kevésbé biztonságosnak tartják.
van, csak ha beallitod a bongeszoben hogy nincs proxy, akkor nem hasznalja.
illetve ha a dhcp updateli a dns-t, akkor meg kell oldani, hogy ha valaki csatlakozik a halozatra egy wpad nevu geppel, akkor megse updatelje a dns-t, kulonben azon megy keresztul a forgalom.
Ahhoz az is kell, hogy a wpad nevű gép produkáljon valid konfigot. Persze ettől még szándékosan el lehet téríteni, mert tippre a DHCP-s konfigurálás kb. orosz rulett.
Fixen beépített neveket nem tudom melyik dhcp szerver írná át, emlékeim szerint az isc dhcpd pl. csak akkor piszkál egy meglévő rekordot, ha tud a hozzá tartozó TXT-ről. AD-be meg a gépneveket az Admin regisztrálja (domain join).
Nekem elsőnek az ugrott be, hogy van egy keresési sorrend vagy mi.
Azaz először keresi a wpad.subdomain.domain.tld -t, aztán ha az nem okés, akkor a wpad.domain.tld -t. Na, és ha a wpad.domain.tld a hivatalos, akkor közbe lehet furakodni. Persze ezt kivédeni tényleg elég felvenni egy wpad rekordot a DNS-be.
Hozzászólások
lehet
Szia!
Igen, a hálózati beálltástól függően a webproxy kiszolgálók tudnak transzparens módon, a kliensek számára nem láthatóan a forgalomba ékelődni.
Ha SSL-t is bontani akarsz a forgalom vizsgálathoz, meg kell tudni oldani, hogy minden kliensre felkerüljön (központilag vagy manuálisan) a proxy által bontásra használt (jellemzően Subordinate CA) tanúsítvány.
Érdemes bizonyos webkategóriákat (pl.: bankolásra használt oldalakat) SSL kivételre (bypassra) felvenni, valamint a kliens alkalmazások működéséhez külön kezelni az egyes kivételeket.
Sok alkalmazás már vizsgálja a kapcsolat felépítésekor, hogy a kliens a gyártó által beégetett tanúsítvánnyal próbál-e a saját távoli szerveréhez kapcsolódni, vagy "kéretlenül" beleállsz a forgalomba (MITM), így kapcsolódni, működni sem fognak.
A klienseket tájékoztatni kell a forgalom monitorozásáról valamint a keletkezett adataik miként lesznek kezelve.
Mind hálózati konfigurációval, mind szabályozással javasolt tiltani az eszköz kikerülésére való módosítási kísérleteket.
Ha azon gondolkozol, hogy oldalakat ne lehessen elérni, akkor proxy-ás helyet DNS alapú szűrésen is lehetne gondolkodni. Talán egyszerűbb kivitelezni, de kevésbé biztonságosnak tartják.
Főleg, hogy a DNS over HTTPS kissé nehézzé is teszi a DNS alapú letiltást.
Még mindig van WPAD, nem?
van, csak ha beallitod a bongeszoben hogy nincs proxy, akkor nem hasznalja.
illetve ha a dhcp updateli a dns-t, akkor meg kell oldani, hogy ha valaki csatlakozik a halozatra egy wpad nevu geppel, akkor megse updatelje a dns-t, kulonben azon megy keresztul a forgalom.
neked aztan fura humorod van...
Ahhoz az is kell, hogy a wpad nevű gép produkáljon valid konfigot. Persze ettől még szándékosan el lehet téríteni, mert tippre a DHCP-s konfigurálás kb. orosz rulett.
szerintem ha valaki azt a nevet adja a gepenek hogy wpad, az nem a veletlen muve.
neked aztan fura humorod van...
Naja, felettébb gyanús, hehe.
Fixen beépített neveket nem tudom melyik dhcp szerver írná át, emlékeim szerint az isc dhcpd pl. csak akkor piszkál egy meglévő rekordot, ha tud a hozzá tartozó TXT-ről. AD-be meg a gépneveket az Admin regisztrálja (domain join).
Nekem elsőnek az ugrott be, hogy van egy keresési sorrend vagy mi.
Azaz először keresi a wpad.subdomain.domain.tld -t, aztán ha az nem okés, akkor a wpad.domain.tld -t. Na, és ha a wpad.domain.tld a hivatalos, akkor közbe lehet furakodni. Persze ezt kivédeni tényleg elég felvenni egy wpad rekordot a DNS-be.
Már ha nem értek félre valamit :)
Mondjuk ez igaz. Wikipedia szerint még mindig van wpad.co.uk. És valóban van ilyen, éppen parkol :D