https://wiki.itcollege.ee/api.php?action=feedcontributions&feedformat=atom&user=MignatjeICO wiki - User contributions [en]2026-05-07T01:18:07ZUser contributionsMediaWiki 1.45.1https://wiki.itcollege.ee/index.php?title=IT_infrastruktuuri_teenused_2013_kevad&diff=62979IT infrastruktuuri teenused 2013 kevad2013-05-13T12:27:11Z<p>Mignatje: /* IT infrastruktuuri teenused kirjatükid 2013 kevad päevaõpe */</p>
<hr />
<div>[[Category:IT infrastruktuuri teenused]]<br />
=IT infrastruktuuri teenused kirjatükid 2013 kevad päevaõpe=<br />
<br />
* Nimi, rühm - referaadi link<br />
* Marju Ignatjeva, DK41 - [[HTTPS_liikluse_uurimine_tcpdump,_Wireshark_ja_mitmproxy_abil | HTTPS liikluse uurimine tcpdump, Wireshark ja mitmproxy abil]]<br />
*<br />
*</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=HTTPS_liikluse_uurimine_tcpdump,_Wireshark_ja_mitmproxy_abil&diff=62870HTTPS liikluse uurimine tcpdump, Wireshark ja mitmproxy abil2013-05-05T20:27:21Z<p>Mignatje: /* Teeseldud CA */ Väike sisuline parandus</p>
<hr />
<div>See artikkel räägib HTTPS liikluse analüüsimisest (HTTP päringute avatekstiks lahtivõtmise teel) kahes olukorras.<br />
Esiteks -- kui nii klient kui server on meie hallata ja me soovime testida, kas server saab just selliseid HTTP päringuid ja saadab selliseid vastuseid, nagu me eeldame.<br />
Teiseks -- kui serveriks on mõni avalik veebiteenus, millega suhtleme üle HTTPS protokolli, ja soovime teada, mida meie brauser serveriga räägib. Sisuliselt on siin tegemist olukorraga, kus me ei pruugi usaldada ei klienti (brauser jooksutab meie teadmata mingit kuritahtlikku skripti) ega ka serverit. Tegu võib olla ka mõne mobiilirakendusega, mille kohta soovime teada, mis andmeid ta meie telefoni kaudu edastab ja vastu võtab.<br />
<br />
'''NB! Siin artiklis toodud juhised on mõeldud võrguliikluse heatahtlikuks uurimiseks, mitte kolmandate osapoolte andmevahetusse sissemurdmiseks!'''<br />
<br />
''Autor: Marju Ignatjeva''<br />
<br />
==Töövahendid ja keskkond==<br />
Kasutame töövahenditena <tt>tcpdump</tt>-i ja Wiresharki ning <tt>mitmproxy</tt>-t, HTTP kliendina ka <tt>curl</tt>-i.<br />
<br />
Läbivalt on kasutusel serveri aadress 192.168.56.201.<br />
<br />
Artikli lugejalt eeldan, et HTTPS üldine tööpõhimõte on selge ja et lugeja oskab Linuxi keskkonnas paigaldada tarkvara nii süsteemsest pakimajandusest kui ka Pythoni pakendussüsteemide (eeskätt <tt>pip</tt>) vahenditega, samuti saab hakkama käsureal. Töövahendite paigaldamise juhised on siiski ka artiklis olemas.<br />
<br />
Artiklis toodud näited põhinevad katsetustel 64-bitise Kubuntu 12.10 operatsioonisüsteemi all.<br />
<br />
===Töövahendite paigaldamine===<br />
Kui <tt>tcpdump</tt> ei ole paigaldatud, tuleb see juurkasutajana paigaldada käsuga<br />
<pre><br />
apt-get install tcpdump<br />
</pre><br />
<br />
Wiresharki paigaldame käsuga<br />
<pre><br />
apt-get install wireshark<br />
</pre><br />
<br />
HTTP päringuid on käsurealt mugav teha <tt>curl</tt> nimelise tööriistaga, paigaldame ka selle.<br />
<pre><br />
apt-get install curl<br />
</pre><br />
<br />
Kuna erinevate Linuxi distributsioonide pakimajanduses ei pruugi alati olla Pythonis kirjutatud tarkvarast väga värskeid versioone, siis <tt>mitmproxy</tt> paigaldamiseks on mõistlik kasutada <tt>pip</tt>-i.<br />
<pre><br />
apt-get install python-pip<br />
pip install mitmproxy<br />
</pre><br />
<br />
==tcpdump ja Wireshark==<br />
HTTPS liikluse püüdmiseks kasutame käsureavahendit <tt>tcpdump</tt> seetõttu, et servereid hallates ei ole meil tihtipeale ligipääsu graafilisele keskkonnale. Samas on Wireshark mugav ja kasutajasõbralik võrguliikluse uurimise töövahend ja <tt>tcpdump</tt>-i abil salvestatud liiklust saab Wiresharki abil hiljem suvalises teises masinas analüüsida.<br />
<br />
Kuna veebiserver on meie hallata, siis on meil olemas tema privaatvõti. See on ainus vajalik sisend Wiresharkile, et ta oskaks kinnipüütud pakette lahti krüpteerida.<br />
<br />
===Pakettide püüdmine===<br />
Kõigepealt paneme <tt>tcpdump</tt>-i kuulama liiklust liidesel <tt>eth1</tt> (antud juhul on see Virtualboxi ''host-only'' võrguliides), aadressil 192.168.56.201, pordil 443 (meil on sinna konfitud üks HTTPS toega ''virtualhost''). Seda tuleb teha juurkasutaja õigustes, et meile antaks ligipääs võrguliidesele.<br />
<pre><br />
tcpdump -w https_dump.pcap -i eth1 host 192.168.56.201 and port 443<br />
</pre><br />
<br />
Teeme klientmasinast päringu (öeldes, et usaldame serveri enda poolt allkirjastatud sertifikaati):<br />
<pre><br />
curl --insecure https://192.168.56.201<br />
</pre><br />
<br />
Nüüd lõpetame Ctrl+C abil serveris <tt>tcpdump</tt>i töö -- too ütleb lõpetades käsureale midagi sellist:<br />
<pre><br />
15 packets captured<br />
15 packets received by filter<br />
0 packets dropped by kernel<br />
</pre><br />
<br />
===Püütud pakettide uurimine===<br />
Järgmiseks on vaja <tt>tcpdump</tt>-i väljundfail saada masinasse, kus meil on võimalik kasutada Wiresharki (kusjuures salvestatud faili uurimiseks ei ole juurkasutaja õiguseid vaja).<br />
Käivitame Wiresharki ja avame oma .pcap faili. Esialgu näitab Wireshark küll HTTPS-iga seotud andmevahetust, kuid HTTP päringuid avatekstina pole võimalik näha.<br />
Wireshark võimaldab seda krüpteeritud sisuga andmevoogu ka eraldi aknas uurida ("Follow TCP Stream" suvalise paketi kontekstimenüüst).<br />
<br />
Järgmiseks hangime serverist tema privaatvõtme (NB! Erinevate ''virtualhost''ide olemasolul pead hankima just antud päringus kasutatud IP-le vastava võtme!)<br />
<br />
Wiresharkis võtame menüüst "Edit"->"Preferences" avanevas aknas "Protocols" alt "SSL" ja lisame serveri võtme:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark ssl keys.png|600px]]<br />
<br />
Kasulik on seadistada ka SSL ''debuglog''i failitee, et probleemide korral saaks vigu otsida. Näiteks võib juhtuda, et brauseri või serveri krüpto vaikeseadistused on sellised, et Wireshark ei saa pakettide sisu lahti krüpteerida, kuigi serveri privaatvõti ja muud parameetrid on korrektsed (failitee seadistamine jääb lugejale väljauurimiseks).<br />
<br />
Nimelt võib juhtuda, et peale võtmefaili määramist ja HTTPS suhtlusega seotud paketi kontekstimenüüs "Follow SSL Stream" valimist näidatakse tühjust.<br />
<br />
Sellisel juhul võiks debuglogist otsida sääraseid ridu:<br />
<pre><br />
ssl_decrypt_pre_master_secret session uses DH (17) key exchange, which is impossible to decrypt<br />
dissect_ssl3_handshake can't decrypt pre master secret<br />
</pre><br />
<br />
Nimelt Apache2 <tt>mod_ssl</tt> vaikimisi konfis on lubatud Diffie-Hellman võtmevahetuse protokolli kasutamine, mis aga muudab HTTPS liikluse Wireshark-i jaoks lahtivõetamatuks (erinevate krüptoprotokollide detailid on väljaspool selle artikli mahtu, kuid võtmefraasiks on siin ''perfect forward secrecy'').<br />
Lähemalt loe näiteks: <br />
[http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange Wikipediast]<br />
ja <br />
[http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls Stackexchange'ist].<br />
<br />
Üks võimalikke lahendusi on Apache2 <tt>mod_ssl</tt> konfis (<tt>/etc/apache2/mods-available/ssl.conf</tt>) keelata Diffie-Hellman võtmevahetuse tugi, näiteks võtmesõna DH abil:<br />
<pre><br />
SSLCipherSuite ALL:!EXP:!NULL:!DH:!LOW<br />
</pre><br />
<br />
Vt. lähemalt: [http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite]<br />
<br />
Peale veebiserveri restarti tuleb teha uus paketipüüdmine. Kui kõik muu on korrektselt tehtud, võib Wiresharkis uue .pcap faili avamisel näha umbes sellist pilti ja HTTP päringut-vastust avatekstina uurida:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark https decrypted.png|600px]]<br />
<br />
==mitmproxy==<br />
<br />
===Kliendi proxy seadistamine===<br />
Selleks, et <tt>mitmproxy</tt> abil HTTPS liikluse sisu uurida, tuleb ta kõigepealt HTTP kliendis (brauseris, <tt>curl</tt>-is vms) seadistada ''proxy''-ks.<br />
Nimelt, kui <tt>mitmproxy</tt> käivitada, siis vaikimisi kuulab ta aadressil 0.0.0.0 pordil 8080. Seega <tt>curl</tt>-ile anname need parameetrid ''proxy'' jaoks ja teeme HTTPS päringu oma serveri pihta.<br />
<br />
curl -x localhost:8080 --insecure https://192.168.56.201<br />
<br />
See päring ja vastus kajastuvad nüüd <tt>mitmproxy</tt> interaktiivses aknas.<br />
<br />
Päriselus kasutame vingemate veebirakenduste kasutamiseks siiski graafilist brauserit ja edasi läheme Chromiumi näitel, kus samuti on kõigepealt vaja seadistada ''proxy'' (ja brauser restartida). Seda siin ei kirjelda.<br />
<br />
===Teeseldud CA===<br />
Kui <tt>mitmproxy</tt> on seadistatud ''proxy''-ks, siis HTTPS päringute korral pakub ta brauserile tegeliku serveri sertifikaadi asemel omaenda n-ö ''dummy'' sertifikaati (e. mängib CA-d) ja on seetõttu võimeline ka HTTPS liiklust "vahelt võtma", termineerides kliendi päringu ja suheldes omakorda ise serveriga. Peale esimest käivitust tekivad kasutaja kodukataloogi alamkataloogi <tt>.mitmproxy</tt> selle dummy CA-ga seotud failid.<br />
<pre><br />
ls ~/.mitmproxy/<br />
mitmproxy-ca-cert.cer mitmproxy-ca-cert.p12 mitmproxy-ca-cert.pem mitmproxy-ca.pem<br />
</pre><br />
<br />
Sellist dummy CA-d brauser vaikimisi ei usalda ja reageerib nagu tüüpiliselt ka iseallkirjastatud sertifikaatide puhul. Kui "harjumuspäraselt" vajutada "Proceed anyway", saame vaatlusalusele saidile tehtud HTTPS päringuid ja vastuseid üsna mugavalt uurida. Muidugi on <tt>mitmproxy</tt> CA võimalik lisada ka brauseri poolt usaldatavate CA-de hulka, aga seda siin ei kirjelda.<br />
<br />
===HTTPS päringute vaheltvõtmine===<br />
Edasi seadistame konkreetsele aadressile tehtavate päringute vaheltvõtmise. Selleks tuleb <tt>mitmproxy</tt> peaaknas vajutada "i" ja sisestada regulaaravaldis, mis meil on "192\.168\.56\.200".<br />
<br />
Kui nüüd minna aadressile https://192.168.56.201, siis brauser jääb ootele ja <tt>mitmproxy</tt> aknasse tekib päringukirje, ning vaheltvõetud päringu edasisaatmiseks tuleb vajutada "a". Seda tuleb teha ka vastusega, kui me vastust muuta ei soovi, et brauser vastuse kätte saaks.<br />
<br />
Päringuid ja vastuseid, mis veel ei ole "a" abil "aktsepteeritud", saame avatekstina uurida ja muuta! Lugejale jääb välja uurimiseks, mida mitmproxy peab silmas teatega "<tt>[decoded gzip] Couldn't parse: falling back to Raw</tt>" ja kas see takistab meil vastuse muutmist avatekstina.<br />
<br />
Näide vaheltvõetud vastusest:<br />
<br />
[[File:Marju ignatjeva Screenshot mitmproxy response.png|600px]]<br />
<br />
Põhjalikum <tt>mitmproxy</tt> [http://mitmproxy.org/doc/index.html kasutusjuhend] kirjeldab nii päringute filtreerimist kui päringute ja vastuste redigeerimist ja palju muud.<br />
<br />
Head eksperimenteerimist! ;-)<br />
<br />
==Kasutatud materjalid==<br />
* [http://segfault.in/2010/11/decrypt-https-traffic-using-wireshark-and-key-file/ Decrypt HTTPS Traffic Using Wireshark And Key File]<br />
* [http://www.youtube.com/watch?v=kQ1-0G90lQg mitmproxy - use and abuse of a hackable SSL-capable man-in-the-middle proxy - YouTube]<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=HTTPS_liikluse_uurimine_tcpdump,_Wireshark_ja_mitmproxy_abil&diff=62869HTTPS liikluse uurimine tcpdump, Wireshark ja mitmproxy abil2013-05-05T20:05:18Z<p>Mignatje: typo</p>
<hr />
<div>See artikkel räägib HTTPS liikluse analüüsimisest (HTTP päringute avatekstiks lahtivõtmise teel) kahes olukorras.<br />
Esiteks -- kui nii klient kui server on meie hallata ja me soovime testida, kas server saab just selliseid HTTP päringuid ja saadab selliseid vastuseid, nagu me eeldame.<br />
Teiseks -- kui serveriks on mõni avalik veebiteenus, millega suhtleme üle HTTPS protokolli, ja soovime teada, mida meie brauser serveriga räägib. Sisuliselt on siin tegemist olukorraga, kus me ei pruugi usaldada ei klienti (brauser jooksutab meie teadmata mingit kuritahtlikku skripti) ega ka serverit. Tegu võib olla ka mõne mobiilirakendusega, mille kohta soovime teada, mis andmeid ta meie telefoni kaudu edastab ja vastu võtab.<br />
<br />
'''NB! Siin artiklis toodud juhised on mõeldud võrguliikluse heatahtlikuks uurimiseks, mitte kolmandate osapoolte andmevahetusse sissemurdmiseks!'''<br />
<br />
''Autor: Marju Ignatjeva''<br />
<br />
==Töövahendid ja keskkond==<br />
Kasutame töövahenditena <tt>tcpdump</tt>-i ja Wiresharki ning <tt>mitmproxy</tt>-t, HTTP kliendina ka <tt>curl</tt>-i.<br />
<br />
Läbivalt on kasutusel serveri aadress 192.168.56.201.<br />
<br />
Artikli lugejalt eeldan, et HTTPS üldine tööpõhimõte on selge ja et lugeja oskab Linuxi keskkonnas paigaldada tarkvara nii süsteemsest pakimajandusest kui ka Pythoni pakendussüsteemide (eeskätt <tt>pip</tt>) vahenditega, samuti saab hakkama käsureal. Töövahendite paigaldamise juhised on siiski ka artiklis olemas.<br />
<br />
Artiklis toodud näited põhinevad katsetustel 64-bitise Kubuntu 12.10 operatsioonisüsteemi all.<br />
<br />
===Töövahendite paigaldamine===<br />
Kui <tt>tcpdump</tt> ei ole paigaldatud, tuleb see juurkasutajana paigaldada käsuga<br />
<pre><br />
apt-get install tcpdump<br />
</pre><br />
<br />
Wiresharki paigaldame käsuga<br />
<pre><br />
apt-get install wireshark<br />
</pre><br />
<br />
HTTP päringuid on käsurealt mugav teha <tt>curl</tt> nimelise tööriistaga, paigaldame ka selle.<br />
<pre><br />
apt-get install curl<br />
</pre><br />
<br />
Kuna erinevate Linuxi distributsioonide pakimajanduses ei pruugi alati olla Pythonis kirjutatud tarkvarast väga värskeid versioone, siis <tt>mitmproxy</tt> paigaldamiseks on mõistlik kasutada <tt>pip</tt>-i.<br />
<pre><br />
apt-get install python-pip<br />
pip install mitmproxy<br />
</pre><br />
<br />
==tcpdump ja Wireshark==<br />
HTTPS liikluse püüdmiseks kasutame käsureavahendit <tt>tcpdump</tt> seetõttu, et servereid hallates ei ole meil tihtipeale ligipääsu graafilisele keskkonnale. Samas on Wireshark mugav ja kasutajasõbralik võrguliikluse uurimise töövahend ja <tt>tcpdump</tt>-i abil salvestatud liiklust saab Wiresharki abil hiljem suvalises teises masinas analüüsida.<br />
<br />
Kuna veebiserver on meie hallata, siis on meil olemas tema privaatvõti. See on ainus vajalik sisend Wiresharkile, et ta oskaks kinnipüütud pakette lahti krüpteerida.<br />
<br />
===Pakettide püüdmine===<br />
Kõigepealt paneme <tt>tcpdump</tt>-i kuulama liiklust liidesel <tt>eth1</tt> (antud juhul on see Virtualboxi ''host-only'' võrguliides), aadressil 192.168.56.201, pordil 443 (meil on sinna konfitud üks HTTPS toega ''virtualhost''). Seda tuleb teha juurkasutaja õigustes, et meile antaks ligipääs võrguliidesele.<br />
<pre><br />
tcpdump -w https_dump.pcap -i eth1 host 192.168.56.201 and port 443<br />
</pre><br />
<br />
Teeme klientmasinast päringu (öeldes, et usaldame serveri enda poolt allkirjastatud sertifikaati):<br />
<pre><br />
curl --insecure https://192.168.56.201<br />
</pre><br />
<br />
Nüüd lõpetame Ctrl+C abil serveris <tt>tcpdump</tt>i töö -- too ütleb lõpetades käsureale midagi sellist:<br />
<pre><br />
15 packets captured<br />
15 packets received by filter<br />
0 packets dropped by kernel<br />
</pre><br />
<br />
===Püütud pakettide uurimine===<br />
Järgmiseks on vaja <tt>tcpdump</tt>-i väljundfail saada masinasse, kus meil on võimalik kasutada Wiresharki (kusjuures salvestatud faili uurimiseks ei ole juurkasutaja õiguseid vaja).<br />
Käivitame Wiresharki ja avame oma .pcap faili. Esialgu näitab Wireshark küll HTTPS-iga seotud andmevahetust, kuid HTTP päringuid avatekstina pole võimalik näha.<br />
Wireshark võimaldab seda krüpteeritud sisuga andmevoogu ka eraldi aknas uurida ("Follow TCP Stream" suvalise paketi kontekstimenüüst).<br />
<br />
Järgmiseks hangime serverist tema privaatvõtme (NB! Erinevate ''virtualhost''ide olemasolul pead hankima just antud päringus kasutatud IP-le vastava võtme!)<br />
<br />
Wiresharkis võtame menüüst "Edit"->"Preferences" avanevas aknas "Protocols" alt "SSL" ja lisame serveri võtme:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark ssl keys.png|600px]]<br />
<br />
Kasulik on seadistada ka SSL ''debuglog''i failitee, et probleemide korral saaks vigu otsida. Näiteks võib juhtuda, et brauseri või serveri krüpto vaikeseadistused on sellised, et Wireshark ei saa pakettide sisu lahti krüpteerida, kuigi serveri privaatvõti ja muud parameetrid on korrektsed (failitee seadistamine jääb lugejale väljauurimiseks).<br />
<br />
Nimelt võib juhtuda, et peale võtmefaili määramist ja HTTPS suhtlusega seotud paketi kontekstimenüüs "Follow SSL Stream" valimist näidatakse tühjust.<br />
<br />
Sellisel juhul võiks debuglogist otsida sääraseid ridu:<br />
<pre><br />
ssl_decrypt_pre_master_secret session uses DH (17) key exchange, which is impossible to decrypt<br />
dissect_ssl3_handshake can't decrypt pre master secret<br />
</pre><br />
<br />
Nimelt Apache2 <tt>mod_ssl</tt> vaikimisi konfis on lubatud Diffie-Hellman võtmevahetuse protokolli kasutamine, mis aga muudab HTTPS liikluse Wireshark-i jaoks lahtivõetamatuks (erinevate krüptoprotokollide detailid on väljaspool selle artikli mahtu, kuid võtmefraasiks on siin ''perfect forward secrecy'').<br />
Lähemalt loe näiteks: <br />
[http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange Wikipediast]<br />
ja <br />
[http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls Stackexchange'ist].<br />
<br />
Üks võimalikke lahendusi on Apache2 <tt>mod_ssl</tt> konfis (<tt>/etc/apache2/mods-available/ssl.conf</tt>) keelata Diffie-Hellman võtmevahetuse tugi, näiteks võtmesõna DH abil:<br />
<pre><br />
SSLCipherSuite ALL:!EXP:!NULL:!DH:!LOW<br />
</pre><br />
<br />
Vt. lähemalt: [http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite]<br />
<br />
Peale veebiserveri restarti tuleb teha uus paketipüüdmine. Kui kõik muu on korrektselt tehtud, võib Wiresharkis uue .pcap faili avamisel näha umbes sellist pilti ja HTTP päringut-vastust avatekstina uurida:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark https decrypted.png|600px]]<br />
<br />
==mitmproxy==<br />
<br />
===Kliendi proxy seadistamine===<br />
Selleks, et <tt>mitmproxy</tt> abil HTTPS liikluse sisu uurida, tuleb ta kõigepealt HTTP kliendis (brauseris, <tt>curl</tt>-is vms) seadistada ''proxy''-ks.<br />
Nimelt, kui <tt>mitmproxy</tt> käivitada, siis vaikimisi kuulab ta aadressil 0.0.0.0 pordil 8080. Seega <tt>curl</tt>-ile anname need parameetrid ''proxy'' jaoks ja teeme HTTPS päringu oma serveri pihta.<br />
<br />
curl -x localhost:8080 --insecure https://192.168.56.201<br />
<br />
See päring ja vastus kajastuvad nüüd <tt>mitmproxy</tt> interaktiivses aknas.<br />
<br />
Päriselus kasutame vingemate veebirakenduste kasutamiseks siiski graafilist brauserit ja edasi läheme Chromiumi näitel, kus samuti on kõigepealt vaja seadistada ''proxy'' (ja brauser restartida). Seda siin ei kirjelda.<br />
<br />
===Teeseldud CA===<br />
Kui <tt>mitmproxy</tt> on seadistatud ''proxy''-ks, siis HTTPS päringute korral pakub ta brauserile tegeliku serveri sertifikaadi asemel omaenda n-ö ''dummy'' sertifikaati (e. mängib CA-d) ja on seetõttu võimeline ka HTTPS liiklust "vahelt võtma", kuna HTTPS osapoolteks on klient ja <tt>mitmproxy</tt>, mitte enam server. Peale esimest käivitust tekivad kasutaja kodukataloogi alamkataloogi <tt>.mitmproxy</tt> selle dummy CA-ga seotud failid.<br />
<pre><br />
ls ~/.mitmproxy/<br />
mitmproxy-ca-cert.cer mitmproxy-ca-cert.p12 mitmproxy-ca-cert.pem mitmproxy-ca.pem<br />
</pre><br />
<br />
Sellist dummy CA-d brauser vaikimisi ei usalda ja reageerib nagu tüüpiliselt ka iseallkirjastatud sertifikaatide puhul. Kui "harjumuspäraselt" vajutada "Proceed anyway", saame vaatlusalusele saidile tehtud HTTPS päringuid ja vastuseid üsna mugavalt uurida. Muidugi on <tt>mitmproxy</tt> CA võimalik lisada ka brauseri poolt usaldatavate CA-de hulka, aga seda siin ei kirjelda.<br />
<br />
===HTTPS päringute vaheltvõtmine===<br />
Edasi seadistame konkreetsele aadressile tehtavate päringute vaheltvõtmise. Selleks tuleb <tt>mitmproxy</tt> peaaknas vajutada "i" ja sisestada regulaaravaldis, mis meil on "192\.168\.56\.200".<br />
<br />
Kui nüüd minna aadressile https://192.168.56.201, siis brauser jääb ootele ja <tt>mitmproxy</tt> aknasse tekib päringukirje, ning vaheltvõetud päringu edasisaatmiseks tuleb vajutada "a". Seda tuleb teha ka vastusega, kui me vastust muuta ei soovi, et brauser vastuse kätte saaks.<br />
<br />
Päringuid ja vastuseid, mis veel ei ole "a" abil "aktsepteeritud", saame avatekstina uurida ja muuta! Lugejale jääb välja uurimiseks, mida mitmproxy peab silmas teatega "<tt>[decoded gzip] Couldn't parse: falling back to Raw</tt>" ja kas see takistab meil vastuse muutmist avatekstina.<br />
<br />
Näide vaheltvõetud vastusest:<br />
<br />
[[File:Marju ignatjeva Screenshot mitmproxy response.png|600px]]<br />
<br />
Põhjalikum <tt>mitmproxy</tt> [http://mitmproxy.org/doc/index.html kasutusjuhend] kirjeldab nii päringute filtreerimist kui päringute ja vastuste redigeerimist ja palju muud.<br />
<br />
Head eksperimenteerimist! ;-)<br />
<br />
==Kasutatud materjalid==<br />
* [http://segfault.in/2010/11/decrypt-https-traffic-using-wireshark-and-key-file/ Decrypt HTTPS Traffic Using Wireshark And Key File]<br />
* [http://www.youtube.com/watch?v=kQ1-0G90lQg mitmproxy - use and abuse of a hackable SSL-capable man-in-the-middle proxy - YouTube]<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=HTTPS_liikluse_uurimine_tcpdump,_Wireshark_ja_mitmproxy_abil&diff=62868HTTPS liikluse uurimine tcpdump, Wireshark ja mitmproxy abil2013-05-05T20:03:39Z<p>Mignatje: kasutatud materjalid</p>
<hr />
<div>See artikkel räägib HTTPS liikluse analüüsimisest (HTTP päringute avatekstiks lahtivõtmise teel) kahes olukorras.<br />
Esiteks -- kui nii klient kui server on meie hallata ja me soovime testida, kas server saab just selliseid HTTP päringuid ja saadab selliseid vastuseid, nagu me eeldame.<br />
Teiseks -- kui serveriks on mõni avalik veebiteenus, millega suhtleme üle HTTPS protokolli, ja soovime teada, mida meie brauser serveriga räägib. Sisuliselt on siin tegemist olukorraga, kus me ei pruugi usaldada ei klienti (brauser jooksutab meie teadmata mingit kuritahtlikku skripti) ega ka serverit. Tegu võib olla ka mõne mobiilirakendusega, mille kohta soovime teada, mis andmeid ta meie telefoni kaudu edastab ja vastu võtab.<br />
<br />
'''NB! Siin artiklis toodud juhised on mõeldud liikluse heatahtlikuks uurimiskes, mitte kolmandate osapoolte andmevahetusse sissemurdmiseks!'''<br />
<br />
''Autor: Marju Ignatjeva''<br />
<br />
==Töövahendid ja keskkond==<br />
Kasutame töövahenditena <tt>tcpdump</tt>-i ja Wiresharki ning <tt>mitmproxy</tt>-t, HTTP kliendina ka <tt>curl</tt>-i.<br />
<br />
Läbivalt on kasutusel serveri aadress 192.168.56.201.<br />
<br />
Artikli lugejalt eeldan, et HTTPS üldine tööpõhimõte on selge ja et lugeja oskab Linuxi keskkonnas paigaldada tarkvara nii süsteemsest pakimajandusest kui ka Pythoni pakendussüsteemide (eeskätt <tt>pip</tt>) vahenditega, samuti saab hakkama käsureal. Töövahendite paigaldamise juhised on siiski ka artiklis olemas.<br />
<br />
Artiklis toodud näited põhinevad katsetustel 64-bitise Kubuntu 12.10 operatsioonisüsteemi all.<br />
<br />
===Töövahendite paigaldamine===<br />
Kui <tt>tcpdump</tt> ei ole paigaldatud, tuleb see juurkasutajana paigaldada käsuga<br />
<pre><br />
apt-get install tcpdump<br />
</pre><br />
<br />
Wiresharki paigaldame käsuga<br />
<pre><br />
apt-get install wireshark<br />
</pre><br />
<br />
HTTP päringuid on käsurealt mugav teha <tt>curl</tt> nimelise tööriistaga, paigaldame ka selle.<br />
<pre><br />
apt-get install curl<br />
</pre><br />
<br />
Kuna erinevate Linuxi distributsioonide pakimajanduses ei pruugi alati olla Pythonis kirjutatud tarkvarast väga värskeid versioone, siis <tt>mitmproxy</tt> paigaldamiseks on mõistlik kasutada <tt>pip</tt>-i.<br />
<pre><br />
apt-get install python-pip<br />
pip install mitmproxy<br />
</pre><br />
<br />
==tcpdump ja Wireshark==<br />
HTTPS liikluse püüdmiseks kasutame käsureavahendit <tt>tcpdump</tt> seetõttu, et servereid hallates ei ole meil tihtipeale ligipääsu graafilisele keskkonnale. Samas on Wireshark mugav ja kasutajasõbralik võrguliikluse uurimise töövahend ja <tt>tcpdump</tt>-i abil salvestatud liiklust saab Wiresharki abil hiljem suvalises teises masinas analüüsida.<br />
<br />
Kuna veebiserver on meie hallata, siis on meil olemas tema privaatvõti. See on ainus vajalik sisend Wiresharkile, et ta oskaks kinnipüütud pakette lahti krüpteerida.<br />
<br />
===Pakettide püüdmine===<br />
Kõigepealt paneme <tt>tcpdump</tt>-i kuulama liiklust liidesel <tt>eth1</tt> (antud juhul on see Virtualboxi ''host-only'' võrguliides), aadressil 192.168.56.201, pordil 443 (meil on sinna konfitud üks HTTPS toega ''virtualhost''). Seda tuleb teha juurkasutaja õigustes, et meile antaks ligipääs võrguliidesele.<br />
<pre><br />
tcpdump -w https_dump.pcap -i eth1 host 192.168.56.201 and port 443<br />
</pre><br />
<br />
Teeme klientmasinast päringu (öeldes, et usaldame serveri enda poolt allkirjastatud sertifikaati):<br />
<pre><br />
curl --insecure https://192.168.56.201<br />
</pre><br />
<br />
Nüüd lõpetame Ctrl+C abil serveris <tt>tcpdump</tt>i töö -- too ütleb lõpetades käsureale midagi sellist:<br />
<pre><br />
15 packets captured<br />
15 packets received by filter<br />
0 packets dropped by kernel<br />
</pre><br />
<br />
===Püütud pakettide uurimine===<br />
Järgmiseks on vaja <tt>tcpdump</tt>-i väljundfail saada masinasse, kus meil on võimalik kasutada Wiresharki (kusjuures salvestatud faili uurimiseks ei ole juurkasutaja õiguseid vaja).<br />
Käivitame Wiresharki ja avame oma .pcap faili. Esialgu näitab Wireshark küll HTTPS-iga seotud andmevahetust, kuid HTTP päringuid avatekstina pole võimalik näha.<br />
Wireshark võimaldab seda krüpteeritud sisuga andmevoogu ka eraldi aknas uurida ("Follow TCP Stream" suvalise paketi kontekstimenüüst).<br />
<br />
Järgmiseks hangime serverist tema privaatvõtme (NB! Erinevate ''virtualhost''ide olemasolul pead hankima just antud päringus kasutatud IP-le vastava võtme!)<br />
<br />
Wiresharkis võtame menüüst "Edit"->"Preferences" avanevas aknas "Protocols" alt "SSL" ja lisame serveri võtme:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark ssl keys.png|600px]]<br />
<br />
Kasulik on seadistada ka SSL ''debuglog''i failitee, et probleemide korral saaks vigu otsida. Näiteks võib juhtuda, et brauseri või serveri krüpto vaikeseadistused on sellised, et Wireshark ei saa pakettide sisu lahti krüpteerida, kuigi serveri privaatvõti ja muud parameetrid on korrektsed (failitee seadistamine jääb lugejale väljauurimiseks).<br />
<br />
Nimelt võib juhtuda, et peale võtmefaili määramist ja HTTPS suhtlusega seotud paketi kontekstimenüüs "Follow SSL Stream" valimist näidatakse tühjust.<br />
<br />
Sellisel juhul võiks debuglogist otsida sääraseid ridu:<br />
<pre><br />
ssl_decrypt_pre_master_secret session uses DH (17) key exchange, which is impossible to decrypt<br />
dissect_ssl3_handshake can't decrypt pre master secret<br />
</pre><br />
<br />
Nimelt Apache2 <tt>mod_ssl</tt> vaikimisi konfis on lubatud Diffie-Hellman võtmevahetuse protokolli kasutamine, mis aga muudab HTTPS liikluse Wireshark-i jaoks lahtivõetamatuks (erinevate krüptoprotokollide detailid on väljaspool selle artikli mahtu, kuid võtmefraasiks on siin ''perfect forward secrecy'').<br />
Lähemalt loe näiteks: <br />
[http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange Wikipediast]<br />
ja <br />
[http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls Stackexchange'ist].<br />
<br />
Üks võimalikke lahendusi on Apache2 <tt>mod_ssl</tt> konfis (<tt>/etc/apache2/mods-available/ssl.conf</tt>) keelata Diffie-Hellman võtmevahetuse tugi, näiteks võtmesõna DH abil:<br />
<pre><br />
SSLCipherSuite ALL:!EXP:!NULL:!DH:!LOW<br />
</pre><br />
<br />
Vt. lähemalt: [http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite]<br />
<br />
Peale veebiserveri restarti tuleb teha uus paketipüüdmine. Kui kõik muu on korrektselt tehtud, võib Wiresharkis uue .pcap faili avamisel näha umbes sellist pilti ja HTTP päringut-vastust avatekstina uurida:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark https decrypted.png|600px]]<br />
<br />
==mitmproxy==<br />
<br />
===Kliendi proxy seadistamine===<br />
Selleks, et <tt>mitmproxy</tt> abil HTTPS liikluse sisu uurida, tuleb ta kõigepealt HTTP kliendis (brauseris, <tt>curl</tt>-is vms) seadistada ''proxy''-ks.<br />
Nimelt, kui <tt>mitmproxy</tt> käivitada, siis vaikimisi kuulab ta aadressil 0.0.0.0 pordil 8080. Seega <tt>curl</tt>-ile anname need parameetrid ''proxy'' jaoks ja teeme HTTPS päringu oma serveri pihta.<br />
<br />
curl -x localhost:8080 --insecure https://192.168.56.201<br />
<br />
See päring ja vastus kajastuvad nüüd <tt>mitmproxy</tt> interaktiivses aknas.<br />
<br />
Päriselus kasutame vingemate veebirakenduste kasutamiseks siiski graafilist brauserit ja edasi läheme Chromiumi näitel, kus samuti on kõigepealt vaja seadistada ''proxy'' (ja brauser restartida). Seda siin ei kirjelda.<br />
<br />
===Teeseldud CA===<br />
Kui <tt>mitmproxy</tt> on seadistatud ''proxy''-ks, siis HTTPS päringute korral pakub ta brauserile tegeliku serveri sertifikaadi asemel omaenda n-ö ''dummy'' sertifikaati (e. mängib CA-d) ja on seetõttu võimeline ka HTTPS liiklust "vahelt võtma", kuna HTTPS osapoolteks on klient ja <tt>mitmproxy</tt>, mitte enam server. Peale esimest käivitust tekivad kasutaja kodukataloogi alamkataloogi <tt>.mitmproxy</tt> selle dummy CA-ga seotud failid.<br />
<pre><br />
ls ~/.mitmproxy/<br />
mitmproxy-ca-cert.cer mitmproxy-ca-cert.p12 mitmproxy-ca-cert.pem mitmproxy-ca.pem<br />
</pre><br />
<br />
Sellist dummy CA-d brauser vaikimisi ei usalda ja reageerib nagu tüüpiliselt ka iseallkirjastatud sertifikaatide puhul. Kui "harjumuspäraselt" vajutada "Proceed anyway", saame vaatlusalusele saidile tehtud HTTPS päringuid ja vastuseid üsna mugavalt uurida. Muidugi on <tt>mitmproxy</tt> CA võimalik lisada ka brauseri poolt usaldatavate CA-de hulka, aga seda siin ei kirjelda.<br />
<br />
===HTTPS päringute vaheltvõtmine===<br />
Edasi seadistame konkreetsele aadressile tehtavate päringute vaheltvõtmise. Selleks tuleb <tt>mitmproxy</tt> peaaknas vajutada "i" ja sisestada regulaaravaldis, mis meil on "192\.168\.56\.200".<br />
<br />
Kui nüüd minna aadressile https://192.168.56.201, siis brauser jääb ootele ja <tt>mitmproxy</tt> aknasse tekib päringukirje, ning vaheltvõetud päringu edasisaatmiseks tuleb vajutada "a". Seda tuleb teha ka vastusega, kui me vastust muuta ei soovi, et brauser vastuse kätte saaks.<br />
<br />
Päringuid ja vastuseid, mis veel ei ole "a" abil "aktsepteeritud", saame avatekstina uurida ja muuta! Lugejale jääb välja uurimiseks, mida mitmproxy peab silmas teatega "<tt>[decoded gzip] Couldn't parse: falling back to Raw</tt>" ja kas see takistab meil vastuse muutmist avatekstina.<br />
<br />
Näide vaheltvõetud vastusest:<br />
<br />
[[File:Marju ignatjeva Screenshot mitmproxy response.png|600px]]<br />
<br />
Põhjalikum <tt>mitmproxy</tt> [http://mitmproxy.org/doc/index.html kasutusjuhend] kirjeldab nii päringute filtreerimist kui päringute ja vastuste redigeerimist ja palju muud.<br />
<br />
Head eksperimenteerimist! ;-)<br />
<br />
==Kasutatud materjalid==<br />
* [http://segfault.in/2010/11/decrypt-https-traffic-using-wireshark-and-key-file/ Decrypt HTTPS Traffic Using Wireshark And Key File]<br />
* [http://www.youtube.com/watch?v=kQ1-0G90lQg mitmproxy - use and abuse of a hackable SSL-capable man-in-the-middle proxy - YouTube]<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=HTTPS_liikluse_uurimine_tcpdump,_Wireshark_ja_mitmproxy_abil&diff=62867HTTPS liikluse uurimine tcpdump, Wireshark ja mitmproxy abil2013-05-05T19:59:10Z<p>Mignatje: /* HTTPS päringute vaheltvõtmine */ Üks nüanss lisaks</p>
<hr />
<div>See artikkel räägib HTTPS liikluse analüüsimisest (HTTP päringute avatekstiks lahtivõtmise teel) kahes olukorras.<br />
Esiteks -- kui nii klient kui server on meie hallata ja me soovime testida, kas server saab just selliseid HTTP päringuid ja saadab selliseid vastuseid, nagu me eeldame.<br />
Teiseks -- kui serveriks on mõni avalik veebiteenus, millega suhtleme üle HTTPS protokolli, ja soovime teada, mida meie brauser serveriga räägib. Sisuliselt on siin tegemist olukorraga, kus me ei pruugi usaldada ei klienti (brauser jooksutab meie teadmata mingit kuritahtlikku skripti) ega ka serverit. Tegu võib olla ka mõne mobiilirakendusega, mille kohta soovime teada, mis andmeid ta meie telefoni kaudu edastab ja vastu võtab.<br />
<br />
'''NB! Siin artiklis toodud juhised on mõeldud liikluse heatahtlikuks uurimiskes, mitte kolmandate osapoolte andmevahetusse sissemurdmiseks!'''<br />
<br />
''Autor: Marju Ignatjeva''<br />
<br />
==Töövahendid ja keskkond==<br />
Kasutame töövahenditena <tt>tcpdump</tt>-i ja Wiresharki ning <tt>mitmproxy</tt>-t, HTTP kliendina ka <tt>curl</tt>-i.<br />
<br />
Läbivalt on kasutusel serveri aadress 192.168.56.201.<br />
<br />
Artikli lugejalt eeldan, et HTTPS üldine tööpõhimõte on selge ja et lugeja oskab Linuxi keskkonnas paigaldada tarkvara nii süsteemsest pakimajandusest kui ka Pythoni pakendussüsteemide (eeskätt <tt>pip</tt>) vahenditega, samuti saab hakkama käsureal. Töövahendite paigaldamise juhised on siiski ka artiklis olemas.<br />
<br />
Artiklis toodud näited põhinevad katsetustel 64-bitise Kubuntu 12.10 operatsioonisüsteemi all.<br />
<br />
===Töövahendite paigaldamine===<br />
Kui <tt>tcpdump</tt> ei ole paigaldatud, tuleb see juurkasutajana paigaldada käsuga<br />
<pre><br />
apt-get install tcpdump<br />
</pre><br />
<br />
Wiresharki paigaldame käsuga<br />
<pre><br />
apt-get install wireshark<br />
</pre><br />
<br />
HTTP päringuid on käsurealt mugav teha <tt>curl</tt> nimelise tööriistaga, paigaldame ka selle.<br />
<pre><br />
apt-get install curl<br />
</pre><br />
<br />
Kuna erinevate Linuxi distributsioonide pakimajanduses ei pruugi alati olla Pythonis kirjutatud tarkvarast väga värskeid versioone, siis <tt>mitmproxy</tt> paigaldamiseks on mõistlik kasutada <tt>pip</tt>-i.<br />
<pre><br />
apt-get install python-pip<br />
pip install mitmproxy<br />
</pre><br />
<br />
==tcpdump ja Wireshark==<br />
HTTPS liikluse püüdmiseks kasutame käsureavahendit <tt>tcpdump</tt> seetõttu, et servereid hallates ei ole meil tihtipeale ligipääsu graafilisele keskkonnale. Samas on Wireshark mugav ja kasutajasõbralik võrguliikluse uurimise töövahend ja <tt>tcpdump</tt>-i abil salvestatud liiklust saab Wiresharki abil hiljem suvalises teises masinas analüüsida.<br />
<br />
Kuna veebiserver on meie hallata, siis on meil olemas tema privaatvõti. See on ainus vajalik sisend Wiresharkile, et ta oskaks kinnipüütud pakette lahti krüpteerida.<br />
<br />
===Pakettide püüdmine===<br />
Kõigepealt paneme <tt>tcpdump</tt>-i kuulama liiklust liidesel <tt>eth1</tt> (antud juhul on see Virtualboxi ''host-only'' võrguliides), aadressil 192.168.56.201, pordil 443 (meil on sinna konfitud üks HTTPS toega ''virtualhost''). Seda tuleb teha juurkasutaja õigustes, et meile antaks ligipääs võrguliidesele.<br />
<pre><br />
tcpdump -w https_dump.pcap -i eth1 host 192.168.56.201 and port 443<br />
</pre><br />
<br />
Teeme klientmasinast päringu (öeldes, et usaldame serveri enda poolt allkirjastatud sertifikaati):<br />
<pre><br />
curl --insecure https://192.168.56.201<br />
</pre><br />
<br />
Nüüd lõpetame Ctrl+C abil serveris <tt>tcpdump</tt>i töö -- too ütleb lõpetades käsureale midagi sellist:<br />
<pre><br />
15 packets captured<br />
15 packets received by filter<br />
0 packets dropped by kernel<br />
</pre><br />
<br />
===Püütud pakettide uurimine===<br />
Järgmiseks on vaja <tt>tcpdump</tt>-i väljundfail saada masinasse, kus meil on võimalik kasutada Wiresharki (kusjuures salvestatud faili uurimiseks ei ole juurkasutaja õiguseid vaja).<br />
Käivitame Wiresharki ja avame oma .pcap faili. Esialgu näitab Wireshark küll HTTPS-iga seotud andmevahetust, kuid HTTP päringuid avatekstina pole võimalik näha.<br />
Wireshark võimaldab seda krüpteeritud sisuga andmevoogu ka eraldi aknas uurida ("Follow TCP Stream" suvalise paketi kontekstimenüüst).<br />
<br />
Järgmiseks hangime serverist tema privaatvõtme (NB! Erinevate ''virtualhost''ide olemasolul pead hankima just antud päringus kasutatud IP-le vastava võtme!)<br />
<br />
Wiresharkis võtame menüüst "Edit"->"Preferences" avanevas aknas "Protocols" alt "SSL" ja lisame serveri võtme:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark ssl keys.png|600px]]<br />
<br />
Kasulik on seadistada ka SSL ''debuglog''i failitee, et probleemide korral saaks vigu otsida. Näiteks võib juhtuda, et brauseri või serveri krüpto vaikeseadistused on sellised, et Wireshark ei saa pakettide sisu lahti krüpteerida, kuigi serveri privaatvõti ja muud parameetrid on korrektsed (failitee seadistamine jääb lugejale väljauurimiseks).<br />
<br />
Nimelt võib juhtuda, et peale võtmefaili määramist ja HTTPS suhtlusega seotud paketi kontekstimenüüs "Follow SSL Stream" valimist näidatakse tühjust.<br />
<br />
Sellisel juhul võiks debuglogist otsida sääraseid ridu:<br />
<pre><br />
ssl_decrypt_pre_master_secret session uses DH (17) key exchange, which is impossible to decrypt<br />
dissect_ssl3_handshake can't decrypt pre master secret<br />
</pre><br />
<br />
Nimelt Apache2 <tt>mod_ssl</tt> vaikimisi konfis on lubatud Diffie-Hellman võtmevahetuse protokolli kasutamine, mis aga muudab HTTPS liikluse Wireshark-i jaoks lahtivõetamatuks (erinevate krüptoprotokollide detailid on väljaspool selle artikli mahtu, kuid võtmefraasiks on siin ''perfect forward secrecy'').<br />
Lähemalt loe näiteks: <br />
[http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange Wikipediast]<br />
ja <br />
[http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls Stackexchange'ist].<br />
<br />
Üks võimalikke lahendusi on Apache2 <tt>mod_ssl</tt> konfis (<tt>/etc/apache2/mods-available/ssl.conf</tt>) keelata Diffie-Hellman võtmevahetuse tugi, näiteks võtmesõna DH abil:<br />
<pre><br />
SSLCipherSuite ALL:!EXP:!NULL:!DH:!LOW<br />
</pre><br />
<br />
Vt. lähemalt: [http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite]<br />
<br />
Peale veebiserveri restarti tuleb teha uus paketipüüdmine. Kui kõik muu on korrektselt tehtud, võib Wiresharkis uue .pcap faili avamisel näha umbes sellist pilti ja HTTP päringut-vastust avatekstina uurida:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark https decrypted.png|600px]]<br />
<br />
==mitmproxy==<br />
<br />
===Kliendi proxy seadistamine===<br />
Selleks, et <tt>mitmproxy</tt> abil HTTPS liikluse sisu uurida, tuleb ta kõigepealt HTTP kliendis (brauseris, <tt>curl</tt>-is vms) seadistada ''proxy''-ks.<br />
Nimelt, kui <tt>mitmproxy</tt> käivitada, siis vaikimisi kuulab ta aadressil 0.0.0.0 pordil 8080. Seega <tt>curl</tt>-ile anname need parameetrid ''proxy'' jaoks ja teeme HTTPS päringu oma serveri pihta.<br />
<br />
curl -x localhost:8080 --insecure https://192.168.56.201<br />
<br />
See päring ja vastus kajastuvad nüüd <tt>mitmproxy</tt> interaktiivses aknas.<br />
<br />
Päriselus kasutame vingemate veebirakenduste kasutamiseks siiski graafilist brauserit ja edasi läheme Chromiumi näitel, kus samuti on kõigepealt vaja seadistada ''proxy'' (ja brauser restartida). Seda siin ei kirjelda.<br />
<br />
===Teeseldud CA===<br />
Kui <tt>mitmproxy</tt> on seadistatud ''proxy''-ks, siis HTTPS päringute korral pakub ta brauserile tegeliku serveri sertifikaadi asemel omaenda n-ö ''dummy'' sertifikaati (e. mängib CA-d) ja on seetõttu võimeline ka HTTPS liiklust "vahelt võtma", kuna HTTPS osapoolteks on klient ja <tt>mitmproxy</tt>, mitte enam server. Peale esimest käivitust tekivad kasutaja kodukataloogi alamkataloogi <tt>.mitmproxy</tt> selle dummy CA-ga seotud failid.<br />
<pre><br />
ls ~/.mitmproxy/<br />
mitmproxy-ca-cert.cer mitmproxy-ca-cert.p12 mitmproxy-ca-cert.pem mitmproxy-ca.pem<br />
</pre><br />
<br />
Sellist dummy CA-d brauser vaikimisi ei usalda ja reageerib nagu tüüpiliselt ka iseallkirjastatud sertifikaatide puhul. Kui "harjumuspäraselt" vajutada "Proceed anyway", saame vaatlusalusele saidile tehtud HTTPS päringuid ja vastuseid üsna mugavalt uurida. Muidugi on <tt>mitmproxy</tt> CA võimalik lisada ka brauseri poolt usaldatavate CA-de hulka, aga seda siin ei kirjelda.<br />
<br />
===HTTPS päringute vaheltvõtmine===<br />
Edasi seadistame konkreetsele aadressile tehtavate päringute vaheltvõtmise. Selleks tuleb <tt>mitmproxy</tt> peaaknas vajutada "i" ja sisestada regulaaravaldis, mis meil on "192\.168\.56\.200".<br />
<br />
Kui nüüd minna aadressile https://192.168.56.201, siis brauser jääb ootele ja <tt>mitmproxy</tt> aknasse tekib päringukirje, ning vaheltvõetud päringu edasisaatmiseks tuleb vajutada "a". Seda tuleb teha ka vastusega, kui me vastust muuta ei soovi, et brauser vastuse kätte saaks.<br />
<br />
Päringuid ja vastuseid, mis veel ei ole "a" abil "aktsepteeritud", saame avatekstina uurida ja muuta! Lugejale jääb välja uurimiseks, mida mitmproxy peab silmas teatega "<tt>[decoded gzip] Couldn't parse: falling back to Raw</tt>" ja kas see takistab meil vastuse muutmist avatekstina.<br />
<br />
Näide vaheltvõetud vastusest:<br />
<br />
[[File:Marju ignatjeva Screenshot mitmproxy response.png|600px]]<br />
<br />
Põhjalikum <tt>mitmproxy</tt> [http://mitmproxy.org/doc/index.html kasutusjuhend] kirjeldab nii päringute filtreerimist kui päringute ja vastuste redigeerimist ja palju muud.<br />
<br />
Head eksperimenteerimist! ;-)<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=HTTPS_liikluse_uurimine_tcpdump,_Wireshark_ja_mitmproxy_abil&diff=62866HTTPS liikluse uurimine tcpdump, Wireshark ja mitmproxy abil2013-05-05T19:52:39Z<p>Mignatje: /* HTTPS päringute vaheltvõtmine */ mitmproxy pilt ka</p>
<hr />
<div>See artikkel räägib HTTPS liikluse analüüsimisest (HTTP päringute avatekstiks lahtivõtmise teel) kahes olukorras.<br />
Esiteks -- kui nii klient kui server on meie hallata ja me soovime testida, kas server saab just selliseid HTTP päringuid ja saadab selliseid vastuseid, nagu me eeldame.<br />
Teiseks -- kui serveriks on mõni avalik veebiteenus, millega suhtleme üle HTTPS protokolli, ja soovime teada, mida meie brauser serveriga räägib. Sisuliselt on siin tegemist olukorraga, kus me ei pruugi usaldada ei klienti (brauser jooksutab meie teadmata mingit kuritahtlikku skripti) ega ka serverit. Tegu võib olla ka mõne mobiilirakendusega, mille kohta soovime teada, mis andmeid ta meie telefoni kaudu edastab ja vastu võtab.<br />
<br />
'''NB! Siin artiklis toodud juhised on mõeldud liikluse heatahtlikuks uurimiskes, mitte kolmandate osapoolte andmevahetusse sissemurdmiseks!'''<br />
<br />
''Autor: Marju Ignatjeva''<br />
<br />
==Töövahendid ja keskkond==<br />
Kasutame töövahenditena <tt>tcpdump</tt>-i ja Wiresharki ning <tt>mitmproxy</tt>-t, HTTP kliendina ka <tt>curl</tt>-i.<br />
<br />
Läbivalt on kasutusel serveri aadress 192.168.56.201.<br />
<br />
Artikli lugejalt eeldan, et HTTPS üldine tööpõhimõte on selge ja et lugeja oskab Linuxi keskkonnas paigaldada tarkvara nii süsteemsest pakimajandusest kui ka Pythoni pakendussüsteemide (eeskätt <tt>pip</tt>) vahenditega, samuti saab hakkama käsureal. Töövahendite paigaldamise juhised on siiski ka artiklis olemas.<br />
<br />
Artiklis toodud näited põhinevad katsetustel 64-bitise Kubuntu 12.10 operatsioonisüsteemi all.<br />
<br />
===Töövahendite paigaldamine===<br />
Kui <tt>tcpdump</tt> ei ole paigaldatud, tuleb see juurkasutajana paigaldada käsuga<br />
<pre><br />
apt-get install tcpdump<br />
</pre><br />
<br />
Wiresharki paigaldame käsuga<br />
<pre><br />
apt-get install wireshark<br />
</pre><br />
<br />
HTTP päringuid on käsurealt mugav teha <tt>curl</tt> nimelise tööriistaga, paigaldame ka selle.<br />
<pre><br />
apt-get install curl<br />
</pre><br />
<br />
Kuna erinevate Linuxi distributsioonide pakimajanduses ei pruugi alati olla Pythonis kirjutatud tarkvarast väga värskeid versioone, siis <tt>mitmproxy</tt> paigaldamiseks on mõistlik kasutada <tt>pip</tt>-i.<br />
<pre><br />
apt-get install python-pip<br />
pip install mitmproxy<br />
</pre><br />
<br />
==tcpdump ja Wireshark==<br />
HTTPS liikluse püüdmiseks kasutame käsureavahendit <tt>tcpdump</tt> seetõttu, et servereid hallates ei ole meil tihtipeale ligipääsu graafilisele keskkonnale. Samas on Wireshark mugav ja kasutajasõbralik võrguliikluse uurimise töövahend ja <tt>tcpdump</tt>-i abil salvestatud liiklust saab Wiresharki abil hiljem suvalises teises masinas analüüsida.<br />
<br />
Kuna veebiserver on meie hallata, siis on meil olemas tema privaatvõti. See on ainus vajalik sisend Wiresharkile, et ta oskaks kinnipüütud pakette lahti krüpteerida.<br />
<br />
===Pakettide püüdmine===<br />
Kõigepealt paneme <tt>tcpdump</tt>-i kuulama liiklust liidesel <tt>eth1</tt> (antud juhul on see Virtualboxi ''host-only'' võrguliides), aadressil 192.168.56.201, pordil 443 (meil on sinna konfitud üks HTTPS toega ''virtualhost''). Seda tuleb teha juurkasutaja õigustes, et meile antaks ligipääs võrguliidesele.<br />
<pre><br />
tcpdump -w https_dump.pcap -i eth1 host 192.168.56.201 and port 443<br />
</pre><br />
<br />
Teeme klientmasinast päringu (öeldes, et usaldame serveri enda poolt allkirjastatud sertifikaati):<br />
<pre><br />
curl --insecure https://192.168.56.201<br />
</pre><br />
<br />
Nüüd lõpetame Ctrl+C abil serveris <tt>tcpdump</tt>i töö -- too ütleb lõpetades käsureale midagi sellist:<br />
<pre><br />
15 packets captured<br />
15 packets received by filter<br />
0 packets dropped by kernel<br />
</pre><br />
<br />
===Püütud pakettide uurimine===<br />
Järgmiseks on vaja <tt>tcpdump</tt>-i väljundfail saada masinasse, kus meil on võimalik kasutada Wiresharki (kusjuures salvestatud faili uurimiseks ei ole juurkasutaja õiguseid vaja).<br />
Käivitame Wiresharki ja avame oma .pcap faili. Esialgu näitab Wireshark küll HTTPS-iga seotud andmevahetust, kuid HTTP päringuid avatekstina pole võimalik näha.<br />
Wireshark võimaldab seda krüpteeritud sisuga andmevoogu ka eraldi aknas uurida ("Follow TCP Stream" suvalise paketi kontekstimenüüst).<br />
<br />
Järgmiseks hangime serverist tema privaatvõtme (NB! Erinevate ''virtualhost''ide olemasolul pead hankima just antud päringus kasutatud IP-le vastava võtme!)<br />
<br />
Wiresharkis võtame menüüst "Edit"->"Preferences" avanevas aknas "Protocols" alt "SSL" ja lisame serveri võtme:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark ssl keys.png|600px]]<br />
<br />
Kasulik on seadistada ka SSL ''debuglog''i failitee, et probleemide korral saaks vigu otsida. Näiteks võib juhtuda, et brauseri või serveri krüpto vaikeseadistused on sellised, et Wireshark ei saa pakettide sisu lahti krüpteerida, kuigi serveri privaatvõti ja muud parameetrid on korrektsed (failitee seadistamine jääb lugejale väljauurimiseks).<br />
<br />
Nimelt võib juhtuda, et peale võtmefaili määramist ja HTTPS suhtlusega seotud paketi kontekstimenüüs "Follow SSL Stream" valimist näidatakse tühjust.<br />
<br />
Sellisel juhul võiks debuglogist otsida sääraseid ridu:<br />
<pre><br />
ssl_decrypt_pre_master_secret session uses DH (17) key exchange, which is impossible to decrypt<br />
dissect_ssl3_handshake can't decrypt pre master secret<br />
</pre><br />
<br />
Nimelt Apache2 <tt>mod_ssl</tt> vaikimisi konfis on lubatud Diffie-Hellman võtmevahetuse protokolli kasutamine, mis aga muudab HTTPS liikluse Wireshark-i jaoks lahtivõetamatuks (erinevate krüptoprotokollide detailid on väljaspool selle artikli mahtu, kuid võtmefraasiks on siin ''perfect forward secrecy'').<br />
Lähemalt loe näiteks: <br />
[http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange Wikipediast]<br />
ja <br />
[http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls Stackexchange'ist].<br />
<br />
Üks võimalikke lahendusi on Apache2 <tt>mod_ssl</tt> konfis (<tt>/etc/apache2/mods-available/ssl.conf</tt>) keelata Diffie-Hellman võtmevahetuse tugi, näiteks võtmesõna DH abil:<br />
<pre><br />
SSLCipherSuite ALL:!EXP:!NULL:!DH:!LOW<br />
</pre><br />
<br />
Vt. lähemalt: [http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite]<br />
<br />
Peale veebiserveri restarti tuleb teha uus paketipüüdmine. Kui kõik muu on korrektselt tehtud, võib Wiresharkis uue .pcap faili avamisel näha umbes sellist pilti ja HTTP päringut-vastust avatekstina uurida:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark https decrypted.png|600px]]<br />
<br />
==mitmproxy==<br />
<br />
===Kliendi proxy seadistamine===<br />
Selleks, et <tt>mitmproxy</tt> abil HTTPS liikluse sisu uurida, tuleb ta kõigepealt HTTP kliendis (brauseris, <tt>curl</tt>-is vms) seadistada ''proxy''-ks.<br />
Nimelt, kui <tt>mitmproxy</tt> käivitada, siis vaikimisi kuulab ta aadressil 0.0.0.0 pordil 8080. Seega <tt>curl</tt>-ile anname need parameetrid ''proxy'' jaoks ja teeme HTTPS päringu oma serveri pihta.<br />
<br />
curl -x localhost:8080 --insecure https://192.168.56.201<br />
<br />
See päring ja vastus kajastuvad nüüd <tt>mitmproxy</tt> interaktiivses aknas.<br />
<br />
Päriselus kasutame vingemate veebirakenduste kasutamiseks siiski graafilist brauserit ja edasi läheme Chromiumi näitel, kus samuti on kõigepealt vaja seadistada ''proxy'' (ja brauser restartida). Seda siin ei kirjelda.<br />
<br />
===Teeseldud CA===<br />
Kui <tt>mitmproxy</tt> on seadistatud ''proxy''-ks, siis HTTPS päringute korral pakub ta brauserile tegeliku serveri sertifikaadi asemel omaenda n-ö ''dummy'' sertifikaati (e. mängib CA-d) ja on seetõttu võimeline ka HTTPS liiklust "vahelt võtma", kuna HTTPS osapoolteks on klient ja <tt>mitmproxy</tt>, mitte enam server. Peale esimest käivitust tekivad kasutaja kodukataloogi alamkataloogi <tt>.mitmproxy</tt> selle dummy CA-ga seotud failid.<br />
<pre><br />
ls ~/.mitmproxy/<br />
mitmproxy-ca-cert.cer mitmproxy-ca-cert.p12 mitmproxy-ca-cert.pem mitmproxy-ca.pem<br />
</pre><br />
<br />
Sellist dummy CA-d brauser vaikimisi ei usalda ja reageerib nagu tüüpiliselt ka iseallkirjastatud sertifikaatide puhul. Kui "harjumuspäraselt" vajutada "Proceed anyway", saame vaatlusalusele saidile tehtud HTTPS päringuid ja vastuseid üsna mugavalt uurida. Muidugi on <tt>mitmproxy</tt> CA võimalik lisada ka brauseri poolt usaldatavate CA-de hulka, aga seda siin ei kirjelda.<br />
<br />
===HTTPS päringute vaheltvõtmine===<br />
Edasi seadistame konkreetsele aadressile tehtavate päringute vaheltvõtmise. Selleks tuleb <tt>mitmproxy</tt> peaaknas vajutada "i" ja sisestada regulaaravaldis, mis meil on "192\.168\.56\.200".<br />
<br />
Kui nüüd minna aadressile https://192.168.56.201, siis brauser jääb ootele ja <tt>mitmproxy</tt> aknasse tekib päringukirje, ning vaheltvõetud päringu edasisaatmiseks tuleb vajutada "a". Seda tuleb teha ka vastusega, kui me vastust muuta ei soovi, et brauser vastuse kätte saaks.<br />
<br />
Päringuid ja vastuseid, mis veel ei ole "a" abil "aktsepteeritud", saame avatekstina uurida ja muuta!<br />
<br />
Näide vaheltvõetud vastusest:<br />
<br />
[[File:Marju ignatjeva Screenshot mitmproxy response.png|600px]]<br />
<br />
Põhjalikum <tt>mitmproxy</tt> [http://mitmproxy.org/doc/index.html kasutusjuhend] kirjeldab nii päringute filtreerimist kui päringute ja vastuste redigeerimist ja palju muud.<br />
<br />
Head eksperimenteerimist! ;-)<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=File:Marju_ignatjeva_Screenshot_mitmproxy_response.png&diff=62865File:Marju ignatjeva Screenshot mitmproxy response.png2013-05-05T19:51:36Z<p>Mignatje: IT infra wiki artikli jaoks.</p>
<hr />
<div>IT infra wiki artikli jaoks.</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=HTTPS_liikluse_uurimine_tcpdump,_Wireshark_ja_mitmproxy_abil&diff=62864HTTPS liikluse uurimine tcpdump, Wireshark ja mitmproxy abil2013-05-05T19:49:29Z<p>Mignatje: /* Püütud pakettide uurimine */ URL-id inimloetavamaks</p>
<hr />
<div>See artikkel räägib HTTPS liikluse analüüsimisest (HTTP päringute avatekstiks lahtivõtmise teel) kahes olukorras.<br />
Esiteks -- kui nii klient kui server on meie hallata ja me soovime testida, kas server saab just selliseid HTTP päringuid ja saadab selliseid vastuseid, nagu me eeldame.<br />
Teiseks -- kui serveriks on mõni avalik veebiteenus, millega suhtleme üle HTTPS protokolli, ja soovime teada, mida meie brauser serveriga räägib. Sisuliselt on siin tegemist olukorraga, kus me ei pruugi usaldada ei klienti (brauser jooksutab meie teadmata mingit kuritahtlikku skripti) ega ka serverit. Tegu võib olla ka mõne mobiilirakendusega, mille kohta soovime teada, mis andmeid ta meie telefoni kaudu edastab ja vastu võtab.<br />
<br />
'''NB! Siin artiklis toodud juhised on mõeldud liikluse heatahtlikuks uurimiskes, mitte kolmandate osapoolte andmevahetusse sissemurdmiseks!'''<br />
<br />
''Autor: Marju Ignatjeva''<br />
<br />
==Töövahendid ja keskkond==<br />
Kasutame töövahenditena <tt>tcpdump</tt>-i ja Wiresharki ning <tt>mitmproxy</tt>-t, HTTP kliendina ka <tt>curl</tt>-i.<br />
<br />
Läbivalt on kasutusel serveri aadress 192.168.56.201.<br />
<br />
Artikli lugejalt eeldan, et HTTPS üldine tööpõhimõte on selge ja et lugeja oskab Linuxi keskkonnas paigaldada tarkvara nii süsteemsest pakimajandusest kui ka Pythoni pakendussüsteemide (eeskätt <tt>pip</tt>) vahenditega, samuti saab hakkama käsureal. Töövahendite paigaldamise juhised on siiski ka artiklis olemas.<br />
<br />
Artiklis toodud näited põhinevad katsetustel 64-bitise Kubuntu 12.10 operatsioonisüsteemi all.<br />
<br />
===Töövahendite paigaldamine===<br />
Kui <tt>tcpdump</tt> ei ole paigaldatud, tuleb see juurkasutajana paigaldada käsuga<br />
<pre><br />
apt-get install tcpdump<br />
</pre><br />
<br />
Wiresharki paigaldame käsuga<br />
<pre><br />
apt-get install wireshark<br />
</pre><br />
<br />
HTTP päringuid on käsurealt mugav teha <tt>curl</tt> nimelise tööriistaga, paigaldame ka selle.<br />
<pre><br />
apt-get install curl<br />
</pre><br />
<br />
Kuna erinevate Linuxi distributsioonide pakimajanduses ei pruugi alati olla Pythonis kirjutatud tarkvarast väga värskeid versioone, siis <tt>mitmproxy</tt> paigaldamiseks on mõistlik kasutada <tt>pip</tt>-i.<br />
<pre><br />
apt-get install python-pip<br />
pip install mitmproxy<br />
</pre><br />
<br />
==tcpdump ja Wireshark==<br />
HTTPS liikluse püüdmiseks kasutame käsureavahendit <tt>tcpdump</tt> seetõttu, et servereid hallates ei ole meil tihtipeale ligipääsu graafilisele keskkonnale. Samas on Wireshark mugav ja kasutajasõbralik võrguliikluse uurimise töövahend ja <tt>tcpdump</tt>-i abil salvestatud liiklust saab Wiresharki abil hiljem suvalises teises masinas analüüsida.<br />
<br />
Kuna veebiserver on meie hallata, siis on meil olemas tema privaatvõti. See on ainus vajalik sisend Wiresharkile, et ta oskaks kinnipüütud pakette lahti krüpteerida.<br />
<br />
===Pakettide püüdmine===<br />
Kõigepealt paneme <tt>tcpdump</tt>-i kuulama liiklust liidesel <tt>eth1</tt> (antud juhul on see Virtualboxi ''host-only'' võrguliides), aadressil 192.168.56.201, pordil 443 (meil on sinna konfitud üks HTTPS toega ''virtualhost''). Seda tuleb teha juurkasutaja õigustes, et meile antaks ligipääs võrguliidesele.<br />
<pre><br />
tcpdump -w https_dump.pcap -i eth1 host 192.168.56.201 and port 443<br />
</pre><br />
<br />
Teeme klientmasinast päringu (öeldes, et usaldame serveri enda poolt allkirjastatud sertifikaati):<br />
<pre><br />
curl --insecure https://192.168.56.201<br />
</pre><br />
<br />
Nüüd lõpetame Ctrl+C abil serveris <tt>tcpdump</tt>i töö -- too ütleb lõpetades käsureale midagi sellist:<br />
<pre><br />
15 packets captured<br />
15 packets received by filter<br />
0 packets dropped by kernel<br />
</pre><br />
<br />
===Püütud pakettide uurimine===<br />
Järgmiseks on vaja <tt>tcpdump</tt>-i väljundfail saada masinasse, kus meil on võimalik kasutada Wiresharki (kusjuures salvestatud faili uurimiseks ei ole juurkasutaja õiguseid vaja).<br />
Käivitame Wiresharki ja avame oma .pcap faili. Esialgu näitab Wireshark küll HTTPS-iga seotud andmevahetust, kuid HTTP päringuid avatekstina pole võimalik näha.<br />
Wireshark võimaldab seda krüpteeritud sisuga andmevoogu ka eraldi aknas uurida ("Follow TCP Stream" suvalise paketi kontekstimenüüst).<br />
<br />
Järgmiseks hangime serverist tema privaatvõtme (NB! Erinevate ''virtualhost''ide olemasolul pead hankima just antud päringus kasutatud IP-le vastava võtme!)<br />
<br />
Wiresharkis võtame menüüst "Edit"->"Preferences" avanevas aknas "Protocols" alt "SSL" ja lisame serveri võtme:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark ssl keys.png|600px]]<br />
<br />
Kasulik on seadistada ka SSL ''debuglog''i failitee, et probleemide korral saaks vigu otsida. Näiteks võib juhtuda, et brauseri või serveri krüpto vaikeseadistused on sellised, et Wireshark ei saa pakettide sisu lahti krüpteerida, kuigi serveri privaatvõti ja muud parameetrid on korrektsed (failitee seadistamine jääb lugejale väljauurimiseks).<br />
<br />
Nimelt võib juhtuda, et peale võtmefaili määramist ja HTTPS suhtlusega seotud paketi kontekstimenüüs "Follow SSL Stream" valimist näidatakse tühjust.<br />
<br />
Sellisel juhul võiks debuglogist otsida sääraseid ridu:<br />
<pre><br />
ssl_decrypt_pre_master_secret session uses DH (17) key exchange, which is impossible to decrypt<br />
dissect_ssl3_handshake can't decrypt pre master secret<br />
</pre><br />
<br />
Nimelt Apache2 <tt>mod_ssl</tt> vaikimisi konfis on lubatud Diffie-Hellman võtmevahetuse protokolli kasutamine, mis aga muudab HTTPS liikluse Wireshark-i jaoks lahtivõetamatuks (erinevate krüptoprotokollide detailid on väljaspool selle artikli mahtu, kuid võtmefraasiks on siin ''perfect forward secrecy'').<br />
Lähemalt loe näiteks: <br />
[http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange Wikipediast]<br />
ja <br />
[http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls Stackexchange'ist].<br />
<br />
Üks võimalikke lahendusi on Apache2 <tt>mod_ssl</tt> konfis (<tt>/etc/apache2/mods-available/ssl.conf</tt>) keelata Diffie-Hellman võtmevahetuse tugi, näiteks võtmesõna DH abil:<br />
<pre><br />
SSLCipherSuite ALL:!EXP:!NULL:!DH:!LOW<br />
</pre><br />
<br />
Vt. lähemalt: [http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite]<br />
<br />
Peale veebiserveri restarti tuleb teha uus paketipüüdmine. Kui kõik muu on korrektselt tehtud, võib Wiresharkis uue .pcap faili avamisel näha umbes sellist pilti ja HTTP päringut-vastust avatekstina uurida:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark https decrypted.png|600px]]<br />
<br />
==mitmproxy==<br />
<br />
===Kliendi proxy seadistamine===<br />
Selleks, et <tt>mitmproxy</tt> abil HTTPS liikluse sisu uurida, tuleb ta kõigepealt HTTP kliendis (brauseris, <tt>curl</tt>-is vms) seadistada ''proxy''-ks.<br />
Nimelt, kui <tt>mitmproxy</tt> käivitada, siis vaikimisi kuulab ta aadressil 0.0.0.0 pordil 8080. Seega <tt>curl</tt>-ile anname need parameetrid ''proxy'' jaoks ja teeme HTTPS päringu oma serveri pihta.<br />
<br />
curl -x localhost:8080 --insecure https://192.168.56.201<br />
<br />
See päring ja vastus kajastuvad nüüd <tt>mitmproxy</tt> interaktiivses aknas.<br />
<br />
Päriselus kasutame vingemate veebirakenduste kasutamiseks siiski graafilist brauserit ja edasi läheme Chromiumi näitel, kus samuti on kõigepealt vaja seadistada ''proxy'' (ja brauser restartida). Seda siin ei kirjelda.<br />
<br />
===Teeseldud CA===<br />
Kui <tt>mitmproxy</tt> on seadistatud ''proxy''-ks, siis HTTPS päringute korral pakub ta brauserile tegeliku serveri sertifikaadi asemel omaenda n-ö ''dummy'' sertifikaati (e. mängib CA-d) ja on seetõttu võimeline ka HTTPS liiklust "vahelt võtma", kuna HTTPS osapoolteks on klient ja <tt>mitmproxy</tt>, mitte enam server. Peale esimest käivitust tekivad kasutaja kodukataloogi alamkataloogi <tt>.mitmproxy</tt> selle dummy CA-ga seotud failid.<br />
<pre><br />
ls ~/.mitmproxy/<br />
mitmproxy-ca-cert.cer mitmproxy-ca-cert.p12 mitmproxy-ca-cert.pem mitmproxy-ca.pem<br />
</pre><br />
<br />
Sellist dummy CA-d brauser vaikimisi ei usalda ja reageerib nagu tüüpiliselt ka iseallkirjastatud sertifikaatide puhul. Kui "harjumuspäraselt" vajutada "Proceed anyway", saame vaatlusalusele saidile tehtud HTTPS päringuid ja vastuseid üsna mugavalt uurida. Muidugi on <tt>mitmproxy</tt> CA võimalik lisada ka brauseri poolt usaldatavate CA-de hulka, aga seda siin ei kirjelda.<br />
<br />
===HTTPS päringute vaheltvõtmine===<br />
Edasi seadistame konkreetsele aadressile tehtavate päringute vaheltvõtmise. Selleks tuleb <tt>mitmproxy</tt> peaaknas vajutada "i" ja sisestada regulaaravaldis, mis meil on "192\.168\.56\.200".<br />
<br />
Kui nüüd minna aadressile https://192.168.56.201, siis brauser jääb ootele ja <tt>mitmproxy</tt> aknasse tekib päringukirje, ning vaheltvõetud päringu edasisaatmiseks tuleb vajutada "a". Seda tuleb teha ka vastusega, kui me vastust muuta ei soovi, et brauser vastuse kätte saaks.<br />
<br />
Päringuid ja vastuseid, mis veel ei ole "a" abil "aktsepteeritud", saame avatekstina uurida ja muuta!<br />
<br />
Näide vaheltvõetud vastusest:<br />
FIXME: screenshot<br />
<br />
Põhjalikum <tt>mitmproxy</tt> [http://mitmproxy.org/doc/index.html kasutusjuhend] kirjeldab nii päringute filtreerimist kui päringute ja vastuste redigeerimist ja palju muud.<br />
<br />
Head eksperimenteerimist! ;-)<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=HTTPS_liikluse_uurimine_tcpdump,_Wireshark_ja_mitmproxy_abil&diff=62863HTTPS liikluse uurimine tcpdump, Wireshark ja mitmproxy abil2013-05-05T19:48:03Z<p>Mignatje: /* Püütud pakettide uurimine */ termini parandus</p>
<hr />
<div>See artikkel räägib HTTPS liikluse analüüsimisest (HTTP päringute avatekstiks lahtivõtmise teel) kahes olukorras.<br />
Esiteks -- kui nii klient kui server on meie hallata ja me soovime testida, kas server saab just selliseid HTTP päringuid ja saadab selliseid vastuseid, nagu me eeldame.<br />
Teiseks -- kui serveriks on mõni avalik veebiteenus, millega suhtleme üle HTTPS protokolli, ja soovime teada, mida meie brauser serveriga räägib. Sisuliselt on siin tegemist olukorraga, kus me ei pruugi usaldada ei klienti (brauser jooksutab meie teadmata mingit kuritahtlikku skripti) ega ka serverit. Tegu võib olla ka mõne mobiilirakendusega, mille kohta soovime teada, mis andmeid ta meie telefoni kaudu edastab ja vastu võtab.<br />
<br />
'''NB! Siin artiklis toodud juhised on mõeldud liikluse heatahtlikuks uurimiskes, mitte kolmandate osapoolte andmevahetusse sissemurdmiseks!'''<br />
<br />
''Autor: Marju Ignatjeva''<br />
<br />
==Töövahendid ja keskkond==<br />
Kasutame töövahenditena <tt>tcpdump</tt>-i ja Wiresharki ning <tt>mitmproxy</tt>-t, HTTP kliendina ka <tt>curl</tt>-i.<br />
<br />
Läbivalt on kasutusel serveri aadress 192.168.56.201.<br />
<br />
Artikli lugejalt eeldan, et HTTPS üldine tööpõhimõte on selge ja et lugeja oskab Linuxi keskkonnas paigaldada tarkvara nii süsteemsest pakimajandusest kui ka Pythoni pakendussüsteemide (eeskätt <tt>pip</tt>) vahenditega, samuti saab hakkama käsureal. Töövahendite paigaldamise juhised on siiski ka artiklis olemas.<br />
<br />
Artiklis toodud näited põhinevad katsetustel 64-bitise Kubuntu 12.10 operatsioonisüsteemi all.<br />
<br />
===Töövahendite paigaldamine===<br />
Kui <tt>tcpdump</tt> ei ole paigaldatud, tuleb see juurkasutajana paigaldada käsuga<br />
<pre><br />
apt-get install tcpdump<br />
</pre><br />
<br />
Wiresharki paigaldame käsuga<br />
<pre><br />
apt-get install wireshark<br />
</pre><br />
<br />
HTTP päringuid on käsurealt mugav teha <tt>curl</tt> nimelise tööriistaga, paigaldame ka selle.<br />
<pre><br />
apt-get install curl<br />
</pre><br />
<br />
Kuna erinevate Linuxi distributsioonide pakimajanduses ei pruugi alati olla Pythonis kirjutatud tarkvarast väga värskeid versioone, siis <tt>mitmproxy</tt> paigaldamiseks on mõistlik kasutada <tt>pip</tt>-i.<br />
<pre><br />
apt-get install python-pip<br />
pip install mitmproxy<br />
</pre><br />
<br />
==tcpdump ja Wireshark==<br />
HTTPS liikluse püüdmiseks kasutame käsureavahendit <tt>tcpdump</tt> seetõttu, et servereid hallates ei ole meil tihtipeale ligipääsu graafilisele keskkonnale. Samas on Wireshark mugav ja kasutajasõbralik võrguliikluse uurimise töövahend ja <tt>tcpdump</tt>-i abil salvestatud liiklust saab Wiresharki abil hiljem suvalises teises masinas analüüsida.<br />
<br />
Kuna veebiserver on meie hallata, siis on meil olemas tema privaatvõti. See on ainus vajalik sisend Wiresharkile, et ta oskaks kinnipüütud pakette lahti krüpteerida.<br />
<br />
===Pakettide püüdmine===<br />
Kõigepealt paneme <tt>tcpdump</tt>-i kuulama liiklust liidesel <tt>eth1</tt> (antud juhul on see Virtualboxi ''host-only'' võrguliides), aadressil 192.168.56.201, pordil 443 (meil on sinna konfitud üks HTTPS toega ''virtualhost''). Seda tuleb teha juurkasutaja õigustes, et meile antaks ligipääs võrguliidesele.<br />
<pre><br />
tcpdump -w https_dump.pcap -i eth1 host 192.168.56.201 and port 443<br />
</pre><br />
<br />
Teeme klientmasinast päringu (öeldes, et usaldame serveri enda poolt allkirjastatud sertifikaati):<br />
<pre><br />
curl --insecure https://192.168.56.201<br />
</pre><br />
<br />
Nüüd lõpetame Ctrl+C abil serveris <tt>tcpdump</tt>i töö -- too ütleb lõpetades käsureale midagi sellist:<br />
<pre><br />
15 packets captured<br />
15 packets received by filter<br />
0 packets dropped by kernel<br />
</pre><br />
<br />
===Püütud pakettide uurimine===<br />
Järgmiseks on vaja <tt>tcpdump</tt>-i väljundfail saada masinasse, kus meil on võimalik kasutada Wiresharki (kusjuures salvestatud faili uurimiseks ei ole juurkasutaja õiguseid vaja).<br />
Käivitame Wiresharki ja avame oma .pcap faili. Esialgu näitab Wireshark küll HTTPS-iga seotud andmevahetust, kuid HTTP päringuid avatekstina pole võimalik näha.<br />
Wireshark võimaldab seda krüpteeritud sisuga andmevoogu ka eraldi aknas uurida ("Follow TCP Stream" suvalise paketi kontekstimenüüst).<br />
<br />
Järgmiseks hangime serverist tema privaatvõtme (NB! Erinevate ''virtualhost''ide olemasolul pead hankima just antud päringus kasutatud IP-le vastava võtme!)<br />
<br />
Wiresharkis võtame menüüst "Edit"->"Preferences" avanevas aknas "Protocols" alt "SSL" ja lisame serveri võtme:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark ssl keys.png|600px]]<br />
<br />
Kasulik on seadistada ka SSL ''debuglog''i failitee, et probleemide korral saaks vigu otsida. Näiteks võib juhtuda, et brauseri või serveri krüpto vaikeseadistused on sellised, et Wireshark ei saa pakettide sisu lahti krüpteerida, kuigi serveri privaatvõti ja muud parameetrid on korrektsed (failitee seadistamine jääb lugejale väljauurimiseks).<br />
<br />
Nimelt võib juhtuda, et peale võtmefaili määramist ja HTTPS suhtlusega seotud paketi kontekstimenüüs "Follow SSL Stream" valimist näidatakse tühjust.<br />
<br />
Sellisel juhul võiks debuglogist otsida sääraseid ridu:<br />
<pre><br />
ssl_decrypt_pre_master_secret session uses DH (17) key exchange, which is impossible to decrypt<br />
dissect_ssl3_handshake can't decrypt pre master secret<br />
</pre><br />
<br />
Nimelt Apache2 <tt>mod_ssl</tt> vaikimisi konfis on lubatud Diffie-Hellman võtmevahetuse protokolli kasutamine, mis aga muudab HTTPS liikluse Wireshark-i jaoks lahtivõetamatuks (erinevate krüptoprotokollide detailid on väljaspool selle artikli mahtu, kuid võtmefraasiks on siin ''perfect forward secrecy'').<br />
Lähemalt loe näiteks: <br />
[http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange]<br />
ja <br />
[http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls]<br />
<br />
Üks võimalikke lahendusi on Apache2 <tt>mod_ssl</tt> konfis (<tt>/etc/apache2/mods-available/ssl.conf</tt>) keelata Diffie-Hellman võtmevahetuse tugi, näiteks võtmesõna DH abil:<br />
<pre><br />
SSLCipherSuite ALL:!EXP:!NULL:!DH:!LOW<br />
</pre><br />
<br />
Vt. lähemalt: [http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite]<br />
<br />
Peale veebiserveri restarti tuleb teha uus paketipüüdmine. Kui kõik muu on korrektselt tehtud, võib Wiresharkis uue .pcap faili avamisel näha umbes sellist pilti ja HTTP päringut-vastust avatekstina uurida:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark https decrypted.png|600px]]<br />
<br />
==mitmproxy==<br />
<br />
===Kliendi proxy seadistamine===<br />
Selleks, et <tt>mitmproxy</tt> abil HTTPS liikluse sisu uurida, tuleb ta kõigepealt HTTP kliendis (brauseris, <tt>curl</tt>-is vms) seadistada ''proxy''-ks.<br />
Nimelt, kui <tt>mitmproxy</tt> käivitada, siis vaikimisi kuulab ta aadressil 0.0.0.0 pordil 8080. Seega <tt>curl</tt>-ile anname need parameetrid ''proxy'' jaoks ja teeme HTTPS päringu oma serveri pihta.<br />
<br />
curl -x localhost:8080 --insecure https://192.168.56.201<br />
<br />
See päring ja vastus kajastuvad nüüd <tt>mitmproxy</tt> interaktiivses aknas.<br />
<br />
Päriselus kasutame vingemate veebirakenduste kasutamiseks siiski graafilist brauserit ja edasi läheme Chromiumi näitel, kus samuti on kõigepealt vaja seadistada ''proxy'' (ja brauser restartida). Seda siin ei kirjelda.<br />
<br />
===Teeseldud CA===<br />
Kui <tt>mitmproxy</tt> on seadistatud ''proxy''-ks, siis HTTPS päringute korral pakub ta brauserile tegeliku serveri sertifikaadi asemel omaenda n-ö ''dummy'' sertifikaati (e. mängib CA-d) ja on seetõttu võimeline ka HTTPS liiklust "vahelt võtma", kuna HTTPS osapoolteks on klient ja <tt>mitmproxy</tt>, mitte enam server. Peale esimest käivitust tekivad kasutaja kodukataloogi alamkataloogi <tt>.mitmproxy</tt> selle dummy CA-ga seotud failid.<br />
<pre><br />
ls ~/.mitmproxy/<br />
mitmproxy-ca-cert.cer mitmproxy-ca-cert.p12 mitmproxy-ca-cert.pem mitmproxy-ca.pem<br />
</pre><br />
<br />
Sellist dummy CA-d brauser vaikimisi ei usalda ja reageerib nagu tüüpiliselt ka iseallkirjastatud sertifikaatide puhul. Kui "harjumuspäraselt" vajutada "Proceed anyway", saame vaatlusalusele saidile tehtud HTTPS päringuid ja vastuseid üsna mugavalt uurida. Muidugi on <tt>mitmproxy</tt> CA võimalik lisada ka brauseri poolt usaldatavate CA-de hulka, aga seda siin ei kirjelda.<br />
<br />
===HTTPS päringute vaheltvõtmine===<br />
Edasi seadistame konkreetsele aadressile tehtavate päringute vaheltvõtmise. Selleks tuleb <tt>mitmproxy</tt> peaaknas vajutada "i" ja sisestada regulaaravaldis, mis meil on "192\.168\.56\.200".<br />
<br />
Kui nüüd minna aadressile https://192.168.56.201, siis brauser jääb ootele ja <tt>mitmproxy</tt> aknasse tekib päringukirje, ning vaheltvõetud päringu edasisaatmiseks tuleb vajutada "a". Seda tuleb teha ka vastusega, kui me vastust muuta ei soovi, et brauser vastuse kätte saaks.<br />
<br />
Päringuid ja vastuseid, mis veel ei ole "a" abil "aktsepteeritud", saame avatekstina uurida ja muuta!<br />
<br />
Näide vaheltvõetud vastusest:<br />
FIXME: screenshot<br />
<br />
Põhjalikum <tt>mitmproxy</tt> [http://mitmproxy.org/doc/index.html kasutusjuhend] kirjeldab nii päringute filtreerimist kui päringute ja vastuste redigeerimist ja palju muud.<br />
<br />
Head eksperimenteerimist! ;-)<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=HTTPS_liikluse_uurimine_tcpdump,_Wireshark_ja_mitmproxy_abil&diff=62862HTTPS liikluse uurimine tcpdump, Wireshark ja mitmproxy abil2013-05-05T19:46:55Z<p>Mignatje: pisiparandused</p>
<hr />
<div>See artikkel räägib HTTPS liikluse analüüsimisest (HTTP päringute avatekstiks lahtivõtmise teel) kahes olukorras.<br />
Esiteks -- kui nii klient kui server on meie hallata ja me soovime testida, kas server saab just selliseid HTTP päringuid ja saadab selliseid vastuseid, nagu me eeldame.<br />
Teiseks -- kui serveriks on mõni avalik veebiteenus, millega suhtleme üle HTTPS protokolli, ja soovime teada, mida meie brauser serveriga räägib. Sisuliselt on siin tegemist olukorraga, kus me ei pruugi usaldada ei klienti (brauser jooksutab meie teadmata mingit kuritahtlikku skripti) ega ka serverit. Tegu võib olla ka mõne mobiilirakendusega, mille kohta soovime teada, mis andmeid ta meie telefoni kaudu edastab ja vastu võtab.<br />
<br />
'''NB! Siin artiklis toodud juhised on mõeldud liikluse heatahtlikuks uurimiskes, mitte kolmandate osapoolte andmevahetusse sissemurdmiseks!'''<br />
<br />
''Autor: Marju Ignatjeva''<br />
<br />
==Töövahendid ja keskkond==<br />
Kasutame töövahenditena <tt>tcpdump</tt>-i ja Wiresharki ning <tt>mitmproxy</tt>-t, HTTP kliendina ka <tt>curl</tt>-i.<br />
<br />
Läbivalt on kasutusel serveri aadress 192.168.56.201.<br />
<br />
Artikli lugejalt eeldan, et HTTPS üldine tööpõhimõte on selge ja et lugeja oskab Linuxi keskkonnas paigaldada tarkvara nii süsteemsest pakimajandusest kui ka Pythoni pakendussüsteemide (eeskätt <tt>pip</tt>) vahenditega, samuti saab hakkama käsureal. Töövahendite paigaldamise juhised on siiski ka artiklis olemas.<br />
<br />
Artiklis toodud näited põhinevad katsetustel 64-bitise Kubuntu 12.10 operatsioonisüsteemi all.<br />
<br />
===Töövahendite paigaldamine===<br />
Kui <tt>tcpdump</tt> ei ole paigaldatud, tuleb see juurkasutajana paigaldada käsuga<br />
<pre><br />
apt-get install tcpdump<br />
</pre><br />
<br />
Wiresharki paigaldame käsuga<br />
<pre><br />
apt-get install wireshark<br />
</pre><br />
<br />
HTTP päringuid on käsurealt mugav teha <tt>curl</tt> nimelise tööriistaga, paigaldame ka selle.<br />
<pre><br />
apt-get install curl<br />
</pre><br />
<br />
Kuna erinevate Linuxi distributsioonide pakimajanduses ei pruugi alati olla Pythonis kirjutatud tarkvarast väga värskeid versioone, siis <tt>mitmproxy</tt> paigaldamiseks on mõistlik kasutada <tt>pip</tt>-i.<br />
<pre><br />
apt-get install python-pip<br />
pip install mitmproxy<br />
</pre><br />
<br />
==tcpdump ja Wireshark==<br />
HTTPS liikluse püüdmiseks kasutame käsureavahendit <tt>tcpdump</tt> seetõttu, et servereid hallates ei ole meil tihtipeale ligipääsu graafilisele keskkonnale. Samas on Wireshark mugav ja kasutajasõbralik võrguliikluse uurimise töövahend ja <tt>tcpdump</tt>-i abil salvestatud liiklust saab Wiresharki abil hiljem suvalises teises masinas analüüsida.<br />
<br />
Kuna veebiserver on meie hallata, siis on meil olemas tema privaatvõti. See on ainus vajalik sisend Wiresharkile, et ta oskaks kinnipüütud pakette lahti krüpteerida.<br />
<br />
===Pakettide püüdmine===<br />
Kõigepealt paneme <tt>tcpdump</tt>-i kuulama liiklust liidesel <tt>eth1</tt> (antud juhul on see Virtualboxi ''host-only'' võrguliides), aadressil 192.168.56.201, pordil 443 (meil on sinna konfitud üks HTTPS toega ''virtualhost''). Seda tuleb teha juurkasutaja õigustes, et meile antaks ligipääs võrguliidesele.<br />
<pre><br />
tcpdump -w https_dump.pcap -i eth1 host 192.168.56.201 and port 443<br />
</pre><br />
<br />
Teeme klientmasinast päringu (öeldes, et usaldame serveri enda poolt allkirjastatud sertifikaati):<br />
<pre><br />
curl --insecure https://192.168.56.201<br />
</pre><br />
<br />
Nüüd lõpetame Ctrl+C abil serveris <tt>tcpdump</tt>i töö -- too ütleb lõpetades käsureale midagi sellist:<br />
<pre><br />
15 packets captured<br />
15 packets received by filter<br />
0 packets dropped by kernel<br />
</pre><br />
<br />
===Püütud pakettide uurimine===<br />
Järgmiseks on vaja <tt>tcpdump</tt>-i väljundfail saada masinasse, kus meil on võimalik kasutada Wiresharki (kusjuures salvestatud faili uurimiseks ei ole juurkasutaja õiguseid vaja).<br />
Käivitame Wiresharki ja avame oma .pcap faili. Esialgu näitab Wireshark küll HTTPS-iga seotud andmevahetust, kuid HTTP päringuid avatekstina pole võimalik näha.<br />
Wireshark võimaldab seda krüpteeritud sisuga andmevoogu ka eraldi aknas uurida ("Follow TCP Stream" suvalise paketi kontekstimenüüst).<br />
<br />
Järgmiseks hangime serverist tema privaatvõtme (NB! Erinevate ''virtualhost''ide olemasolul pead hankima just antud päringus kasutatud IP-le vastava võtme!)<br />
<br />
Wiresharkis võtame menüüst "Edit"->"Preferences" avanevas aknas "Protocols" alt "SSL" ja lisame serveri võtme:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark ssl keys.png|600px]]<br />
<br />
Kasulik on seadistada ka SSL ''debuglog''i failitee, et probleemide korral saaks vigu otsida. Näiteks võib juhtuda, et brauseri või serveri krüpto vaikeseadistused on sellised, et Wireshark ei saa pakettide sisu lahti krüpteerida, kuigi serveri privaatvõti ja muud parameetrid on korrektsed (failitee seadistamine jääb lugejale väljauurimiseks).<br />
<br />
Nimelt võib juhtuda, et peale võtmefaili määramist ja HTTPS suhtlusega seotud paketi kontekstimenüüs "Follow SSL Stream" valimist näidatakse tühjust.<br />
<br />
Sellisel juhul võiks debuglogist otsida sääraseid ridu:<br />
<pre><br />
ssl_decrypt_pre_master_secret session uses DH (17) key exchange, which is impossible to decrypt<br />
dissect_ssl3_handshake can't decrypt pre master secret<br />
</pre><br />
<br />
Nimelt Apache2 <tt>mod_ssl</tt> vaikimisi konfis on lubatud Diffie-Hellman võtmevahetuse protokolli kasutamine, mis aga muudab HTTPS liikluse Wireshark-i jaoks lahtivõetamatuks (erinevate krüptoprotokollide detailid on väljaspool selle artikli mahtu, kuid võtmefraasiks on siin ''perfect forward security'').<br />
Lähemalt loe näiteks: <br />
[http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange]<br />
ja <br />
[http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls]<br />
<br />
Üks võimalikke lahendusi on Apache2 <tt>mod_ssl</tt> konfis (<tt>/etc/apache2/mods-available/ssl.conf</tt>) keelata Diffie-Hellman võtmevahetuse tugi, näiteks võtmesõna DH abil:<br />
<pre><br />
SSLCipherSuite ALL:!EXP:!NULL:!DH:!LOW<br />
</pre><br />
<br />
Vt. lähemalt: [http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite]<br />
<br />
Peale veebiserveri restarti tuleb teha uus paketipüüdmine. Kui kõik muu on korrektselt tehtud, võib Wiresharkis uue .pcap faili avamisel näha umbes sellist pilti ja HTTP päringut-vastust avatekstina uurida:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark https decrypted.png|600px]]<br />
<br />
==mitmproxy==<br />
<br />
===Kliendi proxy seadistamine===<br />
Selleks, et <tt>mitmproxy</tt> abil HTTPS liikluse sisu uurida, tuleb ta kõigepealt HTTP kliendis (brauseris, <tt>curl</tt>-is vms) seadistada ''proxy''-ks.<br />
Nimelt, kui <tt>mitmproxy</tt> käivitada, siis vaikimisi kuulab ta aadressil 0.0.0.0 pordil 8080. Seega <tt>curl</tt>-ile anname need parameetrid ''proxy'' jaoks ja teeme HTTPS päringu oma serveri pihta.<br />
<br />
curl -x localhost:8080 --insecure https://192.168.56.201<br />
<br />
See päring ja vastus kajastuvad nüüd <tt>mitmproxy</tt> interaktiivses aknas.<br />
<br />
Päriselus kasutame vingemate veebirakenduste kasutamiseks siiski graafilist brauserit ja edasi läheme Chromiumi näitel, kus samuti on kõigepealt vaja seadistada ''proxy'' (ja brauser restartida). Seda siin ei kirjelda.<br />
<br />
===Teeseldud CA===<br />
Kui <tt>mitmproxy</tt> on seadistatud ''proxy''-ks, siis HTTPS päringute korral pakub ta brauserile tegeliku serveri sertifikaadi asemel omaenda n-ö ''dummy'' sertifikaati (e. mängib CA-d) ja on seetõttu võimeline ka HTTPS liiklust "vahelt võtma", kuna HTTPS osapoolteks on klient ja <tt>mitmproxy</tt>, mitte enam server. Peale esimest käivitust tekivad kasutaja kodukataloogi alamkataloogi <tt>.mitmproxy</tt> selle dummy CA-ga seotud failid.<br />
<pre><br />
ls ~/.mitmproxy/<br />
mitmproxy-ca-cert.cer mitmproxy-ca-cert.p12 mitmproxy-ca-cert.pem mitmproxy-ca.pem<br />
</pre><br />
<br />
Sellist dummy CA-d brauser vaikimisi ei usalda ja reageerib nagu tüüpiliselt ka iseallkirjastatud sertifikaatide puhul. Kui "harjumuspäraselt" vajutada "Proceed anyway", saame vaatlusalusele saidile tehtud HTTPS päringuid ja vastuseid üsna mugavalt uurida. Muidugi on <tt>mitmproxy</tt> CA võimalik lisada ka brauseri poolt usaldatavate CA-de hulka, aga seda siin ei kirjelda.<br />
<br />
===HTTPS päringute vaheltvõtmine===<br />
Edasi seadistame konkreetsele aadressile tehtavate päringute vaheltvõtmise. Selleks tuleb <tt>mitmproxy</tt> peaaknas vajutada "i" ja sisestada regulaaravaldis, mis meil on "192\.168\.56\.200".<br />
<br />
Kui nüüd minna aadressile https://192.168.56.201, siis brauser jääb ootele ja <tt>mitmproxy</tt> aknasse tekib päringukirje, ning vaheltvõetud päringu edasisaatmiseks tuleb vajutada "a". Seda tuleb teha ka vastusega, kui me vastust muuta ei soovi, et brauser vastuse kätte saaks.<br />
<br />
Päringuid ja vastuseid, mis veel ei ole "a" abil "aktsepteeritud", saame avatekstina uurida ja muuta!<br />
<br />
Näide vaheltvõetud vastusest:<br />
FIXME: screenshot<br />
<br />
Põhjalikum <tt>mitmproxy</tt> [http://mitmproxy.org/doc/index.html kasutusjuhend] kirjeldab nii päringute filtreerimist kui päringute ja vastuste redigeerimist ja palju muud.<br />
<br />
Head eksperimenteerimist! ;-)<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=HTTPS_liikluse_uurimine_tcpdump,_Wireshark_ja_mitmproxy_abil&diff=62861HTTPS liikluse uurimine tcpdump, Wireshark ja mitmproxy abil2013-05-05T19:41:14Z<p>Mignatje: mitmproxy jutt lisaks</p>
<hr />
<div>See artikkel räägib HTTPS liikluse analüüsimisest (HTTP päringute avatekstiks lahtivõtmise teel) kahes olukorras.<br />
Esiteks -- kui nii klient kui server on meie hallata ja me soovime testida, kas server saab just selliseid HTTP päringuid ja saadab selliseid vastuseid, nagu me eeldame.<br />
Teiseks -- kui serveriks on mõni avalik veebiteenus, millega suhtleme üle HTTPS protokolli, ja soovime teada, mida meie brauser serveriga räägib. Sisuliselt on siin tegemist olukorraga, kus me ei pruugi usaldada ei klienti (brauser jooksutab meie teadmata mingit kuritahtlikku skripti) ega ka serverit. Tegu võib olla ka mõne mobiilirakendusega, mille kohta soovime teada, mis andmeid ta meie telefoni kaudu edastab ja vastu võtab.<br />
<br />
'''NB! Siin artiklis toodud juhised on mõeldud liikluse uurimiseks tavaolukorras, mitte kolmandate osapoolte andmevahetusse sissemurdmiseks!'''<br />
<br />
''Autor: Marju Ignatjeva''<br />
<br />
==Töövahendid ja keskkond==<br />
Kasutame töövahenditena <tt>tcpdump</tt>-i ja Wiresharki ning <tt>mitmproxy</tt>-t, HTTP kliendina ka <tt>curl</tt>-i.<br />
<br />
Artikli lugejalt eeldan, et HTTPS üldine tööpõhimõte on selge ja et lugeja oskab Linuxi keskkonnas paigaldada tarkvara nii süsteemsest pakimajandusest kui ka Pythoni pakendussüsteemide (eeskätt <tt>pip</tt>) vahenditega, samuti saab hakkama käsureal. Töövahendite paigaldamise juhised on siiski ka artiklis olemas.<br />
<br />
Artiklis toodud näited põhinevad katsetustel 64-bitise Kubuntu 12.10 operatsioonisüsteemi all.<br />
<br />
===Töövahendite paigaldamine===<br />
Kui <tt>tcpdump</tt> ei ole paigaldatud, tuleb see juurkasutajana paigaldada käsuga<br />
<pre><br />
apt-get install tcpdump<br />
</pre><br />
<br />
Wiresharki paigaldame käsuga<br />
<pre><br />
apt-get install wireshark<br />
</pre><br />
<br />
HTTP päringuid on käsurealt mugav teha <tt>curl</tt> nimelise tööriistaga, paigaldame ka selle.<br />
<pre><br />
apt-get install curl<br />
</pre><br />
<br />
Kuna erinevate Linuxi distributsioonide pakimajanduses ei pruugi alati olla Pythonis kirjutatud tarkvarast väga värskeid versioone, siis <tt>mitmproxy</tt> paigaldamiseks on mõistlik kasutada <tt>pip</tt>-i.<br />
<pre><br />
apt-get install python-pip<br />
pip install mitmproxy<br />
</pre><br />
<br />
==tcpdump ja Wireshark==<br />
HTTPS liikluse püüdmiseks kasutame käsureavahendit <tt>tcpdump</tt> seetõttu, et servereid hallates ei ole meil tihtipeale ligipääsu graafilisele keskkonnale. Samas on Wireshark mugav ja kasutajasõbralik võrguliikluse uurimise töövahend ja <tt>tcpdump</tt>-i abil salvestatud liiklust saab Wiresharki abil hiljem suvalises teises masinas analüüsida.<br />
<br />
Kuna veebiserver on meie hallata, siis on meil olemas tema privaatvõti. See on ainus vajalik sisend Wiresharkile, et ta oskaks kinnipüütud pakette lahti krüpteerida.<br />
<br />
===Pakettide püüdmine===<br />
Kõigepealt paneme <tt>tcpdump</tt>-i kuulama liiklust liidesel <tt>eth1</tt> (antud juhul on see Virtualboxi ''host-only'' võrguliides), aadressil 192.168.56.201, pordil 443 (meil on sinna konfitud üks HTTPS toega ''virtualhost''). Seda tuleb teha juurkasutaja õigustes, et meile antaks ligipääs võrguliidesele.<br />
<pre><br />
tcpdump -w https_dump.pcap -i eth1 host 192.168.56.201 and port 443<br />
</pre><br />
<br />
Teeme klientmasinast päringu (öeldes, et usaldame serveri enda poolt allkirjastatud sertifikaati):<br />
<pre><br />
curl --insecure https://192.168.56.201<br />
</pre><br />
<br />
Nüüd lõpetame Ctrl+C abil serveris <tt>tcpdump</tt>i töö -- too ütleb lõpetades käsureale midagi sellist:<br />
<pre><br />
15 packets captured<br />
15 packets received by filter<br />
0 packets dropped by kernel<br />
</pre><br />
<br />
===Püütud pakettide uurimine===<br />
Järgmiseks on vaja <tt>tcpdump</tt>-i väljundfail saada masinasse, kus meil on võimalik kasutada Wiresharki (kusjuures salvestatud faili uurimiseks ei ole juurkasutaja õiguseid vaja).<br />
Käivitame Wiresharki ja avame oma .pcap faili. Esialgu näitab Wireshark küll HTTPS-iga seotud andmevahetust, kuid HTTP päringuid avatekstina pole võimalik näha.<br />
Wireshark võimaldab seda krüpteeritud sisuga andmevoogu ka eraldi aknas uurida ("Follow TCP Stream" suvalise paketi kontekstimenüüst).<br />
<br />
Järgmiseks hangime serverist tema privaatvõtme (NB! Erinevate ''virtualhost''ide olemasolul pead hankima just antud päringus kasutatud IP-le vastava võtme!)<br />
<br />
Wiresharkis võtame menüüst "Edit"->"Preferences" avanevas aknas "Protocols" alt "SSL" ja lisame serveri võtme:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark ssl keys.png|600px]]<br />
<br />
Kasulik on seadistada ka SSL ''debuglog''i failitee, et probleemide korral saaks vigu otsida. Näiteks võib juhtuda, et brauseri või serveri krüpto vaikeseadistused on sellised, et Wireshark ei saa pakettide sisu lahti krüpteerida, kuigi serveri privaatvõti ja muud parameetrid on korrektsed.<br />
<br />
Nimelt võib juhtuda, et peale võtmefaili määramist ja HTTPS suhtlusega seotud paketi kontekstimenüüs "Follow SSL Stream" valimist näidatakse tühjust.<br />
<br />
Sellisel juhul võiks debuglogist otsida sääraseid ridu:<br />
<pre><br />
ssl_decrypt_pre_master_secret session uses DH (17) key exchange, which is impossible to decrypt<br />
dissect_ssl3_handshake can't decrypt pre master secret<br />
</pre><br />
<br />
Nimelt Apache2 <tt>mod_ssl</tt> vaikimisi konfis on lubatud Diffie-Hellman võtmevahetuse protokolli kasutamine, mis aga muudab HTTPS liikluse Wireshark-i jaoks lahtivõetamatuks.<br />
Lähemalt loe näiteks: <br />
[http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange]<br />
ja <br />
[http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls]<br />
<br />
Üks võimalikke lahendusi on Apache2 <tt>mod_ssl</tt> konfis (<tt>/etc/apache2/mods-available/ssl.conf</tt>) keelata Diffie-Hellman võtmevahetuse tugi, näiteks võtmesõna DH abil:<br />
<pre><br />
SSLCipherSuite ALL:!EXP:!NULL:!DH:!LOW<br />
</pre><br />
<br />
Vt. lähemalt: [http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite]<br />
<br />
Peale veebiserveri restarti tuleb teha uus paketipüüdmine. Kui kõik muu on korrektselt tehtud, võib Wiresharkis uue .pcap faili avamisel näha umbes sellist pilti:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark https decrypted.png|600px]]<br />
<br />
==mitmproxy==<br />
<br />
===Kliendi proxy seadistamine===<br />
Selleks, et <tt>mitmproxy</tt> abil HTTPS liikluse sisu uurida, tuleb ta kõigepealt HTTP kliendis (brauseris, <tt>curl</tt>-is vms) seadistada ''proxy''-ks.<br />
Nimelt, kui <tt>mitmproxy</tt> käivitada, siis vaikimisi kuulab ta aadressil 0.0.0.0 pordil 8080. Seega <tt>curl</tt>-ile anname need parameetrid ''proxy'' jaoks ja teeme HTTPS päringu oma serveri pihta.<br />
<br />
curl -x localhost:8080 --insecure https://192.168.56.201<br />
<br />
See päring ja vastus kajastuvad nüüd <tt>mitmproxy</tt> interaktiivses aknas.<br />
<br />
Päriselus kasutame vingemate veebirakenduste kasutamiseks siiski graafilist brauserit ja edasi läheme Chromiumi näitel, kus samuti on kõigepealt vaja seadistada ''proxy'' (ja brauser restartida). Seda siin ei kirjelda.<br />
<br />
===Teeseldud CA===<br />
Kui <tt>mitmproxy</tt> on seadistatud ''proxy''-ks, siis HTTPS päringute korral pakub ta brauserile tegeliku serveri sertifikaadi asemel omaenda n-ö ''dummy'' sertifikaati (e. mängib CA-d) ja on seetõttu võimeline ka HTTPS liiklust "vahelt võtma", kuna HTTPS osapoolteks on klient ja <tt>mitmproxy</tt>, mitte enam server. Peale esimest käivitust tekivad kasutaja kodukataloogi alamkataloogi <tt>.mitmproxy</tt> selle dummy CA-ga seotud failid.<br />
<pre><br />
ls ~/.mitmproxy/<br />
mitmproxy-ca-cert.cer mitmproxy-ca-cert.p12 mitmproxy-ca-cert.pem mitmproxy-ca.pem<br />
</pre><br />
<br />
Sellist dummy CA-d brauser vaikimisi ei usalda ja reageerib nagu tüüpiliselt ka iseallkirjastatud sertifikaatide puhul. Kui "harjumuspäraselt" vajutada "Proceed anyway", saame vaatlusalusele saidile tehtud HTTPS päringuid ja vastuseid üsna mugavalt uurida. Muidugi on <tt>mitmproxy</tt> CA võimalik lisada ka brauseri poolt usaldatavate CA-de hulka, aga seda siin ei kirjelda.<br />
<br />
===HTTPS päringute vaheltvõtmine===<br />
Edasi seadistame konkreetsele aadressile tehtavate päringute vaheltvõtmise. Selleks tuleb <tt>mitmproxy</tt> peaaknas vajutada "i" ja sisestada regulaaravaldis, mis meil on "192\.168\.56\.200".<br />
<br />
Kui nüüd minna aadressile https://192.168.56.201, siis brauser jääb ootele ja <tt>mitmproxy</tt> aknasse tekib päringukirje, ning vaheltvõetud päringu edasisaatmiseks tuleb vajutada "a". Seda tuleb teha ka vastusega, kui me vastust muuta ei soovi, et brauser vastuse kätte saaks.<br />
<br />
Päringuid ja vastuseid, mis veel ei ole "a" abil "aktsepteeritud", saame avatekstina uurida ja muuta!<br />
<br />
Näide vaheltvõetud vastusest:<br />
FIXME: screenshot<br />
<br />
Põhjalikum <tt>mitmproxy</tt> [http://mitmproxy.org/doc/index.html kasutusjuhend] kirjeldab nii päringute filtreerimist kui päringute ja vastuste redigeerimist ja palju muud.<br />
<br />
Head eksperimenteerimist! ;-)<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=HTTPS_liikluse_uurimine_tcpdump,_Wireshark_ja_mitmproxy_abil&diff=62854HTTPS liikluse uurimine tcpdump, Wireshark ja mitmproxy abil2013-05-05T18:29:10Z<p>Mignatje: Disclaimer ka igaks juhuks</p>
<hr />
<div>See artikkel räägib HTTPS liikluse analüüsimisest (HTTP päringute avatekstiks lahtivõtmise teel) kahes olukorras.<br />
Esiteks -- kui nii klient kui server on meie hallata ja me soovime testida, kas server saab just selliseid HTTP päringuid ja saadab selliseid vastuseid, nagu me eeldame.<br />
Teiseks -- kui serveriks on mõni avalik veebiteenus, millega suhtleme üle HTTPS protokolli, ja soovime teada, mida meie brauser serveriga räägib. Sisuliselt on siin tegemist olukorraga, kus me ei pruugi usaldada ei klienti (brauser jooksutab meie teadmata mingit kuritahtlikku skripti) ega ka serverit. Tegu võib olla ka mõne mobiilirakendusega, mille kohta soovime teada, mis andmeid ta meie telefoni kaudu edastab ja vastu võtab.<br />
<br />
'''NB! Siin artiklis toodud juhised on mõeldud liikluse uurimiseks tavaolukorras, mitte kolmandate osapoolte andmevahetusse sissemurdmiseks!'''<br />
<br />
''Autor: Marju Ignatjeva''<br />
<br />
==Töövahendid ja keskkond==<br />
Kasutame töövahenditena <tt>tcpdump</tt>-i ja Wiresharki ning <tt>mitmproxy</tt>-t.<br />
<br />
Artikli lugejalt eeldan, et HTTPS üldine tööpõhimõte on selge ja et lugeja oskab Linuxi keskkonnas paigaldada tarkvara nii süsteemsest pakimajandusest kui ka Pythoni pakendussüsteemide (eeskätt <tt>pip</tt>) vahenditega, samuti saab hakkama käsureal. Töövahendite paigaldamise juhised on siiski ka artiklis olemas.<br />
<br />
Artiklis toodud näited põhinevad katsetustel 64-bitise Kubuntu 12.10 operatsioonisüsteemi all.<br />
<br />
===Töövahendite paigaldamine===<br />
Kui <tt>tcpdump</tt> ei ole paigaldatud, tuleb see juurkasutajana paigaldada käsuga<br />
<pre><br />
apt-get install tcpdump<br />
</pre><br />
<br />
Wiresharki paigaldame käsuga<br />
<pre><br />
apt-get install wireshark<br />
</pre><br />
<br />
HTTP päringuid on käsurealt mugav teha <tt>curl</tt> nimelise tööriistaga, paigaldame ka selle.<br />
<pre><br />
apt-get install curl<br />
</pre><br />
<br />
Kuna erinevate Linuxi distributsioonide pakimajanduses ei pruugi alati olla Pythonis kirjutatud tarkvarast väga värskeid versioone, siis <tt>mitmproxy</tt> paigaldamiseks on mõistlik kasutada <tt>pip</tt>-i.<br />
<pre><br />
apt-get install python-pip<br />
pip install mitmproxy<br />
</pre><br />
<br />
==tcpdump ja Wireshark==<br />
HTTPS liikluse püüdmiseks kasutame käsureavahendit <tt>tcpdump</tt> seetõttu, et servereid hallates ei ole meil tihtipeale ligipääsu graafilisele keskkonnale. Samas on Wireshark mugav ja kasutajasõbralik võrguliikluse uurimise töövahend ja <tt>tcpdump</tt>-i abil salvestatud liiklust saab Wiresharki abil hiljem suvalises teises masinas analüüsida.<br />
<br />
Kuna veebiserver on meie hallata, siis on meil olemas tema privaatvõti. See on ainus vajalik sisend Wiresharkile, et ta oskaks kinnipüütud pakette lahti krüpteerida.<br />
<br />
===Pakettide püüdmine===<br />
Kõigepealt paneme <tt>tcpdump</tt>-i kuulama liiklust liidesel <tt>eth1</tt> (antud juhul on see Virtualboxi ''host-only'' võrguliides), aadressil 192.168.56.201, pordil 443 (meil on sinna konfitud üks HTTPS toega ''virtualhost''). Seda tuleb teha juurkasutaja õigustes, et meile antaks ligipääs võrguliidesele.<br />
<pre><br />
tcpdump -w https_dump.pcap -i eth1 host 192.168.56.201 and port 443<br />
</pre><br />
<br />
Teeme klientmasinast päringu (öeldes, et usaldame serveri enda poolt allkirjastatud sertifikaati):<br />
<pre><br />
curl --insecure https://192.168.56.201<br />
</pre><br />
<br />
Nüüd lõpetame Ctrl+C abil serveris <tt>tcpdump</tt>i töö -- too ütleb lõpetades käsureale midagi sellist:<br />
<pre><br />
15 packets captured<br />
15 packets received by filter<br />
0 packets dropped by kernel<br />
</pre><br />
<br />
===Püütud pakettide uurimine===<br />
Järgmiseks on vaja <tt>tcpdump</tt>-i väljundfail saada masinasse, kus meil on võimalik kasutada Wiresharki (kusjuures salvestatud faili uurimiseks ei ole juurkasutaja õiguseid vaja).<br />
Käivitame Wiresharki ja avame oma .pcap faili. Esialgu näitab Wireshark küll HTTPS-iga seotud andmevahetust, kuid HTTP päringuid avatekstina pole võimalik näha.<br />
Wireshark võimaldab seda krüpteeritud sisuga andmevoogu ka eraldi aknas uurida ("Follow TCP Stream" suvalise paketi kontekstimenüüst).<br />
<br />
Järgmiseks hangime serverist tema privaatvõtme (NB! Erinevate ''virtualhost''ide olemasolul pead hankima just antud päringus kasutatud IP-le vastava võtme!)<br />
<br />
Wiresharkis võtame menüüst "Edit"->"Preferences" avanevas aknas "Protocols" alt "SSL" ja lisame serveri võtme:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark ssl keys.png|600px]]<br />
<br />
Kasulik on seadistada ka SSL ''debuglog''i failitee, et probleemide korral saaks vigu otsida. Näiteks võib juhtuda, et brauseri või serveri krüpto vaikeseadistused on sellised, et Wireshark ei saa pakettide sisu lahti krüpteerida, kuigi serveri privaatvõti ja muud parameetrid on korrektsed.<br />
<br />
Nimelt võib juhtuda, et peale võtmefaili määramist ja HTTPS suhtlusega seotud paketi kontekstimenüüs "Follow SSL Stream" valimist näidatakse tühjust.<br />
<br />
Sellisel juhul võiks debuglogist otsida sääraseid ridu:<br />
<pre><br />
ssl_decrypt_pre_master_secret session uses DH (17) key exchange, which is impossible to decrypt<br />
dissect_ssl3_handshake can't decrypt pre master secret<br />
</pre><br />
<br />
Nimelt Apache2 <tt>mod_ssl</tt> vaikimisi konfis on lubatud Diffie-Hellman võtmevahetuse protokolli kasutamine, mis aga muudab HTTPS liikluse Wireshark-i jaoks lahtivõetamatuks.<br />
Lähemalt loe näiteks: <br />
[http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange]<br />
ja <br />
[http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls]<br />
<br />
Üks võimalikke lahendusi on Apache2 <tt>mod_ssl</tt> konfis (<tt>/etc/apache2/mods-available/ssl.conf</tt>) keelata Diffie-Hellman võtmevahetuse tugi, näiteks võtmesõna DH abil:<br />
<pre><br />
SSLCipherSuite ALL:!EXP:!NULL:!DH:!LOW<br />
</pre><br />
<br />
Vt. lähemalt: [http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite]<br />
<br />
Peale veebiserveri restarti tuleb teha uus paketipüüdmine. Kui kõik muu on korrektselt tehtud, võib Wiresharkis uue .pcap faili avamisel näha umbes sellist pilti:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark https decrypted.png|600px]]<br />
<br />
==mitmproxy==<br />
FIXME<br />
<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=HTTPS_liikluse_uurimine_tcpdump,_Wireshark_ja_mitmproxy_abil&diff=62853HTTPS liikluse uurimine tcpdump, Wireshark ja mitmproxy abil2013-05-05T15:32:31Z<p>Mignatje: Esimese osa pildid ja pisiparandused</p>
<hr />
<div>See artikkel räägib HTTPS liikluse analüüsimisest (HTTP päringute avatekstiks lahtivõtmise teel) kahes olukorras.<br />
Esiteks -- kui nii klient kui server on meie hallata ja me soovime testida, kas server saab just selliseid HTTP päringuid ja saadab selliseid vastuseid, nagu me eeldame.<br />
Teiseks -- kui serveriks on mõni avalik veebiteenus, millega suhtleme üle HTTPS protokolli, ja soovime teada, mida meie brauser serveriga räägib. Sisuliselt on siin tegemist olukorraga, kus me ei pruugi usaldada ei klienti (brauser jooksutab meie teadmata mingit kuritahtlikku skripti) ega ka serverit.<br />
<br />
''Autor: Marju Ignatjeva''<br />
<br />
==Töövahendid ja keskkond==<br />
Kasutame töövahenditena <tt>tcpdump</tt>-i ja Wiresharki ning <tt>mitmproxy</tt>-t.<br />
<br />
Artikli lugejalt eeldan, et HTTPS üldine tööpõhimõte on selge ja et lugeja oskab Linuxi keskkonnas paigaldada tarkvara nii süsteemsest pakimajandusest kui ka Pythoni pakendussüsteemide (eeskätt <tt>pip</tt>) vahenditega, samuti saab hakkama käsureal. Töövahendite paigaldamise juhised on siiski ka artiklis olemas.<br />
<br />
Artiklis toodud näited põhinevad katsetustel 64-bitise Kubuntu 12.10 operatsioonisüsteemi all.<br />
<br />
===Töövahendite paigaldamine===<br />
Kui <tt>tcpdump</tt> ei ole paigaldatud, tuleb see juurkasutajana paigaldada käsuga<br />
<pre><br />
apt-get install tcpdump<br />
</pre><br />
<br />
Wiresharki paigaldame käsuga<br />
<pre><br />
apt-get install wireshark<br />
</pre><br />
<br />
HTTP päringuid on käsurealt mugav teha <tt>curl</tt> nimelise tööriistaga, paigaldame ka selle.<br />
<pre><br />
apt-get install curl<br />
</pre><br />
<br />
Kuna erinevate Linuxi distributsioonide pakimajanduses ei pruugi alati olla Pythonis kirjutatud tarkvarast väga värskeid versioone, siis <tt>mitmproxy</tt> paigaldamiseks on mõistlik kasutada <tt>pip</tt>-i.<br />
<pre><br />
apt-get install python-pip<br />
pip install mitmproxy<br />
</pre><br />
<br />
==tcpdump ja Wireshark==<br />
HTTPS liikluse püüdmiseks kasutame käsureavahendit <tt>tcpdump</tt> seetõttu, et servereid hallates ei ole meil tihtipeale ligipääsu graafilisele keskkonnale. Samas on Wireshark mugav ja kasutajasõbralik võrguliikluse uurimise töövahend ja <tt>tcpdump</tt>-i abil salvestatud liiklust saab Wiresharki abil hiljem suvalises teises masinas analüüsida.<br />
<br />
Kuna veebiserver on meie hallata, siis on meil olemas tema privaatvõti. See on ainus vajalik sisend Wiresharkile, et ta oskaks kinnipüütud pakette lahti krüpteerida.<br />
<br />
===Pakettide püüdmine===<br />
Kõigepealt paneme <tt>tcpdump</tt>-i kuulama liiklust liidesel <tt>eth1</tt> (antud juhul on see Virtualboxi ''host-only'' võrguliides), aadressil 192.168.56.201, pordil 443 (meil on sinna konfitud üks HTTPS toega ''virtualhost''). Seda tuleb teha juurkasutaja õigustes, et meile antaks ligipääs võrguliidesele.<br />
<pre><br />
tcpdump -w https_dump.pcap -i eth1 host 192.168.56.201 and port 443<br />
</pre><br />
<br />
Teeme klientmasinast päringu (öeldes, et usaldame serveri enda poolt allkirjastatud sertifikaati):<br />
<pre><br />
curl --insecure https://192.168.56.201<br />
</pre><br />
<br />
Nüüd lõpetame Ctrl+C abil serveris <tt>tcpdump</tt>i töö -- too ütleb lõpetades käsureale midagi sellist:<br />
<pre><br />
15 packets captured<br />
15 packets received by filter<br />
0 packets dropped by kernel<br />
</pre><br />
<br />
===Püütud pakettide uurimine===<br />
Järgmiseks on vaja <tt>tcpdump</tt>-i väljundfail saada masinasse, kus meil on võimalik kasutada Wiresharki (kusjuures salvestatud faili uurimiseks ei ole juurkasutaja õiguseid vaja).<br />
Käivitame Wiresharki ja avame oma .pcap faili. Esialgu näitab Wireshark küll HTTPS-iga seotud andmevahetust, kuid HTTP päringuid avatekstina pole võimalik näha.<br />
Wireshark võimaldab seda krüpteeritud sisuga andmevoogu ka eraldi aknas uurida ("Follow TCP Stream" suvalise paketi kontekstimenüüst).<br />
<br />
Järgmiseks hangime serverist tema privaatvõtme (NB! Erinevate ''virtualhost''ide olemasolul pead hankima just antud päringus kasutatud IP-le vastava võtme!)<br />
<br />
Wiresharkis võtame menüüst "Edit"->"Preferences" avanevas aknas "Protocols" alt "SSL" ja lisame serveri võtme:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark ssl keys.png|600px]]<br />
<br />
Kasulik on seadistada ka SSL ''debuglog''i failitee, et probleemide korral saaks vigu otsida. Näiteks võib juhtuda, et brauseri või serveri krüpto vaikeseadistused on sellised, et Wireshark ei saa pakettide sisu lahti krüpteerida, kuigi serveri privaatvõti ja muud parameetrid on korrektsed.<br />
<br />
Nimelt võib juhtuda, et peale võtmefaili määramist ja HTTPS suhtlusega seotud paketi kontekstimenüüs "Follow SSL Stream" valimist näidatakse tühjust.<br />
<br />
Sellisel juhul võiks debuglogist otsida sääraseid ridu:<br />
<pre><br />
ssl_decrypt_pre_master_secret session uses DH (17) key exchange, which is impossible to decrypt<br />
dissect_ssl3_handshake can't decrypt pre master secret<br />
</pre><br />
<br />
Nimelt Apache2 <tt>mod_ssl</tt> vaikimisi konfis on lubatud Diffie-Hellman võtmevahetuse protokolli kasutamine, mis aga muudab HTTPS liikluse Wireshark-i jaoks lahtivõetamatuks.<br />
Lähemalt loe näiteks: <br />
[http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange]<br />
ja <br />
[http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls]<br />
<br />
Üks võimalikke lahendusi on Apache2 <tt>mod_ssl</tt> konfis (<tt>/etc/apache2/mods-available/ssl.conf</tt>) keelata Diffie-Hellman võtmevahetuse tugi, näiteks võtmesõna DH abil:<br />
<pre><br />
SSLCipherSuite ALL:!EXP:!NULL:!DH:!LOW<br />
</pre><br />
<br />
Vt. lähemalt: [http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite]<br />
<br />
Peale veebiserveri restarti tuleb teha uus paketipüüdmine. Kui kõik muu on korrektselt tehtud, võib Wiresharkis uue .pcap faili avamisel näha umbes sellist pilti:<br />
<br />
[[File:Marju ignatjeva Screenshot wireshark https decrypted.png|600px]]<br />
<br />
==mitmproxy==<br />
FIXME<br />
<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=File:Marju_ignatjeva_Screenshot_wireshark_https_decrypted.png&diff=62852File:Marju ignatjeva Screenshot wireshark https decrypted.png2013-05-05T15:27:01Z<p>Mignatje: IT infra wiki artikli jaoks</p>
<hr />
<div>IT infra wiki artikli jaoks</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=File:Marju_ignatjeva_Screenshot_wireshark_ssl_keys.png&diff=62851File:Marju ignatjeva Screenshot wireshark ssl keys.png2013-05-05T15:22:35Z<p>Mignatje: IT infra wiki artikli jaoks</p>
<hr />
<div>IT infra wiki artikli jaoks</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=HTTPS_liikluse_uurimine_tcpdump,_Wireshark_ja_mitmproxy_abil&diff=62850HTTPS liikluse uurimine tcpdump, Wireshark ja mitmproxy abil2013-05-05T15:21:01Z<p>Mignatje: Marju Ignatjeva artikli esimene osa</p>
<hr />
<div>See artikkel räägib HTTPS liikluse analüüsimisest (HTTP päringute avatekstiks lahtivõtmise teel) kahes olukorras.<br />
Esiteks -- kui nii klient kui server on meie hallata ja me soovime testida, kas server saab just selliseid HTTP päringuid ja saadab selliseid vastuseid, nagu me eeldame.<br />
Teiseks -- kui serveriks on mõni avalik veebiteenus, millega suhtleme üle HTTPS protokolli, ja soovime teada, mida meie brauser serveriga räägib. Sisuliselt on siin tegemist olukorraga, kus me ei pruugi usaldada ei klienti (brauser jooksutab meie teadmata mingit kuritahtlikku skripti) ega ka serverit.<br />
<br />
''Autor: Marju Ignatjeva''<br />
<br />
==Töövahendid ja keskkond==<br />
Kasutame töövahenditena <tt>tcpdump</tt>-i ja Wiresharki ning <tt>mitmproxy</tt>-t.<br />
<br />
Artikli lugejalt eeldan, et HTTPS üldine tööpõhimõte on selge ja et lugeja oskab Linuxi keskkonnas paigaldada tarkvara nii süsteemsest pakimajandusest kui ka Pythoni pakendussüsteemide (eeskätt <tt>pip</tt>) vahenditega, samuti saab hakkama käsureal. Töövahendite paigaldamise juhised on siiski ka artiklis olemas.<br />
<br />
Artiklis toodud näited põhinevad katsetustel 64-bitise Kubuntu 12.10 operatsioonisüsteemi all.<br />
<br />
===Töövahendite paigaldamine===<br />
Kui <tt>tcpdump</tt> ei ole paigaldatud, tuleb see juurkasutajana paigaldada käsuga<br />
<pre><br />
apt-get install tcpdump<br />
</pre><br />
<br />
Wiresharki paigaldame käsuga<br />
<pre><br />
apt-get install wireshark<br />
</pre><br />
<br />
HTTP päringuid on käsurealt mugav teha <tt>curl</tt> nimelise tööriistaga, paigaldame ka selle.<br />
<pre><br />
apt-get install curl<br />
</pre><br />
<br />
Kuna erinevate Linuxi distributsioonide pakimajanduses ei pruugi alati olla Pythonis kirjutatud tarkvarast väga värskeid versioone, siis <tt>mitmproxy</tt> paigaldamiseks on mõistlik kasutada <tt>pip</tt>-i.<br />
<pre><br />
apt-get install python-pip<br />
pip install mitmproxy<br />
</pre><br />
<br />
==tcpdump ja Wireshark==<br />
HTTPS liikluse püüdmiseks kasutame käsureavahendit <tt>tcpdump</tt> seetõttu, et servereid hallates ei ole meil tihtipeale ligipääsu graafilisele keskkonnale. Samas on Wireshark mugav ja kasutajasõbralik võrguliikluse uurimise töövahend ja <tt>tcpdump</tt>-i abil salvestatud liiklust saab Wiresharki abil hiljem suvalises teises masinas analüüsida.<br />
<br />
Kuna veebiserver on meie hallata, siis on meil olemas tema privaatvõti. See on ainus vajalik sisend Wiresharkile, et ta oskaks kinnipüütud pakette lahti krüpteerida.<br />
<br />
===Pakettide püüdmine===<br />
Kõigepealt paneme <tt>tcpdump</tt>-i kuulama liiklust liidesel <tt>eth1</tt> (antud juhul on see Virtualboxi ''host-only'' võrguliides), aadressil 192.168.56.201, pordil 443 (meil on sinna konfitud üks HTTPS toega ''virtualhost''). Seda tuleb teha juurkasutaja õigustes, et meile antaks ligipääs võrguliidesele.<br />
<pre><br />
tcpdump -w https_dump.pcap -i eth1 host 192.168.56.201 and port 443<br />
</pre><br />
<br />
Teeme klientmasinast päringu (öeldes, et usaldame serveri enda poolt allkirjastatud sertifikaati):<br />
<pre><br />
curl --insecure https://192.168.56.201<br />
</pre><br />
<br />
Nüüd lõpetame Ctrl+C abil serveris <tt>tcpdump</tt>i töö -- too ütleb lõpetades käsureale midagi sellist:<br />
<pre><br />
15 packets captured<br />
15 packets received by filter<br />
0 packets dropped by kernel<br />
</pre><br />
<br />
===Püütud pakettide uurimine===<br />
Järgmiseks on vaja <tt>tcpdump</tt>-i väljundfail saada masinasse, kus meil on võimalik kasutada Wiresharki (kusjuures salvestatud faili uurimiseks ei ole juurkasutaja õiguseid vaja).<br />
Käivitame Wiresharki ja avame oma .pcap faili. Esialgu näitab Wireshark küll HTTPS-iga seotud andmevahetust, kuid HTTP päringuid avatekstina pole võimalik näha.<br />
Wireshark võimaldab seda krüpteeritud sisuga andmevoogu ka eraldi aknas uurida ("Follow TCP Stream" suvalise paketi kontekstimenüüst).<br />
<br />
Järgmiseks hangime serverist tema privaatvõtme (NB! Erinevate ''virtualhost''ide olemasolul pead hankima just antud päringus kasutatud IP-le vastava võtme!)<br />
<br />
Wiresharkis võtame menüüst Edit->Preferences avanevas aknas Protocols alt SSL ja lisame serveri võtme:<br />
<br />
FIXME: siia tuleb screenshot<br />
<br />
Kasulik on seadistada ka SSL ''debuglog''i failitee, et probleemide korral saaks vigu otsida. Näiteks võib juhtuda, et brauseri või serveri krüpto vaikeseadistused on sellised, et Wireshark ei saa pakettide sisu lahti krüpteerida, kuigi serveri privaatvõti ja muud parameetrid on korrektsed.<br />
<br />
Nimelt võib juhtuda, et peale võtmefaili määramist ja HTTPS suhtlusega seotud paketi kontekstimenüüs "Follow SSL Stream" valimist näidatakse tühjust.<br />
<br />
Sellisel juhul võiks debuglogist otsida sääraseid ridu:<br />
<pre><br />
ssl_decrypt_pre_master_secret session uses DH (17) key exchange, which is impossible to decrypt<br />
dissect_ssl3_handshake can't decrypt pre master secret<br />
</pre><br />
<br />
Nimelt Apache2 <tt>mod_ssl</tt> vaikimisi konfis on lubatud Diffie-Hellman võtmevahetuse protokolli kasutamine, mis aga muudab HTTPS liikluse Wireshark-i jaoks lahtivõetamatuks.<br />
Lähemalt loe näiteks: <br />
[http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange]<br />
ja <br />
[http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls http://security.stackexchange.com/questions/8343/what-key-exchange-mechanism-should-be-used-in-tls]<br />
<br />
Üks võimalikke lahendusi on Apache2 <tt>mod_ssl</tt> konfis (<tt>/etc/apache2/mods-available/ssl.conf</tt>) keelata Diffie-Hellman võtmevahetuse tugi, näiteks võtmesõna DH abil:<br />
<pre><br />
SSLCipherSuite ALL:!EXP:!NULL:!DH:!LOW<br />
</pre><br />
<br />
Vt. lähemalt: [http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslciphersuite]<br />
<br />
Peale veebiserveri restarti tuleb teha uus paketipüüdmine. Kui kõik muu on korrektselt tehtud, võib Wiresharkis uue .pcap faili avamisel näha umbes sellist pilti:<br />
<br />
FIXME: siia tuleb screenshot<br />
<br />
==mitmproxy==<br />
FIXME<br />
<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Mignatjehttps://wiki.itcollege.ee/index.php?title=Category:I375/I803/I853_IT_Infrastructure_services&diff=61429Category:I375/I803/I853 IT Infrastructure services2013-03-13T13:51:18Z<p>Mignatje: /* Praktiline töö 1 NTP/DNS/DHCP (9p/15%) */ NTP labori kaitsmise lisa: iburst</p>
<hr />
<div>=Uudised=<br />
<br />
Tulemas on http://www.itcollege.ee/en/co-operation/dits2013/<br />
<br />
<br />
=Üldinfo=<br />
Aine info: [https://itcollege.ois.ee/study-material/round?round_id=2230 IT infrastruktuuri teenused ÕIS leht]<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/ Aine õppematerjalid]<br />
<br />
ECTS: 5<br />
<br />
Hindamisviis: Arvestus<br />
<br />
'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)<br />
<br />
==Õppejõud==<br />
Margus Ernits >> margus (.) ernits (ät) itcollege (.) ee<br />
<br />
Katrin Loodus >> katrin (.) loodus (ät) itcollege (.) ee<br />
<br />
=Eesmärk ja sisu=<br />
Tutvustada IT infrastruktuuri teenuste põhimõisteid. Anda oskused põhiliste teenuste paigaldamiseks ja turvamiseks. Anda oskused IT infrastruktuuri teenuste dokumenteerimiseks.<br />
Eesmärgi saavutamiseks toimuvad laboratoorsed tööd, mille käigus installeeritakse ja konfigureeritakse teenuseid pöörates rõhku teenuse turvalisusele, millele eelnevad loengud alus- ja põhimõistete tutvustamiseks.<br />
<br />
=Ainekaart=<br />
Ainekaardi viimase, kuid mitte lõpliku versiooni leiab [https://wiki.itcollege.ee/images/6/67/I385_IT_infrastruktuuri_teenused_aineprogramm_2013.odt siit]<br />
<br />
=Eelmiste aastate tagasiside=<br />
[https://wiki.itcollege.ee/images/4/4d/It-infra-tagasiside-2012-1.pdf 2012 kaugõppe tagasiside]<br />
<br />
[https://wiki.itcollege.ee/images/2/28/It-infra-tagasiside-2012-2.pdf 2012 päevaõppe tagasiside]<br />
<br />
=Loengud=<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/loeng00%20-%20Sissejuhatav%20loeng.odp Sissejuhatav loeng] - <span style="color: red;">NB siin on kirjas hindamiskriteeriumid ja tähtajad.</span> Lisaks on kirjas kontrolltööde ajad ja muu aine läbimiseks oluline info. (Päevaõppes toimus 04.02.2013)<br />
<br />
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused-ntp.html NTP teenus] (Päevaõppes toimus 04.02.2013)<br />
<br />
<span style="color: red;">Kodutöö nr 1. Tähtaeg 11.02.2013. DNS loenguks lugeda läbi DNS põhimõisted.</span> Sobiva info leiate kuutõrvajas http://kuutorvaja.eenet.ee/wiki/DNS Soovi korral võite allkirjeldatud mõistete kohta infot lugeda ka mujalt.<br />
<br />
=Mõisted kontrolltööks ja arvestuseks=<br />
<br />
*DNS mõistete kohta leiab infot: http://kuutorvaja.eenet.ee/wiki/DNS<br />
*hostinimi (mis märgid on hostinimes lubatud ja kus?)<br />
*host täisnimi<br />
*domeeni täisnimi<br />
*DNS<br />
*A-kirje<br />
*alias ehk CNAME<br />
*puhverdamine<br />
*dig ja selle kasutamine<br />
*DNS spoofing<br />
*domeen ja domeeninimi<br />
*Authoritative ehk pädev server<br />
*Forwarding ehk edastamine<br />
*FQDN<br />
*Host<br />
*PTR-kirje<br />
*rekursiivne lahendus<br />
*primaarne server<br />
*sekundaarne server<br />
*open resolver<br />
*kuidas nimelahendus töötab, kirjelda näiteks "kui veebisirvijas avatakse leht, siis mis võiks toimuda?"<br />
<br />
=Vanad loengumaterjalid=<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng00%20-%20Sissejuhatav%20loeng.odp Loeng 00 - Sissejuhatav loeng - NB Tähtajad ja nõuded]<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng01%20-%20E-post.odp Loeng 01 E-post]<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng03%20-%20Failiserver.odp Loeng 03 Failiserver]<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng04%20-%20Veebiserver.odp Loeng 04 Veebiserver]<br />
<br />
[http://goo.gl/6XQ0U WordPress seadistamine]<br />
<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng05%20-%20Dokumentatsioon.odp Loeng 05 Dokumentatsioon]<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng06%20-%20VPN.odp Loeng 06 VPN]<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng07%20-%20iptables.odp Loeng 07 Tulemüürid]<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng08%20-%20SAN%20-%20NAS%20-%20CAS.odp Loeng 08 SAN NAS CAS]<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng09%20-%20Virtualiseerimine.odp Loeng 09 Virtualiseerimine]<br />
<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng10%20-%20DHCP.odp Loeng 10 DHCP]<br />
<br />
Abimaterjal:<br />
* [http://tools.ietf.org/html/rfc2131 RFC2131] <br />
* [http://kuutorvaja.eenet.ee/wiki/Isc-dhcpd_server Kuutõrvaja DHCP materjal] <br />
<br />
Abimaterjal laboriks: <br />
* Maskeraad [[Ufw]]<br />
* DHCP serveri seadistamine [[DHCP]]<br />
* [http://www.debian-administration.org/article/343/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable Dünaamiline DNS kirjete uuendamine DHCP poolt]<br />
* [http://debianclusters.org/index.php/Troubleshooting_DHCP DHCP probleemide lahendamine]<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng11%20-%20Monitooring.odp Loeng 11 Monitooring]<br />
<br />
[http://enos.itcollege.ee/~mernits/infrastruktuur/arhiiv/loeng12%20-%20LDAP.odp Loeng 12 LDAP]<br />
<br />
=Praktilised tööd=<br />
<br />
==Sissejuhatav praktikum==<br />
<br />
Paigaldage Ubuntu Linux Server süsteem VirtualBox abil <br />
<br />
'''NB! Pange kasutajanimeks mõlema süsteemi puhul student ja parool ka student'''<br />
<br />
* RAM 512MB<br />
* HDD dynamicly allocated 8GB<br />
* 2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
Logige serverisse sisse ja seadistage võrk failis /etc/network/interfaces (liidese eth1 ip aadress 192.168.56.200).<br />
Abiinfo Ubuntu server võrgu seadistamine ja VirtualBoxi võrgud<br />
<br />
<pre><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.200<br />
netmask 255.255.255.0<br />
</pre><br />
<br />
Paigaldage openssh server, kui te seda installi käigus ei teinud (apt-get update && apt-get install ssh) <br />
ISO: Ubuntu Server 12.04.1 LTS ISO (64bit) http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso<br />
<br />
<br />
Lisaks paigaldage ka Ubuntu Linux Desktop süsteem VirtualBox abil<br />
<br />
ISO: Ubuntu Desktop 12.04.1 LTS ISO (64bit) http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso<br />
<br />
Pärast installi lõppu pange peale ka kõik vajalik uuendused ning paigaldage VirtualBox-i enda additionid, mis on leitavad VirtualBox-i üldiste seadete alt<br />
<br />
Seadistage ka võtmetepõhine autentimine [[OpenSSH: võtmetega autentimine]]<br />
<br />
<br />
Eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova server] ja [http://elab.itcollege.ee:8000/infra_klient.ova klient]. User student parool on sama ja seadistatud on ka ssh key autentimine. Võtme parool on samuti student.<br />
<br />
==Praktiline töö 1 NTP/DNS/DHCP (9p/15%)==<br />
Esimese praktilise töö eesmärgiks on omandada oskused ja algteadmised levinumate infrastruktuuri teenuste seadistamiseks.<br />
<br />
Selleks on tarvis teostada kolm laborit teemadel:<br />
<br />
* NTP paigaldamine ja seadistamine (3p)<br />
<br />
Konfigureerige NTP teenus serveris ja seadistage kliendiarvuti seda teenust kasutama.<br />
<br />
Uurige mida teevad järgnevad korraldused juurkasutajana.<br />
<br />
<source lang="bash"><br />
date<br />
hwclock -r<br />
TZ=UTC date<br />
date<br />
echo $TZ<br />
hwclock --set --date="9/22/99 12:00:00"<br />
hwclock --systohc<br />
hwclock --hctosys<br />
</source><br />
<br />
Kuna VirtualBox sünkroniseerib "pisikese" aja tagant oma kella sinu operatsioonisüsteemi vastu, siis järgmisteks testideks on see soovituslik ära keelata.<br />
<br />
Järgneb õpetus: '''Kuidas keelata VirtualBoxi'l guest OS kellaaja sünkroniseerimine host OS vastu.'''<br />
<br />
Selleks on vaja avada<br />
<br />
Windowsi operatsioonisüsteemis administraatoriõigustes Command Prompt<br />
<br />
Mac OS X operatsioonisüsteemis Terminal<br />
<br />
Linuxi mõnes distributsioonis Terminal<br />
<br />
'''1) Navigeeri ennast VirtualBox installeerimiskohvrisse'''<br />
<br />
Windows:<br />
cd C:\Program Files(x86)\Oracle\VirtualBox\<br />
<br />
Linux: Linuxis on see tee juba PATH muutujas olemas, seega - võid käsud käivitada ükskõik kus olles. :)<br />
<br />
Mac OS X: Mac OS X all on see tee juba samuti PATH muutujas olemas.<br />
<br />
'''2) Sisesta käsk'''<br />
<br />
Windows:<br />
VBoxManage.exe setextradata "Soovitud Masina Nimi" "VBoxInternal/Devices/VMMDev/0/Config/GetHostTimeDisabled" "1"<br />
Linux:<br />
VBoxManage setextradata "Soovitud Masina Nimi" "VBoxInternal/Devices/VMMDev/0/Config/GetHostTimeDisabled" "1"<br />
Mac OS X:<br />
VBoxManage setextradata "Soovitud Masina Nimi" "VBoxInternal/Devices/VMMDev/0/Config/GetHostTimeDisabled" "1"<br />
<br />
'''3) Kui soovid ühel hetkel, et siiski sünkroniseeriks, siis toimi samamoodi, aga käsk, mida sisestama pead on'''<br />
Windows:<br />
VBoxManage.exe setextradata "Soovitud Masina Nimi" "VBoxInternal/Devices/VMMDev/0/Config/GetHostTimeDisabled" "0"<br />
Linux:<br />
VBoxManage setextradata "Soovitud Masina Nimi" "VBoxInternal/Devices/VMMDev/0/Config/GetHostTimeDisabled" "0"<br />
Mac OS X:<br />
VBoxManage setextradata "Soovitud Masina Nimi" "VBoxInternal/Devices/VMMDev/0/Config/GetHostTimeDisabled" "0"<br />
<br />
<br />
Ajage kliendiarvuti kell väga valeks ja mõelge, kuidas seda õigeks saada.<br />
<br />
Muutke kleindiarvuti kell 30 sekundit valeks ja uurige, kas aeg läheb täpsemaks.<br />
<br />
Millal saab NTP abil aega seada?<br />
<br />
Mida teevad korraldused<br />
<br />
<source lang="bash"><br />
ntpdate<br />
ntptrace -n <br />
ntpsweep --host localhost<br />
ntpq -pn<br />
service ntp stop<br />
ntpdate ntp.ubuntu.com<br />
service ntp start<br />
</source><br />
<br />
Leia meie võrgule sobivam(ad) ntp serverid, mille abil oma võrgu ntp serveri kella sünkroniseerida.<br />
<br />
Kuidas toimib NTP turvamudel?<br />
<br />
'''Küsimused, mida õppejõud võib küsida NTP kaitsmisel:'''<br />
<br />
*Miks on ntp konfis vaja sellist ip-d nagu 127.0.0.1 seoses ntp ja Internetiga?<br />
*Mida näitab fudge ja stratum 10?<br />
*Mida kirjeldavad ntp.conf failis restrict read?<br />
*Mida tähendavad tärn, pluss ja miinus remote serverite ees?<br />
<br />
'''Soovitused:'''<br />
<br />
*Kindlasti osata seletada ntpq -p käsu parameetrite tähendusi (refid, st, jitter jne).<br />
*Suur osa küsitavast infost on olemas ntp esitluses ning ülejäänud asjad tuleb leida Google'i abiga.<br />
<br />
====NTP sünkroniseerimise kiirendamine====<br />
Kui NTP server käima tõmmata, võib minna tüütult palju aega, et meie server sünkroniseeriks end mõne konfis oleva referents-serveri vastu.<br />
<br />
NTP deemoni konfifail <tt>/etc/ntp.conf</tt> toetab võtmesõna <tt>iburst</tt>, mis lisatakse vajadusel <tt>server</tt> ridade lõppu, näiteks:<br />
<br />
<pre><br />
server 0.pool.ntp.org iburst<br />
</pre><br />
<br />
Võtmesõna <tt>iburst</tt> ütleb, et kui antud server on kättesaamatu, siis saadetakse välja 8 paketist koosnev pakettide "purse", vaikimisi 2-sekundiliste vahedega. Mõte selles, et näiteks ebastabiilse võrgu korral, kui esimesele paketile vastust ei saada, üritataks väikese vahega uuesti, mitte ei oodataks, kuni pollimise intervall täis tiksub. Vaikimisi minimaalne pollimise intervall nimelt on 64 sekundit.<br />
<br />
Kui kombineerida võtmesõnu <tt>burst</tt>, <tt>iburst</tt>, <tt>minpoll</tt> ja <tt>maxpoll</tt>, saab sünkroniseerimise sagedust märkimisväärselt tõsta, kuid neid võtmesõnu tuleb eriti avalike serverite vastu sünkroniseerides kasutada ettevaatlikult, sest need tekitavad tavapärasest palju tihedamat NTP liiklust. Samas <tt>iburst</tt> üksinda peaks mõjuma ainult siis, kui võrk parasjagu kättesaamatu on.<br />
<br />
Loe lisa:<br />
* [http://doc.ntp.org/4.1.2/confopt.htm NTP konfiparameetrid]<br />
* [http://voltdb.com/docs/PerfGuide/ntpSvcIntro.php Veel üks juhend kellade sünkimisega seotud probleemide teemal]<br />
<br />
===DNS paigaldamine ja seadistamine (3p)===<br />
<br />
*Mõtle välja endale domeeninimi<br />
*Loo domeeninimele tsoonifail ja seadiste nimeserver<br />
*Luba rekursiivne lahendus oma sisevõrgust<br />
*Loo reevers tsoon<br />
*Loo A kirjed e-posti, nimeserveri jaoks<br />
*Loo CNAME kirjed www, samba ja oma severi jaoks<br />
<br />
<br />
http://enos.itcollege.ee/~mernits/infrastruktuur/dns/DNS_BIND.html<br />
<br />
<br />
<br />
Näitelahendus [[Nimeserveri labor V.2]]<br />
<br />
Kaitsmisel pead oskama luua uut tsooni, lisama kirjeid, oskama kasutada rndc, dig, nslookup vahendeid.<br />
<br />
* DHCP paigaldamine ja seadistamine (3p)<br />
<br />
==Praktiline töö 2==<br />
<br />
Teise praktilise töö eesmärgiks on omandada oskused ja algteadmised levinumate juurteenuste seadistamiseks.<br />
<br />
Selleks on tarvis teostada kolm laborit teemadel:<br />
<br />
* Apache2 paigaldamine ja virtualhostide seadistamine [[Virtualhost apache2 näitel]]<br />
* Wordpress paigaldamine ja jõudluse testimine (varnish)<br />
[[WordPress turvamine]]<br />
<br />
[[Varnish]] - vaata <br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
* DVWA paigaldamine ja OWASP testimine<br />
<br />
==Praktiline töö 3==<br />
<br />
Kolmanda praktilise töö eesmärgiks on omandada teadmised varasemates praktilistes töödes katmata jäänud oluliste infrastruktuuri teenuste kohta. <br />
<br />
Selleks on tarvis paigaldada samba failiserver Zentyal keskkonnas.<br />
<br />
<br />
==Questid, millede eest saab punkte==<br />
<br />
Quest 1 - https://docs.google.com/document/d/1oRt9JLF6lcf_Z-ReHCfbZXnSoc-EOBzGprxvIyhq4qk/edit?usp=sharing<br />
<br />
=Kaugõppele=<br />
<br />
Info lisandub...<br />
<br />
=Arvestus ja hindamine=<br />
<br />
Aine on jagatud praktilisteks ja teoreetilisteks töödeks. Seitsmeks (7) laboriks ning kaheks (2) teoreetiliseks kontrolltööks. <br />
<br />
Lisaks on tarvis teha eraldi dokumentatsiooni ehk ühe kaitstud labori kohta '''viki artikkel'''. <br />
<br />
'''Praktiliste tööde''' hulka kuuluvad erinevate teenuste paigaldamine ning seadistamine. Ühe labori eest on võimalik saada maksimaalselt 3 punkti. <br />
<br />
* 1 punkt on võimalik saada teenuse seadistamise, paigaldamise ning suulise kaitsmise eest. (Õppejõud võib seadistust muuta ning paluda paranduste kohta selgitust)<br />
* 2 punkti on võimalik saada, kui kaitsta oskuslikult konkreetse labori kohta käivad teoreetilised teadmised suuliselt õppejõule. (Küsimused esitab õppejõud)<br />
* 3 punkti on võimalik saada, kui parandada konkreetse teema kohta käivat juhendit ning esitada tulemuse õppejõule. (Mõeldud ambitsioonikamatele tudengitele)<br />
<br />
Lävendiks on 1 punkt, mis tähendab praktilise osa teostust. Kui iga labori eest on ainult 1 punkt, tuleb teoreetilised teadmised kaitsta kontrolltöö käigus, aga kui iga labori eest on vähemalt 2 punkti, ei ole kontrolltööd tarvis teha. <br />
<br />
'''Lõpparvestus''', neile, kes ei saa tähtajaks laboreid, kontrolltöid ja dokumentatsiooni kaitstud, toimub samuti kahes osas ning annab kokku 20% kogu hindest. Arvestusel peab koguma vähemalt pooled punktid läbi saamiseks (Tasub semestri jooksul pingutada!)<br />
Arvestusel tuleb 10% ulatuses parandada õppejõu poolt "katki tehtud" teenust ja 10% ulatuses vastata 5-10-le teoreetilisele küsimusele. <br />
<br />
==Tähtajad==<br />
<br />
===Päevaõppele===<br />
<br />
Praktilise töö laborite kaitsmised (laborid 1-3): 18. märts<br />
<br />
Praktilise töö laborite kaitsmised (Laborid 4-6): 13. mai<br />
<br />
Praktilise töö labori kaitsmised (Labor 7): ~21. mai<br />
<br />
<br />
Dokumentatsioon (viki artikkel): 13. mai<br />
<br />
<br />
Kontrolltöö 1: 25. märts<br />
<br />
Kontrolltöö 2: 13. mai<br />
<br />
<br />
Arvestus: Arvestuse päeval mai lõpus. ~27. mail<br />
<br />
=Juurteenuste kursus=<br />
[http://enos.itcollege.ee/~mernits/skriptimine/bash/src/juurteenused.html Interneti juurteenused]</div>Mignatje