久しぶりの投稿。
企業フォレンジックとしてクライアント端末からインターネットへ向けたパケットをすべて採取しておいて何かあったらそこから検索するっていう、かなり乱暴な気もするけど保全性もいいよねって事で方法の話。
HTTPS通信とか。どうすんの?って話になるけど、デコードしてやって中身を見ないとアレだね。
で、どうやって実装するんだろうって思ってたらあるんだね。
今回調べたのはi-FilterSercer+SSLアダプタの組み合わせ。SSLアダプタを入れるとそれだけでHTTPSのPostを記録できるみたい。でもそれじゃあまりおもしろくないから、外部のウイルスゲートウェイへデコードして渡す時のためのICAP通信を横取りしちゃう。
これで非暗号化されたパケットが取れるって仕組みらしい。
それをTAPなりでフォレンジック製品に投げてやる。
( ´_ゝ`)フーン。なるほど。
クライアントからすると、HTTPSを一旦終端してしまうi-FilterServerの証明書と実際にアクセスしているサイト(例えばGoogleとか)の証明書が異なるから証明書の警告みたいなのが出る。
これは仕様として仕方がない。
でもねー。なんかもう少しスマートにならないもんかね。と思ったり。
これまでは不正な証明書は危険だからって散々植え付けてきたわけでしょ。
それを今回の仕組みからは無視してって、リテラシーの面からしてもどうなのかと思う訳で。
とまぁ、面白い仕組みもあるなぁって事でした。
0 件のコメント:
コメントを投稿