客户端和代理之间的通信；读取SSL数据包

Question

如果一个公司的网络有一个代理服务器，并且客户端被配置成使用它，你能在它离开代理之前读取加密的网络流量吗？在代理未加密之前，您能创建流量吗？我确信您不能在客户端的TCP堆栈中加密通信量。

情况就是这样。客户端将访问文件共享站点。我用bro日志和pcaps记录了交通情况。我能从SSL流量中得到什么吗？我是否可以使用代理来缓冲加密并允许读取客户端的通信量？

Answer 1

不，如果将代理配置为正常的web代理，则无法读取代理的通信量。

你可以读取流量，如果你使它成为一个透明的代理与人在中间的TLS拦截。

每当协商TLS连接时，客户端检查远程服务器提供的证书是否与域名匹配，并且响应是否使用服务器的私钥正确签名，该私钥也与证书匹配。

这可以确保客户端连接到正确的服务器，而不是任何错误的实体。这是确保双方交通安全的一个基本要点。

现在，我们可以设置一个代理来截取这个握手。但是，如果要使其正确工作，则必须将代理的证书添加到客户端中的受信任证书存储区，以便客户端信任该代理的证书对所有域都有效。

总之，您需要使用代理向每个客户端安装代理证书，以便监视TLS通信量。

其中一个实现是：https://wiki.squid-cache.org/Features/SslPeekAndSplice

关于你关于抓捕的第二个问题。破解捕获的答案是否定的。实际的TLS有效载荷是使用加密算法加密的，用目前的技术，如果不知道用于加密的密钥，就不可能对其进行解密。