WCF сервис по httpS перестал работать после апгрейда фаервола Нет воможности посмотреть на точное исключение. Скажем так, он (сервис) просто не работает (нет там программистов а клиентое приложение "глотает" исключения, может, и сервис их не шлет). Задачу можно решить только эмпирически, оcновываясь на том, что работал а теперь нет, причина — апгрейд фаервола.
Подскажите, что стоит посмотреть в первую очередь?
Спасибо, можно поподробнее об обоих вариантах? Первый надо смотреть 443 порт или как найти номер портал наверняка? Второе — вы имели ввиду защиты от снифинга или я неправильно понял? В любом случае, можно поподробнее? Я могу попросить посмотреть конфиги или запустить простую комманду — люди не программисты там совсем.
Здравствуйте, Аноним, Вы писали:
А>Спасибо, можно поподробнее об обоих вариантах? Первый надо смотреть 443 порт или как найти номер портал наверняка? Второе — вы имели ввиду защиты от снифинга или я неправильно понял? В любом случае, можно поподробнее? Я могу попросить посмотреть конфиги или запустить простую комманду — люди не программисты там совсем.
проверить порт снаружи под виндой:
telnet ip_address 443
по второму вопросу: умный фаер может подменять сертификат (становится неким посредником), чтобы чекать трафик по SSL на вирусы, etc.
в обоих случаях нужно тюнить фаер.
Re[4]: WCF сервис по httpS перестал работать
От:
Аноним
Дата:
18.05.11 08:40
Оценка:
можно сузить круг того, где смотреть, не зная "модели" фаера — так как я его не знаю? Насколько я знаю это сломалось в один прекрасный день без изменений конфигурации — пока думает на апдейт фаервола.
Здравствуйте, Аноним, Вы писали:
А>можно сузить круг того, где смотреть, не зная "модели" фаера — так как я его не знаю? Насколько я знаю это сломалось в один прекрасный день без изменений конфигурации — пока думает на апдейт фаервола.
возможно. для этого нужна отправная точка. результаты команды telnet в студию.
Здравствуйте, AK107, Вы писали:
AK>по второму вопросу: умный фаер может подменять сертификат (становится неким посредником), чтобы чекать трафик по SSL на вирусы, etc.
т.е. получается, что ebay.com высылает мне свой сертификат, чтобы я (мой браузер) шифровал им трафик. "Умный фаер" подменяет его сертификат своим и я получаю уже сертификат фаера, которым шифрую трафик, фаер его читает, перешифровывает сертификатом ebay и шлёт дальше. Так?
фигасе, никогда не думал, что такое возможно. а где можно об этом почитать (и о защите от этого)?
Здравствуйте, Neco, Вы писали:
AK>>по второму вопросу: умный фаер может подменять сертификат (становится неким посредником), чтобы чекать трафик по SSL на вирусы, etc. N>т.е. получается, что ebay.com высылает мне свой сертификат, чтобы я (мой браузер) шифровал им трафик. "Умный фаер" подменяет его сертификат своим и я получаю уже сертификат фаера, которым шифрую трафик, фаер его читает, перешифровывает сертификатом ebay и шлёт дальше. Так? N>фигасе, никогда не думал, что такое возможно. а где можно об этом почитать (и о защите от этого)?
Да, именно так. Точно знаю что так делаю Касперский и Threat Management Gateway.
Также известна как MitM (Man-in-the-Middle) атака. Предполагает участие трех сторон: сервера, клиента и злоумышленника, находящегося между ними. В данной ситуации злоумышленник может перехватывать все сообщения, которые следуют в обоих направлениях, и подменять их. Злоумышленник представляется сервером для клиента и клиентом для сервера. В случае обмена ключами по алгоритму Диффи-Хелмана данная атака является эффективной, так как целостность принимаемой информации и ее источник проверить невозможно. Однако такая атака невозможна при использовании протокола SSL, так как для проверки подлинности источника (обычно сервера) используются сертификаты, заверенные центром сертификации.
Атака будет успешной, если:
Сервер не имеет подписанного сертификата.
Клиент не проверяет сертификат сервера.
Пользователь игнорирует сообщение об отсутствии подписи сертификата центром сертификации или о несовпадении сертификата с кэшированным.
Замечание. Работа HTTPS-фильтра (который устанавливает туннель в обе стороны и отдает свой сертификат клиенту) в MS Forefront TGM, работающая по этой схеме, не является атакой, но средством защиты и контроля.
Здравствуйте, AK107, Вы писали:
AK>Здравствуйте, Neco, Вы писали:
N>>фигасе, никогда не думал, что такое возможно. а где можно об этом почитать (и о защите от этого)?
AK>ну как, на wikipedии AK>
AK>Злоумышленник посередине
AK>Также известна как MitM (Man-in-the-Middle) атака. Предполагает участие трех сторон: сервера, клиента и злоумышленника, находящегося между ними. В данной ситуации злоумышленник может перехватывать все сообщения, которые следуют в обоих направлениях, и подменять их. Злоумышленник представляется сервером для клиента и клиентом для сервера. В случае обмена ключами по алгоритму Диффи-Хелмана данная атака является эффективной, так как целостность принимаемой информации и ее источник проверить невозможно. Однако такая атака невозможна при использовании протокола SSL, так как для проверки подлинности источника (обычно сервера) используются сертификаты, заверенные центром сертификации.
AK>Атака будет успешной, если:
AK>Сервер не имеет подписанного сертификата.
AK>Клиент не проверяет сертификат сервера.
AK>Пользователь игнорирует сообщение об отсутствии подписи сертификата центром сертификации или о несовпадении сертификата с кэшированным.
AK>Замечание. Работа HTTPS-фильтра (который устанавливает туннель в обе стороны и отдает свой сертификат клиенту) в MS Forefront TGM, работающая по этой схеме, не является атакой, но средством защиты и контроля.
Насколько я понял вопрос Neco, то он наоборот спрашивает, как такое возможно "комп посередине (фаер) меняет серверный подписанный сертификат на свой, а клиенту создает свой подписанный серт".
т.е. всё пучком, но серверный серт застревает на фаере и до клиента не доходит в оригинале
Re[7]: WCF сервис по httpS перестал работать
От:
Аноним
Дата:
26.05.11 08:23
Оценка:
А>Насколько я понял вопрос Neco, то он наоборот спрашивает, как такое возможно "комп посередине (фаер) меняет серверный подписанный сертификат на свой, а клиенту создает свой подписанный серт". А>т.е. всё пучком, но серверный серт застревает на фаере и до клиента не доходит в оригинале
Похоже, это именно то, что происходит. Куда нужно смотреть?