WCF сервис по httpS перестал работать после апгрейда фаервола Нет воможности посмотреть на точное исключение. Скажем так, он (сервис) просто не работает (нет там программистов а клиентое приложение "глотает" исключения, может, и сервис их не шлет). Задачу можно решить только эмпирически, оcновываясь на том, что работал а теперь нет, причина — апгрейд фаервола.

Подскажите, что стоит посмотреть в первую очередь?

Здравствуйте, Аноним, Вы писали:

Если файрвол затронул HTTPS, то либо порт просто блокируется, либо ради снифинга он меняет сертификаты и сертификат будет левым.

Спасибо, можно поподробнее об обоих вариантах? Первый надо смотреть 443 порт или как найти номер портал наверняка? Второе — вы имели ввиду защиты от снифинга или я неправильно понял? В любом случае, можно поподробнее? Я могу попросить посмотреть конфиги или запустить простую комманду — люди не программисты там совсем.

Здравствуйте, Аноним, Вы писали:

А>Спасибо, можно поподробнее об обоих вариантах? Первый надо смотреть 443 порт или как найти номер портал наверняка? Второе — вы имели ввиду защиты от снифинга или я неправильно понял? В любом случае, можно поподробнее? Я могу попросить посмотреть конфиги или запустить простую комманду — люди не программисты там совсем.

проверить порт снаружи под виндой:

telnet ip_address 443

по второму вопросу: умный фаер может подменять сертификат (становится неким посредником), чтобы чекать трафик по SSL на вирусы, etc.

в обоих случаях нужно тюнить фаер.

можно сузить круг того, где смотреть, не зная "модели" фаера — так как я его не знаю? Насколько я знаю это сломалось в один прекрасный день без изменений конфигурации — пока думает на апдейт фаервола.

Здравствуйте, Аноним, Вы писали:

А>можно сузить круг того, где смотреть, не зная "модели" фаера — так как я его не знаю? Насколько я знаю это сломалось в один прекрасный день без изменений конфигурации — пока думает на апдейт фаервола.

возможно. для этого нужна отправная точка. результаты команды telnet в студию.

Здравствуйте, AK107, Вы писали:

AK>по второму вопросу: умный фаер может подменять сертификат (становится неким посредником), чтобы чекать трафик по SSL на вирусы, etc.
т.е. получается, что ebay.com высылает мне свой сертификат, чтобы я (мой браузер) шифровал им трафик. "Умный фаер" подменяет его сертификат своим и я получаю уже сертификат фаера, которым шифрую трафик, фаер его читает, перешифровывает сертификатом ebay и шлёт дальше. Так?
фигасе, никогда не думал, что такое возможно. а где можно об этом почитать (и о защите от этого)?

Здравствуйте, Neco, Вы писали:

AK>>по второму вопросу: умный фаер может подменять сертификат (становится неким посредником), чтобы чекать трафик по SSL на вирусы, etc.
N>т.е. получается, что ebay.com высылает мне свой сертификат, чтобы я (мой браузер) шифровал им трафик. "Умный фаер" подменяет его сертификат своим и я получаю уже сертификат фаера, которым шифрую трафик, фаер его читает, перешифровывает сертификатом ebay и шлёт дальше. Так?
N>фигасе, никогда не думал, что такое возможно. а где можно об этом почитать (и о защите от этого)?

Да, именно так. Точно знаю что так делаю Касперский и Threat Management Gateway.

Здравствуйте, Neco, Вы писали:

N>фигасе, никогда не думал, что такое возможно. а где можно об этом почитать (и о защите от этого)?

ну как, на wikipedии

Злоумышленник посередине

Также известна как MitM (Man-in-the-Middle) атака. Предполагает участие трех сторон: сервера, клиента и злоумышленника, находящегося между ними. В данной ситуации злоумышленник может перехватывать все сообщения, которые следуют в обоих направлениях, и подменять их. Злоумышленник представляется сервером для клиента и клиентом для сервера. В случае обмена ключами по алгоритму Диффи-Хелмана данная атака является эффективной, так как целостность принимаемой информации и ее источник проверить невозможно. Однако такая атака невозможна при использовании протокола SSL, так как для проверки подлинности источника (обычно сервера) используются сертификаты, заверенные центром сертификации.

Атака будет успешной, если:
Сервер не имеет подписанного сертификата.
Клиент не проверяет сертификат сервера.
Пользователь игнорирует сообщение об отсутствии подписи сертификата центром сертификации или о несовпадении сертификата с кэшированным.

Замечание. Работа HTTPS-фильтра (который устанавливает туннель в обе стороны и отдает свой сертификат клиенту) в MS Forefront TGM, работающая по этой схеме, не является атакой, но средством защиты и контроля.

http://msdn.microsoft.com/en-us/library/aa702621.aspx

Give the account under which WCF is running read access to the file that contains the private key associated with the X.509 certificate.

Где найти этот приватный ключ, где он типично находится?

http://msdn.microsoft.com/en-us/library/aa717039.aspx

Здравствуйте, AK107, Вы писали:

AK>Здравствуйте, Neco, Вы писали:

N>>фигасе, никогда не думал, что такое возможно. а где можно об этом почитать (и о защите от этого)?

AK>ну как, на wikipedии
AK>

AK>Злоумышленник посередине

AK>Также известна как MitM (Man-in-the-Middle) атака. Предполагает участие трех сторон: сервера, клиента и злоумышленника, находящегося между ними. В данной ситуации злоумышленник может перехватывать все сообщения, которые следуют в обоих направлениях, и подменять их. Злоумышленник представляется сервером для клиента и клиентом для сервера. В случае обмена ключами по алгоритму Диффи-Хелмана данная атака является эффективной, так как целостность принимаемой информации и ее источник проверить невозможно. Однако такая атака невозможна при использовании протокола SSL, так как для проверки подлинности источника (обычно сервера) используются сертификаты, заверенные центром сертификации.

AK>Атака будет успешной, если:
AK>Сервер не имеет подписанного сертификата.
AK>Клиент не проверяет сертификат сервера.
AK>Пользователь игнорирует сообщение об отсутствии подписи сертификата центром сертификации или о несовпадении сертификата с кэшированным.

AK>Замечание. Работа HTTPS-фильтра (который устанавливает туннель в обе стороны и отдает свой сертификат клиенту) в MS Forefront TGM, работающая по этой схеме, не является атакой, но средством защиты и контроля.

Насколько я понял вопрос Neco, то он наоборот спрашивает, как такое возможно "комп посередине (фаер) меняет серверный подписанный сертификат на свой, а клиенту создает свой подписанный серт".
т.е. всё пучком, но серверный серт застревает на фаере и до клиента не доходит в оригинале

А>Насколько я понял вопрос Neco, то он наоборот спрашивает, как такое возможно "комп посередине (фаер) меняет серверный подписанный сертификат на свой, а клиенту создает свой подписанный серт".
А>т.е. всё пучком, но серверный серт застревает на фаере и до клиента не доходит в оригинале


Похоже, это именно то, что происходит. Куда нужно смотреть?

Спасибо.