А вы, как я погляжу, специалист! Вам ссылку привести или сами нагуглите?
Client certificate auth - моментально 403 Forbidden
-
- Уже с Приветом
- Posts: 2416
- Joined: 16 Jul 2004 00:32
- Location: NY, NY
-
- Уже с Приветом
- Posts: 13709
- Joined: 16 Jan 2001 10:01
Re: Client certificate auth - моментально 403 Forbidden
HTTP 403 - это ответ сервера.shadow7256 wrote: ↑17 Jul 2021 02:49все абсолютно верно, но дело даже не в авторизации, сейчас хер с ней.
Судя по всему, раз сервер пускает запросы с одной машины и не пускает с другой, то наверное проблема где то на машине, с которой не пускает. А вот что за проблема непонятно.
Это значит что все TLS negotiations уже закончились:
Сервер получил запрос от клиента, этот запрос вызвал подозрения в благих намерениях клиента, и сервер возгласил: "отойди от меня, сатана!"
Так что возможно я не прав насчёт авторизации, и она там таки есть. Но процесс траблшутинга укрепил меня во мнении что mutual authentication не является адекватным инструментом.
-
- Уже с Приветом
- Posts: 3175
- Joined: 17 May 2007 14:07
Re: Client certificate auth - моментально 403 Forbidden
Приведите пожалуйста и мы почитаем …
Может Вы не поняли уточняю ещё раз - разговор идёт про mutual cert base auth.
-
- Уже с Приветом
- Posts: 13709
- Joined: 16 Jan 2001 10:01
Re: Client certificate auth - моментально 403 Forbidden
Как-то я не конкретно выразился. Уточню для автора топика:
Вся информация о причине отказа находится на сервере.
И причина не связана напрямую с TLS negotiation.
Ищите в логах сервера, не только в tls trace.
-
- Уже с Приветом
- Posts: 13709
- Joined: 16 Jan 2001 10:01
Re: Client certificate auth - моментально 403 Forbidden
Ещё один аргумент против mutual authentication: разговоры о ней почти неизбежно скатываются к агрессивным выпадам, наездам, странным ужимкам...
Мы с очень близким приятелем и коллегой чуть не подрались когда я объяснял свои находки и мысли по этой теме.
-
- Уже с Приветом
- Posts: 2416
- Joined: 16 Jul 2004 00:32
- Location: NY, NY
Re: Client certificate auth - моментально 403 Forbidden
Так при чем тут mutual authentication к вопросу о возможности MITM атаки если host name не верифицировать?
Мой коментарий был ровно об этом и гугл, если захотеть поискать, выдает это во первых строках!
MITM attack это не про то, чтобы знать приватные ключи клиента или сервера. Если такое произошло, то это уже совсем другой кейс и тут уместно говорить о пробелемах аутентификации, не важно mutual она или нет.
Мой "наезд" возможно был неуместен, но вызван исключительно безаппеляционностью высказывания и, при том, не по теме. Если вы со своим близким приятелем общались в таком же стиле, то можно было бы и до драки дойти...
-
- Уже с Приветом
- Posts: 2416
- Joined: 16 Jul 2004 00:32
- Location: NY, NY
Re: Client certificate auth - моментально 403 Forbidden
Какая у вас интересная особенность отвечая на конкретный пост и даже на конкретную его часть, думать и говорить о чем-то своем... ))
Тем не менее, ваша фраза "сверять сертификаты" в контексте предыдушего обсуждения сводится лишь к peer verification. Возможно я что-то пропустил и вы сможете мне указать где бы обсуждалось host name verification, на что я и обратил внимание автора топика.
-
- Уже с Приветом
- Posts: 13709
- Joined: 16 Jan 2001 10:01
Re: Client certificate auth - моментально 403 Forbidden
Строго говоря, первым не по теме высказались Вы, но не в этом суть.
Представьте себе если бы разговор был про какую-нибудь аутентификацию на основе пароля (http basic, wsse, etc.)
Тогда при самом высоком эмоциональном накале вряд ли возникли тёрки про MITM...
-
- Уже с Приветом
- Posts: 2416
- Joined: 16 Jul 2004 00:32
- Location: NY, NY
Re: Client certificate auth - моментально 403 Forbidden
Еще строже говоря, я высказался в корень темы, не отвечая ни на чей пост, а исключительно имея ввиду автора топика (без излишнего цитирования!).
Автор же по соседству очевидно принял это в свой адрес... )) Что именно не по теме в моем сообщении было в таком случае?
-
- Уже с Приветом
- Posts: 3175
- Joined: 17 May 2007 14:07
Re: Client certificate auth - моментально 403 Forbidden
При mutual ssl auth MITM не возможен в принципе без знания обоих приватных ключей. Разговор вообщем в данном треде был как раз про mutual auth и Ваш комментарий про MITM и верификации хоста в данном случае не валиден вообще (ака не в тему) про что я Вам указал. На что Вы меня обозвали умником и отправили что-то там читать. Дальше логическую цепочку продолжать ?Oleg-NY wrote: ↑18 Jul 2021 18:25Так при чем тут mutual authentication к вопросу о возможности MITM атаки если host name не верифицировать?
Мой коментарий был ровно об этом и гугл, если захотеть поискать, выдает это во первых строках!
MITM attack это не про то, чтобы знать приватные ключи клиента или сервера. Если такое произошло, то это уже совсем другой кейс и тут уместно говорить о пробелемах аутентификации, не важно mutual она или нет.
Мой "наезд" возможно был неуместен, но вызван исключительно безаппеляционностью высказывания и, при том, не по теме. Если вы со своим близким приятелем общались в таком же стиле, то можно было бы и до драки дойти...
-
- Уже с Приветом
- Posts: 2416
- Joined: 16 Jul 2004 00:32
- Location: NY, NY
Re: Client certificate auth - моментально 403 Forbidden
Не стоит! Вы уже в тупике и похоже даже не потрудились осмыслить тот пост, на который ответили. Вы занимаетесь словесной эквилибристрикой дабы выбраться из создавшегося положения, видимо расчитывая, что никто не будет вникать, а лишь примет вашу сторону на веру. Но имеющий глаза да прочтет...
Это вы здесь обсуждаете mutual auth, а вот автор задал конкретный вопрос и отвечал я ему, а вовсе не вам... Но вы же здесь главный эксперт похоже, и тут же стали отвечать за автора на мой пост ну совершенно не в тему! Еще раз повторю для вас лично, MITM attack не базируется на обладании приватными ключами сторон. Да и MITM в моем первичном посте не является сутью, но вы почему-то именно к этому привязались... ))
-
- Уже с Приветом
- Posts: 9393
- Joined: 18 Mar 2004 15:11
- Location: New York -> FL
-
- Уже с Приветом
- Posts: 9393
- Joined: 18 Mar 2004 15:11
- Location: New York -> FL
Re: Client certificate auth - моментально 403 Forbidden
Уважаемые, речь не идет о MITM attack или о чем то еще как то связанным насколько "безопасный" сервер или прочее. Я пытаюсь понять, почему с одной машины запрос обрабатывается нормально, а с другой возвращается 403. Завтра индус запустит клиентскую программу с включенными логами. Посмотрим что покажет.
-
- Уже с Приветом
- Posts: 3175
- Joined: 17 May 2007 14:07
Re: Client certificate auth - моментально 403 Forbidden
Я как раз никакой словесной эквилибристикой не занимаюсь. Выглядит так что это Вы про себя говорите а приписываете мне. И если Вы прочитаете весь топик то увидите что везде обсуждается mutual SSL auth.Oleg-NY wrote: ↑19 Jul 2021 01:28Не стоит! Вы уже в тупике и похоже даже не потрудились осмыслить тот пост, на который ответили. Вы занимаетесь словесной эквилибристрикой дабы выбраться из создавшегося положения, видимо расчитывая, что никто не будет вникать, а лишь примет вашу сторону на веру. Но имеющий глаза да прочтет...
Это вы здесь обсуждаете mutual auth, а вот автор задал конкретный вопрос и отвечал я ему, а вовсе не вам... Но вы же здесь главный эксперт похоже, и тут же стали отвечать за автора на мой пост ну совершенно не в тему! Еще раз повторю для вас лично, MITM attack не базируется на обладании приватными ключами сторон. Да и MITM в моем первичном посте не является сутью, но вы почему-то именно к этому привязались... ))
И да Вы правы продолжат не о чем ибо Вы явно знаете поверхностно SSL/TLS и слабо разбираетесь в вопросе. Упомянутая Вами hostname verification не является обязательной и не просто так. Ибо это всего лишь дополнительная опция для обнаружения MITM которая ввиду "дырявости" протокола DNS являеться меньшей сложностью, для того кто задался целью сделать MITM
-
- Уже с Приветом
- Posts: 3175
- Joined: 17 May 2007 14:07
Re: Client certificate auth - моментально 403 Forbidden
Кстати на уровне "бредовой идеи" - у этого банка случайно нет SSL forward proxy ? В банках и больших корпорациях это довольно распространенное явление. И этот девайс как раз делает MITM для всех девайсов из корпоративной сети. И они вполне могут скрудапить SSL connection.shadow7256 wrote: ↑19 Jul 2021 01:37 Уважаемые, речь не идет о MITM attack или о чем то еще как то связанным насколько "безопасный" сервер или прочее. Я пытаюсь понять, почему с одной машины запрос обрабатывается нормально, а с другой возвращается 403. Завтра индус запустит клиентскую программу с включенными логами. Посмотрим что покажет.
-
- Уже с Приветом
- Posts: 2416
- Joined: 16 Jul 2004 00:32
- Location: NY, NY
Re: Client certificate auth - моментально 403 Forbidden
М-да... боюсь, что у меня бисер кончился! )) Вы видимо никогда ничего не пытались сертифицировать из того, что ваяли на эту тему. Почитайте требования любой из сертификаций и увидите насколько эта опция необязательна! Уже даже не смешно...kostik78 wrote: ↑19 Jul 2021 01:37 И да Вы правы продолжат не о чем ибо Вы явно знаете поверхностно SSL/TLS и слабо разбираетесь в вопросе. Упомянутая Вами hostname verification не является обязательной и не просто так. Ибо это всего лишь дополнительная опция для обнаружения MITM которая ввиду "дырявости" протокола DNS являеться меньшей сложностью, для того кто задался целью сделать MITM
-
- Уже с Приветом
- Posts: 3175
- Joined: 17 May 2007 14:07
Re: Client certificate auth - моментально 403 Forbidden
Проходил разные аудиты и нигде данная опция не стояла обязательной... А Вы изучите что такое DNS spoofing and DNS hijacking и поймёте что те кто делает целенаправленую MITM потделать DNS entries меньшая проблема. За сем вопрос на данную тему с Вами считаю для себя закрытой.Oleg-NY wrote: ↑19 Jul 2021 02:01М-да... боюсь, что у меня бисер кончился! )) Вы видимо никогда ничего не пытались сертифицировать из того, что ваяли на эту тему. Почитайте требования любой из сертификаций и увидите насколько эта опция необязательна! Уже даже не смешно...kostik78 wrote: ↑19 Jul 2021 01:37 И да Вы правы продолжат не о чем ибо Вы явно знаете поверхностно SSL/TLS и слабо разбираетесь в вопросе. Упомянутая Вами hostname verification не является обязательной и не просто так. Ибо это всего лишь дополнительная опция для обнаружения MITM которая ввиду "дырявости" протокола DNS являеться меньшей сложностью, для того кто задался целью сделать MITM
-
- Уже с Приветом
- Posts: 2416
- Joined: 16 Jul 2004 00:32
- Location: NY, NY
Re: Client certificate auth - моментально 403 Forbidden
Вы городите одну чушь за другой. Очень хочется ответить словами Филипп Филиппыча, но да ладно. Ну буду нарываться на бан из-за пустяков...kostik78 wrote: ↑19 Jul 2021 02:06 Проходил разные аудиты и нигде данная опция не стояла обязательной... А Вы изучите что такое DNS spoofing and DNS hijacking и поймёте что те кто делает целенаправленую MITM потделать DNS entries меньшая проблема. За сем вопрос на данную тему с Вами считаю для себя закрытой.
-
- Уже с Приветом
- Posts: 9393
- Joined: 18 Mar 2004 15:11
- Location: New York -> FL
Re: Client certificate auth - моментально 403 Forbidden
Получил логи из банка.
System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z
System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.
Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.
System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z
System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.
Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.
-
- Уже с Приветом
- Posts: 3175
- Joined: 17 May 2007 14:07
Re: Client certificate auth - моментально 403 Forbidden
Сертификат согласно логам с клиента посылался ? То что сервер его не получает Вы уже в Wireshark видели.shadow7256 wrote: ↑19 Jul 2021 16:46 Получил логи из банка.
System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z
System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.
Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.
-
- Уже с Приветом
- Posts: 9393
- Joined: 18 Mar 2004 15:11
- Location: New York -> FL
Re: Client certificate auth - моментально 403 Forbidden
Сервер не получал сертификат когда я обращался к серверу из браузера. Но видно там другая ситуация. Здесь сертификат посылается это 100 процентов потому что я его сам в коде получаю и прилагаю в запросе. И все равно 403.kostik78 wrote: ↑19 Jul 2021 17:25Сертификат согласно логам с клиента посылался ? То что сервер его не получает Вы уже в Wireshark видели.shadow7256 wrote: ↑19 Jul 2021 16:46 Получил логи из банка.
System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z
System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.
Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.
-
- Уже с Приветом
- Posts: 3175
- Joined: 17 May 2007 14:07
Re: Client certificate auth - моментально 403 Forbidden
Я бы проверил что посылается в логах, всякое бывает.shadow7256 wrote: ↑19 Jul 2021 17:57Сервер не получал сертификат когда я обращался к серверу из браузера. Но видно там другая ситуация. Здесь сертификат посылается это 100 процентов потому что я его сам в коде получаю и прилагаю в запросе. И все равно 403.kostik78 wrote: ↑19 Jul 2021 17:25Сертификат согласно логам с клиента посылался ? То что сервер его не получает Вы уже в Wireshark видели.shadow7256 wrote: ↑19 Jul 2021 16:46 Получил логи из банка.
System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z
System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.
Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.
-
- Уже с Приветом
- Posts: 9393
- Joined: 18 Mar 2004 15:11
- Location: New York -> FL
Re: Client certificate auth - моментально 403 Forbidden
System.Net Information: 0 : [10072] Connection#59817589 - Created connection from 10.138.244.236:63184 to 10.138.245.234:7081.
ProcessId=10988
DateTime=2021-07-19T14:46:10.2044154Z
System.Net Information: 0 : [10072] TlsStream#12547953::.ctor(host=10.138.245.234, #certs=1, checkCertificateRevocationList=False, sslProtocols=Tls, Tls11, Tls12)
Вроде как показывает, что посылается сертификат.
Я тут нашел про какую то опцию в реестре на машине сервера.
https://stackoverflow.com/questions/272 ... ror-403-16
завтра попрошу индюка установить опцию эту. Посмотрим.
-
- Уже с Приветом
- Posts: 3175
- Joined: 17 May 2007 14:07
Re: Client certificate auth - моментально 403 Forbidden
В данном логе я не вижу что клиентский сертификат послан но я не специалист в C#shadow7256 wrote: ↑20 Jul 2021 00:46System.Net Information: 0 : [10072] Connection#59817589 - Created connection from 10.138.244.236:63184 to 10.138.245.234:7081.
ProcessId=10988
DateTime=2021-07-19T14:46:10.2044154Z
System.Net Information: 0 : [10072] TlsStream#12547953::.ctor(host=10.138.245.234, #certs=1, checkCertificateRevocationList=False, sslProtocols=Tls, Tls11, Tls12)
Вроде как показывает, что посылается сертификат.
Я тут нашел про какую то опцию в реестре на машине сервера.
https://stackoverflow.com/questions/272 ... ror-403-16
завтра попрошу индюка установить опцию эту. Посмотрим.
Про опцию, выглядит обещающе и совпадает с тем что я нарыл пару дней назад про дополнительную секьюрити на винде.
Если не сработает то я бы сделал следующее: синхронизовать логи клиента и Wireshark на сервере что было видно сессию с обоих сторон. Есть вероятность что у них всё-таки стоит ssl forward proxy и он выкусывает клиентский сертификат в процессе перехвата ssl session. Я несколько лет назад из за такого девайся день потерял. У меня правда прилетал TCP reset в процессе handshake
-
- Уже с Приветом
- Posts: 9393
- Joined: 18 Mar 2004 15:11
- Location: New York -> FL
Re: Client certificate auth - моментально 403 Forbidden
System.Net Information: 0 : [10072] TlsStream#12547953::.ctor(host=10.138.245.234, #certs=1, checkCertificateRevocationList=False, sslProtocols=Tls, Tls11, Tls12)
вот здесь. host = 10.138.245.234 - это айпишник сервера. То есть клиент установил коннект с ним и теперь устанавливает secured соединение (через TlsStream) и при этом передает клиентский сертификат - #certs = 1.
я честно говорят немного не понял что конкретно она делает.
А нафига он нужен вообще? Что то типа Fiddler? ОНи божатся, что ничего между машинами нет. Даже фаервола.Есть вероятность что у них всё-таки стоит ssl forward proxy
так это девайс? или софт все таки?Я несколько лет назад из за такого девайся день потерял.