Client certificate auth - моментально 403 Forbidden

[Oleg-NY]

Дальше логическую цепочку продолжать ?

Не стоит! Вы уже в тупике и похоже даже не потрудились осмыслить тот пост, на который ответили. Вы занимаетесь словесной эквилибристрикой дабы выбраться из создавшегося положения, видимо расчитывая, что никто не будет вникать, а лишь примет вашу сторону на веру. Но имеющий глаза да прочтет...
Это вы здесь обсуждаете mutual auth, а вот автор задал конкретный вопрос и отвечал я ему, а вовсе не вам... Но вы же здесь главный эксперт похоже, и тут же стали отвечать за автора на мой пост ну совершенно не в тему! Еще раз повторю для вас лично, MITM attack не базируется на обладании приватными ключами сторон. Да и MITM в моем первичном посте не является сутью, но вы почему-то именно к этому привязались... ))

[shadow7256]

Ищите в логах сервера, не только в tls trace.

У меня сервер на C# написан, self hosted WEB API. А какие там еще могут быть логи кроме TLS trace?

[shadow7256]

Уважаемые, речь не идет о MITM attack или о чем то еще как то связанным насколько "безопасный" сервер или прочее. Я пытаюсь понять, почему с одной машины запрос обрабатывается нормально, а с другой возвращается 403. Завтра индус запустит клиентскую программу с включенными логами. Посмотрим что покажет.

[kostik78]

Дальше логическую цепочку продолжать ?

Не стоит! Вы уже в тупике и похоже даже не потрудились осмыслить тот пост, на который ответили. Вы занимаетесь словесной эквилибристрикой дабы выбраться из создавшегося положения, видимо расчитывая, что никто не будет вникать, а лишь примет вашу сторону на веру. Но имеющий глаза да прочтет...
Это вы здесь обсуждаете mutual auth, а вот автор задал конкретный вопрос и отвечал я ему, а вовсе не вам... Но вы же здесь главный эксперт похоже, и тут же стали отвечать за автора на мой пост ну совершенно не в тему! Еще раз повторю для вас лично, MITM attack не базируется на обладании приватными ключами сторон. Да и MITM в моем первичном посте не является сутью, но вы почему-то именно к этому привязались... ))

Я как раз никакой словесной эквилибристикой не занимаюсь. Выглядит так что это Вы про себя говорите а приписываете мне. И если Вы прочитаете весь топик то увидите что везде обсуждается mutual SSL auth.

И да Вы правы продолжат не о чем ибо Вы явно знаете поверхностно SSL/TLS и слабо разбираетесь в вопросе. Упомянутая Вами hostname verification не является обязательной и не просто так. Ибо это всего лишь дополнительная опция для обнаружения MITM которая ввиду "дырявости" протокола DNS являеться меньшей сложностью, для того кто задался целью сделать MITM

[kostik78]

Уважаемые, речь не идет о MITM attack или о чем то еще как то связанным насколько "безопасный" сервер или прочее. Я пытаюсь понять, почему с одной машины запрос обрабатывается нормально, а с другой возвращается 403. Завтра индус запустит клиентскую программу с включенными логами. Посмотрим что покажет.

Кстати на уровне "бредовой идеи" - у этого банка случайно нет SSL forward proxy ? В банках и больших корпорациях это довольно распространенное явление. И этот девайс как раз делает MITM для всех девайсов из корпоративной сети. И они вполне могут скрудапить SSL connection.

[Oleg-NY]

И да Вы правы продолжат не о чем ибо Вы явно знаете поверхностно SSL/TLS и слабо разбираетесь в вопросе. Упомянутая Вами hostname verification не является обязательной и не просто так. Ибо это всего лишь дополнительная опция для обнаружения MITM которая ввиду "дырявости" протокола DNS являеться меньшей сложностью, для того кто задался целью сделать MITM

М-да... боюсь, что у меня бисер кончился! )) Вы видимо никогда ничего не пытались сертифицировать из того, что ваяли на эту тему. Почитайте требования любой из сертификаций и увидите насколько эта опция необязательна! Уже даже не смешно...

[kostik78]

И да Вы правы продолжат не о чем ибо Вы явно знаете поверхностно SSL/TLS и слабо разбираетесь в вопросе. Упомянутая Вами hostname verification не является обязательной и не просто так. Ибо это всего лишь дополнительная опция для обнаружения MITM которая ввиду "дырявости" протокола DNS являеться меньшей сложностью, для того кто задался целью сделать MITM

М-да... боюсь, что у меня бисер кончился! )) Вы видимо никогда ничего не пытались сертифицировать из того, что ваяли на эту тему. Почитайте требования любой из сертификаций и увидите насколько эта опция необязательна! Уже даже не смешно...

Проходил разные аудиты и нигде данная опция не стояла обязательной... А Вы изучите что такое DNS spoofing and DNS hijacking и поймёте что те кто делает целенаправленую MITM потделать DNS entries меньшая проблема. За сем вопрос на данную тему с Вами считаю для себя закрытой.

[Oleg-NY]

Проходил разные аудиты и нигде данная опция не стояла обязательной... А Вы изучите что такое DNS spoofing and DNS hijacking и поймёте что те кто делает целенаправленую MITM потделать DNS entries меньшая проблема. За сем вопрос на данную тему с Вами считаю для себя закрытой.

Вы городите одну чушь за другой. Очень хочется ответить словами Филипп Филиппыча, но да ладно. Ну буду нарываться на бан из-за пустяков...

[shadow7256]

Получил логи из банка.

System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z

System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.

Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.

[kostik78]

Получил логи из банка.

System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z

System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.

Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.

Сертификат согласно логам с клиента посылался ? То что сервер его не получает Вы уже в Wireshark видели.

[shadow7256]

Получил логи из банка.

System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z

System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.

Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.

Сертификат согласно логам с клиента посылался ? То что сервер его не получает Вы уже в Wireshark видели.

Сервер не получал сертификат когда я обращался к серверу из браузера. Но видно там другая ситуация. Здесь сертификат посылается это 100 процентов потому что я его сам в коде получаю и прилагаю в запросе. И все равно 403.

[kostik78]

Получил логи из банка.

System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z

System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.

Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.

Сертификат согласно логам с клиента посылался ? То что сервер его не получает Вы уже в Wireshark видели.

Сервер не получал сертификат когда я обращался к серверу из браузера. Но видно там другая ситуация. Здесь сертификат посылается это 100 процентов потому что я его сам в коде получаю и прилагаю в запросе. И все равно 403.

Я бы проверил что посылается в логах, всякое бывает.

[shadow7256]

Я бы проверил что посылается в логах, всякое бывает.

System.Net Information: 0 : [10072] Connection#59817589 - Created connection from 10.138.244.236:63184 to 10.138.245.234:7081.
ProcessId=10988
DateTime=2021-07-19T14:46:10.2044154Z
System.Net Information: 0 : [10072] TlsStream#12547953::.ctor(host=10.138.245.234, #certs=1, checkCertificateRevocationList=False, sslProtocols=Tls, Tls11, Tls12)

Вроде как показывает, что посылается сертификат.

Я тут нашел про какую то опцию в реестре на машине сервера.

https://stackoverflow.com/questions/272 ... ror-403-16

завтра попрошу индюка установить опцию эту. Посмотрим.

[kostik78]

Я бы проверил что посылается в логах, всякое бывает.

System.Net Information: 0 : [10072] Connection#59817589 - Created connection from 10.138.244.236:63184 to 10.138.245.234:7081.
ProcessId=10988
DateTime=2021-07-19T14:46:10.2044154Z
System.Net Information: 0 : [10072] TlsStream#12547953::.ctor(host=10.138.245.234, #certs=1, checkCertificateRevocationList=False, sslProtocols=Tls, Tls11, Tls12)

Вроде как показывает, что посылается сертификат.

Я тут нашел про какую то опцию в реестре на машине сервера.

https://stackoverflow.com/questions/272 ... ror-403-16

завтра попрошу индюка установить опцию эту. Посмотрим.

В данном логе я не вижу что клиентский сертификат послан но я не специалист в C#

Про опцию, выглядит обещающе и совпадает с тем что я нарыл пару дней назад про дополнительную секьюрити на винде.

Если не сработает то я бы сделал следующее: синхронизовать логи клиента и Wireshark на сервере что было видно сессию с обоих сторон. Есть вероятность что у них всё-таки стоит ssl forward proxy и он выкусывает клиентский сертификат в процессе перехвата ssl session. Я несколько лет назад из за такого девайся день потерял. У меня правда прилетал TCP reset в процессе handshake

[shadow7256]

В данном логе я не вижу что клиентский сертификат послан но я не специалист в C#

System.Net Information: 0 : [10072] TlsStream#12547953::.ctor(host=10.138.245.234, #certs=1, checkCertificateRevocationList=False, sslProtocols=Tls, Tls11, Tls12)

вот здесь. host = 10.138.245.234 - это айпишник сервера. То есть клиент установил коннект с ним и теперь устанавливает secured соединение (через TlsStream) и при этом передает клиентский сертификат - #certs = 1.

Про опцию, выглядит обещающе и совпадает с тем что я нарыл пару дней назад про дополнительную секьюрити на винде.

я честно говорят немного не понял что конкретно она делает.

Есть вероятность что у них всё-таки стоит ssl forward proxy

А нафига он нужен вообще? Что то типа Fiddler? ОНи божатся, что ничего между машинами нет. Даже фаервола.

Я несколько лет назад из за такого девайся день потерял.

так это девайс? или софт все таки?