De thuisbasis van het netwerk van beveiligingsbloggersHome » Security Bloggers Network » Ontsleuteld TLS-verkeer vastleggen met ArkimeDe nieuwste versie van Arkime (The Sniffer Formerly Known As Moloch) kan nu worden gevoed met een realtime stroom gedecodeerd HTTPS-verkeer van PolarProxy.Het enige dat nodig is om deze functie in te schakelen, is door "pcapReadMethod=pcap-over-ip-server" op te nemen in het config.ini-bestand van Arkime en PolarProxy te starten met de optie "–pcapoveripconnect 127.0.0.1:57012".PolarProxy maakt vervolgens verbinding met Arkime's PCAP-over-IP-listener op TCP-poort 57012 en stuurt het een kopie van alle TLS-pakketten die het ontsleutelt.Opmerking: de vereiste PCAP-over-IP-functie is beschikbaar in Arkime 2.7.0 en PolarProxy 0.8.16.Arkime is een open source pakketopname-oplossing die de verzamelde PCAP-gegevens indexeert.Arkime wordt ook geleverd met een webfrontend voor het bladeren en zoeken door het vastgelegde en geïndexeerde netwerkverkeer.Het Arkime-project veranderde onlangs de naam van Moloch, waarschijnlijk in een poging gebruikers ervan te overtuigen dat de tool geen kinderen opeet.Hoe installeer ik Arkime met PolarProxyDeze handleiding laat zien hoe TLS-verkeer, of meer specifiek HTTPS-verkeer, kan worden ontsleuteld en in realtime in Arkime kan worden opgenomen.De TLS-decodering wordt uitgevoerd met PolarProxy, een transparante TLS-onderscheppingsproxy die vrij beschikbaar is onder een Creative Commons BY-ND 4.0-licentie.PolarProxy en Arkime kunnen op een server worden geïnstalleerd om gedecodeerd TLS-netwerkverkeer van meerdere clients op een netwerk te onderscheppen, decoderen, indexeren en op te slaan.Het is zelfs mogelijk om PolarProxy en Arkime op aparte servers te installeren, zodat PolarProxy een stroom ontsleuteld verkeer doorstuurt naar de Arkime-server.Om onnodige complexiteit te voorkomen, worden Arkime en PolarProxy in deze handleiding echter lokaal op een Linux-client geïnstalleerd.De Linux-client is een Ubuntu 20.04.1-machine, maar de instructies kunnen ook worden gebruikt op andere Linux-smaken die systemd gebruiken, zoals Arch, CentOS, Debian, Fedora, SUSE en Red Hat Linux.Arkime kan hier worden gedownload als vooraf gebouwde installatiepakketten voor CentOS en Ubuntu: https://arkime.com/#downloadOpmerking: je kunt ook de Arkime GitHub-pagina bezoeken als er geen vooraf gebouwd installatiepakket voor je Linux-distro is of als je Arkime liever vanaf de bron bouwt.Na het installeren van het Arkime-pakket, configureert u Arkime door het volgende uit te voeren:Bewerk /data/moloch/etc/config.ini en voeg "pcapReadMethod=pcap-over-ip-server" toe om Arkime te configureren om te luisteren naar PCAP-over-IP-verbindingen.Schakel vervolgens de ElasticSearch systemd-service in en start deze.Start het Arkime-zoekcluster.Maak een nieuwe admin-gebruiker aan.Opmerking: kies gerust een veiliger wachtwoord dan "THEPASSWORD" voor de admin-gebruiker.U kunt nu de vastleg- en viewerservices van Moloch inschakelen en starten.Controleer of Arkime nu luistert naar inkomende verbindingen op TCP-poort 57012.Installeer PolarProxy om TLS-verkeer te decoderenMaak een gebruiker aan voor PolarProxy's systemd-service en download PolarProxy als volgt:Kopieer de standaard PolarProxy-serviceconfiguratie naar de systemd-locatie.Wijzig /etc/systemd/system/PolarProxy.service door "–pcapoveripconnect 127.0.0.1:57012" toe te voegen aan het einde van de ExecStart-opdracht.Het is nu tijd om de PolarProxy-service in te schakelen en te starten.Controleer of PolarProxy verbinding heeft gemaakt met Arkime's PCAP-over-IP-listener op TCP-poort 57012.Neem het voor een testrunPolarProxy luistert naar inkomende TLS-verbindingen op TCP-poort 10443. We kunnen daarom verkeer door de TLS-decoderingsproxy leiden met dit curl-commando:Het gedecodeerde verkeer verschijnt in Arkime als alles werkt.Open http://localhost:8005/sessions in een browser en zoek naar een verbinding met www.netresec.com.Opmerking: de gebruikersnaam en het wachtwoord van Arkime zijn admin/THEPASSWORD als je de instructies in deze tutorial hebt gevolgd.Ook: het kan zijn dat u een minuut of twee moet wachten voordat het verkeer in de gebruikersinterface van Arkime verschijnt.Vertrouw op het root-CA-certificaat van PolarProxyHet root-CA-certificaat dat door uw PolarProxy-service wordt gebruikt, moet worden vertrouwd door zowel het besturingssysteem als de browser om TLS-verkeer zonder fouten door de decoderingsproxy te laten lopen.Volg deze instructies om de root-CA te vertrouwen:Firewall-omleiding van uitgaand HTTPS-verkeer configurerenDe laatste stap in deze tutorial is om het uitgaande HTTPS-verkeer van de lokale gebruiker om te leiden naar de PolarProxy-service die luistert op TCP-poort 10443. Voeg de volgende regels toe bovenaan /etc/ufw/before.rules (vóór het gedeelte "*filter") om uitgaand HTTPS-verkeer om te leiden naar de lokale PolarProxy-service die luistert op poort 10443.Opmerking: de UFW-configuratie in "before.rules" is gelijk aan het uitvoeren van "iptables -t nat -A OUTPUT -m owner -uid 1000 -p tcp -dport 443 -j REDIRECT -to 10443"Zorg ervoor dat u de uid-waarde (1000) in de firewallregel aanpast zodat deze overeenkomt met die van de lokale gebruiker waarvoor PolarProxy het HTTPS-verkeer moet decoderen.U kunt uw uid-waarde zien door het commando "id -u“ uit te voeren.Je kunt zelfs verkeer van meerdere gebruikers omleiden naar PolarProxy, maar het is belangrijk dat je het uitgaande HTTPS-verkeer NIET doorstuurt van het "proxyuser"-account.Anders genereer je een oneindige firewall-omleidingslus, waarbij uitgaand HTTPS-verkeer van PolarProxy weer wordt teruggeleid naar PolarProxy.U kunt de uid van de proxyuser controleren met het commando “id -u proxyuser“.Nadat u before.rules hebt opgeslagen, laadt u UFW opnieuw om de poortomleiding te activeren.Uw Linux-machine is nu geconfigureerd om gedecodeerd HTTPS-verkeer naar Arkime te sturen voor inspectie.Open Firefox en bezoek enkele websites, ga dan terug naar Arkime en bekijk het verkeer.Nogmaals, onthoud dat er een paar minuten vertraging kan zijn voordat het verkeer in de gebruikersinterface van Arkime verschijntU zult waarschijnlijk merken dat het grootste deel van al het HTTPS-verkeer het HTTP/2-protocol gebruikt.Helaas is de http2-ondersteuning van Arkime nog steeds vrij beperkt, maar ik hoop dat dit in toekomstige releases zal verbeteren.Gelukkig kunnen zowel Wireshark als NetworkMiner (wat overigens prima werkt in Linux) worden gebruikt om inhoud uit HTTP/2-verkeer te ontleden en te extraheren.Druk gewoon op Arkime's "Download PCAP"-knop en open het opnamebestand in een tool naar keuze.Afbeelding: NetworkMiner in Linux met bestanden die zijn geëxtraheerd uit gedecodeerd HTTP/2-verkeerDelen op Facebook Tweet Verzenden naar reddit.com*** Dit is een door het Security Bloggers Network gesyndiceerde blog van NETRESEC Network Security Blog, geschreven door Erik Hjelmvik.Lees het originele bericht op: http://www.netresec.com/?page=Blog&month=2020-12&post=Capturing-Decrypted-TLS-Traffic-with-ArkimeAPI Poll Stap 1 van 5 20% Heeft u een API-beveiligingsproject in 2022?Ja – Gefinancierd Ja – Alleen onderzoeken Nee – Gepland voor 2023 + Niet van plan om na te streven Wie is verantwoordelijk voor API-beveiliging?Beveiliging App-ontwikkelaars Applicatiebeveiligingskampioen DevOps Platform-engineering Weet niet Wat is uw volwassenheid in API-beveiliging?Goed ingeburgerd Gedefinieerd Onderzoek Adhoc Geen huidige prioriteit Wat is uw top 3 van zorgen met betrekking tot API-beveiliging?(selecteer 3) Gegevenslekkage Uitgebreid aanvalsoppervlak Adoptie door ontwikkeling API-inventaris Naleving API-gebruik door externe entiteiten Welke API-beveiligingspraktijken volgt u het meest?(selecteer alles wat van toepassing is) Kwetsbaarheid identificatie OWASP API Top 10 herstel OAuth of andere API authenticatie Snelheidsbeperkende Zero-Trust API gateways Code scanning NaamDit veld is voor validatiedoeleinden en dient ongewijzigd te blijven.