Client certificate auth - моментально 403 Forbidden

Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: Client certificate auth - моментально 403 Forbidden

Post by Oleg-NY »

kostik78 wrote: 17 Jul 2021 06:40 ... для этого потребуется знать приватные ключи и сервера и клиента :pain1:
А вы, как я погляжу, специалист! ;) Вам ссылку привести или сами нагуглите?
Palych
Уже с Приветом
Posts: 13681
Joined: 16 Jan 2001 10:01

Re: Client certificate auth - моментально 403 Forbidden

Post by Palych »

shadow7256 wrote: 17 Jul 2021 02:49
kostik78 wrote: 17 Jul 2021 02:03 Про допуск любого сертификата подписанного банка это как сделать authorization part. Да все сертификаты определенного chain будут проходить authentication но будут ли все сертификаты данной цепочки проходить authorization это уже вопрос дизайна сервера(сервиса)
все абсолютно верно, но дело даже не в авторизации, сейчас хер с ней.

Судя по всему, раз сервер пускает запросы с одной машины и не пускает с другой, то наверное проблема где то на машине, с которой не пускает. А вот что за проблема непонятно.
HTTP 403 - это ответ сервера.
Это значит что все TLS negotiations уже закончились:
Сервер получил запрос от клиента, этот запрос вызвал подозрения в благих намерениях клиента, и сервер возгласил: "отойди от меня, сатана!"
Так что возможно я не прав насчёт авторизации, и она там таки есть. Но процесс траблшутинга укрепил меня во мнении что mutual authentication не является адекватным инструментом.
kostik78
Уже с Приветом
Posts: 3175
Joined: 17 May 2007 14:07

Re: Client certificate auth - моментально 403 Forbidden

Post by kostik78 »

Oleg-NY wrote: 17 Jul 2021 13:53
kostik78 wrote: 17 Jul 2021 06:40 ... для этого потребуется знать приватные ключи и сервера и клиента :pain1:
А вы, как я погляжу, специалист! ;) Вам ссылку привести или сами нагуглите?
Приведите пожалуйста и мы почитаем …
Может Вы не поняли уточняю ещё раз - разговор идёт про mutual cert base auth.
Palych
Уже с Приветом
Posts: 13681
Joined: 16 Jan 2001 10:01

Re: Client certificate auth - моментально 403 Forbidden

Post by Palych »

Palych wrote: 17 Jul 2021 14:51 HTTP 403 - это ответ сервера.
Это значит что все TLS negotiations уже закончились:
Сервер получил запрос от клиента, этот запрос вызвал подозрения в благих намерениях клиента, и сервер возгласил: "отойди от меня, сатана!"
Как-то я не конкретно выразился. Уточню для автора топика:
Вся информация о причине отказа находится на сервере.
И причина не связана напрямую с TLS negotiation.
Ищите в логах сервера, не только в tls trace.
Palych
Уже с Приветом
Posts: 13681
Joined: 16 Jan 2001 10:01

Re: Client certificate auth - моментально 403 Forbidden

Post by Palych »

Oleg-NY wrote: 17 Jul 2021 13:53
kostik78 wrote: 17 Jul 2021 06:40 ... для этого потребуется знать приватные ключи и сервера и клиента :pain1:
А вы, как я погляжу, специалист! ;) Вам ссылку привести или сами нагуглите?
Ещё один аргумент против mutual authentication: разговоры о ней почти неизбежно скатываются к агрессивным выпадам, наездам, странным ужимкам...
Мы с очень близким приятелем и коллегой чуть не подрались когда я объяснял свои находки и мысли по этой теме.
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: Client certificate auth - моментально 403 Forbidden

Post by Oleg-NY »

Palych wrote: 17 Jul 2021 18:53
Oleg-NY wrote: 17 Jul 2021 13:53
kostik78 wrote: 17 Jul 2021 06:40 ... для этого потребуется знать приватные ключи и сервера и клиента :pain1:
А вы, как я погляжу, специалист! ;) Вам ссылку привести или сами нагуглите?
Ещё один аргумент против mutual authentication: разговоры о ней почти неизбежно скатываются к агрессивным выпадам, наездам, странным ужимкам...
Мы с очень близким приятелем и коллегой чуть не подрались когда я объяснял свои находки и мысли по этой теме.
Так при чем тут mutual authentication к вопросу о возможности MITM атаки если host name не верифицировать?
Мой коментарий был ровно об этом и гугл, если захотеть поискать, выдает это во первых строках!
MITM attack это не про то, чтобы знать приватные ключи клиента или сервера. Если такое произошло, то это уже совсем другой кейс и тут уместно говорить о пробелемах аутентификации, не важно mutual она или нет.
Мой "наезд" возможно был неуместен, но вызван исключительно безаппеляционностью высказывания и, при том, не по теме. Если вы со своим близким приятелем общались в таком же стиле, то можно было бы и до драки дойти... :)
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: Client certificate auth - моментально 403 Forbidden

Post by Oleg-NY »

kostik78 wrote: 17 Jul 2021 17:09
Oleg-NY wrote: 17 Jul 2021 13:53
kostik78 wrote: 17 Jul 2021 06:40 ... для этого потребуется знать приватные ключи и сервера и клиента :pain1:
А вы, как я погляжу, специалист! ;) Вам ссылку привести или сами нагуглите?
Приведите пожалуйста и мы почитаем …
Может Вы не поняли уточняю ещё раз - разговор идёт про mutual cert base auth.
Какая у вас интересная особенность отвечая на конкретный пост и даже на конкретную его часть, думать и говорить о чем-то своем... ))
Тем не менее, ваша фраза "сверять сертификаты" в контексте предыдушего обсуждения сводится лишь к peer verification. Возможно я что-то пропустил и вы сможете мне указать где бы обсуждалось host name verification, на что я и обратил внимание автора топика.
Palych
Уже с Приветом
Posts: 13681
Joined: 16 Jan 2001 10:01

Re: Client certificate auth - моментально 403 Forbidden

Post by Palych »

Oleg-NY wrote: 18 Jul 2021 18:25 Мой "наезд" возможно был неуместен, но вызван исключительно безаппеляционностью высказывания и, при том, не по теме.
Строго говоря, первым не по теме высказались Вы, но не в этом суть.
Представьте себе если бы разговор был про какую-нибудь аутентификацию на основе пароля (http basic, wsse, etc.)
Тогда при самом высоком эмоциональном накале вряд ли возникли тёрки про MITM...
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: Client certificate auth - моментально 403 Forbidden

Post by Oleg-NY »

Palych wrote: 18 Jul 2021 18:50
Oleg-NY wrote: 18 Jul 2021 18:25 Мой "наезд" возможно был неуместен, но вызван исключительно безаппеляционностью высказывания и, при том, не по теме.
Строго говоря, первым не по теме высказались Вы, но не в этом суть.
Еще строже говоря, я высказался в корень темы, не отвечая ни на чей пост, а исключительно имея ввиду автора топика (без излишнего цитирования!).
Автор же по соседству очевидно принял это в свой адрес... )) Что именно не по теме в моем сообщении было в таком случае? :pain1:
kostik78
Уже с Приветом
Posts: 3175
Joined: 17 May 2007 14:07

Re: Client certificate auth - моментально 403 Forbidden

Post by kostik78 »

Oleg-NY wrote: 18 Jul 2021 18:25
Palych wrote: 17 Jul 2021 18:53
Oleg-NY wrote: 17 Jul 2021 13:53
kostik78 wrote: 17 Jul 2021 06:40 ... для этого потребуется знать приватные ключи и сервера и клиента :pain1:
А вы, как я погляжу, специалист! ;) Вам ссылку привести или сами нагуглите?
Ещё один аргумент против mutual authentication: разговоры о ней почти неизбежно скатываются к агрессивным выпадам, наездам, странным ужимкам...
Мы с очень близким приятелем и коллегой чуть не подрались когда я объяснял свои находки и мысли по этой теме.
Так при чем тут mutual authentication к вопросу о возможности MITM атаки если host name не верифицировать?
Мой коментарий был ровно об этом и гугл, если захотеть поискать, выдает это во первых строках!
MITM attack это не про то, чтобы знать приватные ключи клиента или сервера. Если такое произошло, то это уже совсем другой кейс и тут уместно говорить о пробелемах аутентификации, не важно mutual она или нет.
Мой "наезд" возможно был неуместен, но вызван исключительно безаппеляционностью высказывания и, при том, не по теме. Если вы со своим близким приятелем общались в таком же стиле, то можно было бы и до драки дойти... :)
При mutual ssl auth MITM не возможен в принципе без знания обоих приватных ключей. Разговор вообщем в данном треде был как раз про mutual auth и Ваш комментарий про MITM и верификации хоста в данном случае не валиден вообще (ака не в тему) про что я Вам указал. На что Вы меня обозвали умником и отправили что-то там читать. Дальше логическую цепочку продолжать ?
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: Client certificate auth - моментально 403 Forbidden

Post by Oleg-NY »

kostik78 wrote: 18 Jul 2021 22:04 Дальше логическую цепочку продолжать ?
Не стоит! Вы уже в тупике и похоже даже не потрудились осмыслить тот пост, на который ответили. Вы занимаетесь словесной эквилибристрикой дабы выбраться из создавшегося положения, видимо расчитывая, что никто не будет вникать, а лишь примет вашу сторону на веру. Но имеющий глаза да прочтет... ;)
Это вы здесь обсуждаете mutual auth, а вот автор задал конкретный вопрос и отвечал я ему, а вовсе не вам... ;) Но вы же здесь главный эксперт похоже, и тут же стали отвечать за автора на мой пост ну совершенно не в тему! Еще раз повторю для вас лично, MITM attack не базируется на обладании приватными ключами сторон. Да и MITM в моем первичном посте не является сутью, но вы почему-то именно к этому привязались... ))
shadow7256
Уже с Приветом
Posts: 9392
Joined: 18 Mar 2004 15:11
Location: New York -> FL

Re: Client certificate auth - моментально 403 Forbidden

Post by shadow7256 »

Palych wrote: 17 Jul 2021 18:46 Ищите в логах сервера, не только в tls trace.
У меня сервер на C# написан, self hosted WEB API. А какие там еще могут быть логи кроме TLS trace?
shadow7256
Уже с Приветом
Posts: 9392
Joined: 18 Mar 2004 15:11
Location: New York -> FL

Re: Client certificate auth - моментально 403 Forbidden

Post by shadow7256 »

Уважаемые, речь не идет о MITM attack или о чем то еще как то связанным насколько "безопасный" сервер или прочее. Я пытаюсь понять, почему с одной машины запрос обрабатывается нормально, а с другой возвращается 403. Завтра индус запустит клиентскую программу с включенными логами. Посмотрим что покажет.
kostik78
Уже с Приветом
Posts: 3175
Joined: 17 May 2007 14:07

Re: Client certificate auth - моментально 403 Forbidden

Post by kostik78 »

Oleg-NY wrote: 19 Jul 2021 01:28
kostik78 wrote: 18 Jul 2021 22:04 Дальше логическую цепочку продолжать ?
Не стоит! Вы уже в тупике и похоже даже не потрудились осмыслить тот пост, на который ответили. Вы занимаетесь словесной эквилибристрикой дабы выбраться из создавшегося положения, видимо расчитывая, что никто не будет вникать, а лишь примет вашу сторону на веру. Но имеющий глаза да прочтет... ;)
Это вы здесь обсуждаете mutual auth, а вот автор задал конкретный вопрос и отвечал я ему, а вовсе не вам... ;) Но вы же здесь главный эксперт похоже, и тут же стали отвечать за автора на мой пост ну совершенно не в тему! Еще раз повторю для вас лично, MITM attack не базируется на обладании приватными ключами сторон. Да и MITM в моем первичном посте не является сутью, но вы почему-то именно к этому привязались... ))
Я как раз никакой словесной эквилибристикой не занимаюсь. Выглядит так что это Вы про себя говорите а приписываете мне. И если Вы прочитаете весь топик то увидите что везде обсуждается mutual SSL auth.

И да Вы правы продолжат не о чем ибо Вы явно знаете поверхностно SSL/TLS и слабо разбираетесь в вопросе. Упомянутая Вами hostname verification не является обязательной и не просто так. Ибо это всего лишь дополнительная опция для обнаружения MITM которая ввиду "дырявости" протокола DNS являеться меньшей сложностью, для того кто задался целью сделать MITM
kostik78
Уже с Приветом
Posts: 3175
Joined: 17 May 2007 14:07

Re: Client certificate auth - моментально 403 Forbidden

Post by kostik78 »

shadow7256 wrote: 19 Jul 2021 01:37 Уважаемые, речь не идет о MITM attack или о чем то еще как то связанным насколько "безопасный" сервер или прочее. Я пытаюсь понять, почему с одной машины запрос обрабатывается нормально, а с другой возвращается 403. Завтра индус запустит клиентскую программу с включенными логами. Посмотрим что покажет.
Кстати на уровне "бредовой идеи" - у этого банка случайно нет SSL forward proxy ? В банках и больших корпорациях это довольно распространенное явление. И этот девайс как раз делает MITM для всех девайсов из корпоративной сети. И они вполне могут скрудапить SSL connection.
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: Client certificate auth - моментально 403 Forbidden

Post by Oleg-NY »

kostik78 wrote: 19 Jul 2021 01:37 И да Вы правы продолжат не о чем ибо Вы явно знаете поверхностно SSL/TLS и слабо разбираетесь в вопросе. Упомянутая Вами hostname verification не является обязательной и не просто так. Ибо это всего лишь дополнительная опция для обнаружения MITM которая ввиду "дырявости" протокола DNS являеться меньшей сложностью, для того кто задался целью сделать MITM
М-да... боюсь, что у меня бисер кончился! )) Вы видимо никогда ничего не пытались сертифицировать из того, что ваяли на эту тему. Почитайте требования любой из сертификаций и увидите насколько эта опция необязательна! ;) Уже даже не смешно...
kostik78
Уже с Приветом
Posts: 3175
Joined: 17 May 2007 14:07

Re: Client certificate auth - моментально 403 Forbidden

Post by kostik78 »

Oleg-NY wrote: 19 Jul 2021 02:01
kostik78 wrote: 19 Jul 2021 01:37 И да Вы правы продолжат не о чем ибо Вы явно знаете поверхностно SSL/TLS и слабо разбираетесь в вопросе. Упомянутая Вами hostname verification не является обязательной и не просто так. Ибо это всего лишь дополнительная опция для обнаружения MITM которая ввиду "дырявости" протокола DNS являеться меньшей сложностью, для того кто задался целью сделать MITM
М-да... боюсь, что у меня бисер кончился! )) Вы видимо никогда ничего не пытались сертифицировать из того, что ваяли на эту тему. Почитайте требования любой из сертификаций и увидите насколько эта опция необязательна! ;) Уже даже не смешно...
Проходил разные аудиты и нигде данная опция не стояла обязательной... А Вы изучите что такое DNS spoofing and DNS hijacking и поймёте что те кто делает целенаправленую MITM потделать DNS entries меньшая проблема. За сем вопрос на данную тему с Вами считаю для себя закрытой.
Oleg-NY
Уже с Приветом
Posts: 2414
Joined: 16 Jul 2004 00:32
Location: NY, NY

Re: Client certificate auth - моментально 403 Forbidden

Post by Oleg-NY »

kostik78 wrote: 19 Jul 2021 02:06 Проходил разные аудиты и нигде данная опция не стояла обязательной... А Вы изучите что такое DNS spoofing and DNS hijacking и поймёте что те кто делает целенаправленую MITM потделать DNS entries меньшая проблема. За сем вопрос на данную тему с Вами считаю для себя закрытой.
Вы городите одну чушь за другой. Очень хочется ответить словами Филипп Филиппыча, но да ладно. Ну буду нарываться на бан из-за пустяков...
shadow7256
Уже с Приветом
Posts: 9392
Joined: 18 Mar 2004 15:11
Location: New York -> FL

Re: Client certificate auth - моментально 403 Forbidden

Post by shadow7256 »

Получил логи из банка.

System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z

System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.

Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.
kostik78
Уже с Приветом
Posts: 3175
Joined: 17 May 2007 14:07

Re: Client certificate auth - моментально 403 Forbidden

Post by kostik78 »

shadow7256 wrote: 19 Jul 2021 16:46 Получил логи из банка.

System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z

System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.

Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.
Сертификат согласно логам с клиента посылался ? То что сервер его не получает Вы уже в Wireshark видели.
shadow7256
Уже с Приветом
Posts: 9392
Joined: 18 Mar 2004 15:11
Location: New York -> FL

Re: Client certificate auth - моментально 403 Forbidden

Post by shadow7256 »

kostik78 wrote: 19 Jul 2021 17:25
shadow7256 wrote: 19 Jul 2021 16:46 Получил логи из банка.

System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z

System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.

Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.
Сертификат согласно логам с клиента посылался ? То что сервер его не получает Вы уже в Wireshark видели.
Сервер не получал сертификат когда я обращался к серверу из браузера. Но видно там другая ситуация. Здесь сертификат посылается это 100 процентов потому что я его сам в коде получаю и прилагаю в запросе. И все равно 403.
kostik78
Уже с Приветом
Posts: 3175
Joined: 17 May 2007 14:07

Re: Client certificate auth - моментально 403 Forbidden

Post by kostik78 »

shadow7256 wrote: 19 Jul 2021 17:57
kostik78 wrote: 19 Jul 2021 17:25
shadow7256 wrote: 19 Jul 2021 16:46 Получил логи из банка.

System.Net.Sockets Verbose: 0 : [9992] Exiting Socket#48209832::EndReceive() -> Int32#137
ProcessId=10988
DateTime=2021-07-19T14:46:10.8248435Z

System.Net Information: 0 : [9992] Connection#59817589 - Received status line: Version=1.1, StatusCode=403, StatusDescription=Forbidden.

Получаю все тот же ответ от сервера - 403 Forbidden - без объяснения причины.
Сертификат согласно логам с клиента посылался ? То что сервер его не получает Вы уже в Wireshark видели.
Сервер не получал сертификат когда я обращался к серверу из браузера. Но видно там другая ситуация. Здесь сертификат посылается это 100 процентов потому что я его сам в коде получаю и прилагаю в запросе. И все равно 403.
Я бы проверил что посылается в логах, всякое бывает.
shadow7256
Уже с Приветом
Posts: 9392
Joined: 18 Mar 2004 15:11
Location: New York -> FL

Re: Client certificate auth - моментально 403 Forbidden

Post by shadow7256 »

kostik78 wrote: 19 Jul 2021 18:20 Я бы проверил что посылается в логах, всякое бывает.
System.Net Information: 0 : [10072] Connection#59817589 - Created connection from 10.138.244.236:63184 to 10.138.245.234:7081.
ProcessId=10988
DateTime=2021-07-19T14:46:10.2044154Z
System.Net Information: 0 : [10072] TlsStream#12547953::.ctor(host=10.138.245.234, #certs=1, checkCertificateRevocationList=False, sslProtocols=Tls, Tls11, Tls12)

Вроде как показывает, что посылается сертификат.

Я тут нашел про какую то опцию в реестре на машине сервера.

https://stackoverflow.com/questions/272 ... ror-403-16

завтра попрошу индюка установить опцию эту. Посмотрим.
kostik78
Уже с Приветом
Posts: 3175
Joined: 17 May 2007 14:07

Re: Client certificate auth - моментально 403 Forbidden

Post by kostik78 »

shadow7256 wrote: 20 Jul 2021 00:46
kostik78 wrote: 19 Jul 2021 18:20 Я бы проверил что посылается в логах, всякое бывает.
System.Net Information: 0 : [10072] Connection#59817589 - Created connection from 10.138.244.236:63184 to 10.138.245.234:7081.
ProcessId=10988
DateTime=2021-07-19T14:46:10.2044154Z
System.Net Information: 0 : [10072] TlsStream#12547953::.ctor(host=10.138.245.234, #certs=1, checkCertificateRevocationList=False, sslProtocols=Tls, Tls11, Tls12)

Вроде как показывает, что посылается сертификат.

Я тут нашел про какую то опцию в реестре на машине сервера.

https://stackoverflow.com/questions/272 ... ror-403-16

завтра попрошу индюка установить опцию эту. Посмотрим.
В данном логе я не вижу что клиентский сертификат послан но я не специалист в C#

Про опцию, выглядит обещающе и совпадает с тем что я нарыл пару дней назад про дополнительную секьюрити на винде.

Если не сработает то я бы сделал следующее: синхронизовать логи клиента и Wireshark на сервере что было видно сессию с обоих сторон. Есть вероятность что у них всё-таки стоит ssl forward proxy и он выкусывает клиентский сертификат в процессе перехвата ssl session. Я несколько лет назад из за такого девайся день потерял. У меня правда прилетал TCP reset в процессе handshake
shadow7256
Уже с Приветом
Posts: 9392
Joined: 18 Mar 2004 15:11
Location: New York -> FL

Re: Client certificate auth - моментально 403 Forbidden

Post by shadow7256 »

kostik78 wrote: 20 Jul 2021 02:47 В данном логе я не вижу что клиентский сертификат послан но я не специалист в C#
System.Net Information: 0 : [10072] TlsStream#12547953::.ctor(host=10.138.245.234, #certs=1, checkCertificateRevocationList=False, sslProtocols=Tls, Tls11, Tls12)

вот здесь. host = 10.138.245.234 - это айпишник сервера. То есть клиент установил коннект с ним и теперь устанавливает secured соединение (через TlsStream) и при этом передает клиентский сертификат - #certs = 1.
kostik78 wrote: 20 Jul 2021 02:47 Про опцию, выглядит обещающе и совпадает с тем что я нарыл пару дней назад про дополнительную секьюрити на винде.
я честно говорят немного не понял что конкретно она делает.
Есть вероятность что у них всё-таки стоит ssl forward proxy
А нафига он нужен вообще? Что то типа Fiddler? ОНи божатся, что ничего между машинами нет. Даже фаервола.
Я несколько лет назад из за такого девайся день потерял.
так это девайс? или софт все таки?

Return to “Вопросы и новости IT”