Подмена сертификата шифрования, firewall, agents, антивирусы, системы безопасности

Подмена сертификата шифрования

Чтобы убедиться в отсутствии факта перешифровки https-трафика антивирусными программами или proxy. Для этого существует два метода:

1. Зайдите на портал диагностики, в раздел "Проверка связи" ( https://help.kontur.ru/check). Если в какой-то строчке не стоит галочка, а значение в столбике "Сертификат" подсвечено красным - сертификат подменяется. Необходимо выявить, какой программой выдан сертификат, и настроить её таким образом, чтобы она не вмешивалась в криптографию нашего сервера, либо "научить" программу  работать с ГОСТ-овской криптографией. Описание программ, которые могут влиять на подмену сертификата ниже.

2. Зайдите на сайт https://auth.kontur.ru, нажмите левой клавишей  мыши по значку «замкА»(возле адресной строки) либо правой кнопкой мыши на странице\Свойства\Сертификаты и проверьте, какой сертификат сервера предлагается клиенту. Сертификат должен быть таким:

• • Кому выдан: *.kontur.ru

  • Кем выдан: RapidSSL SHA256 CA

  • Серийный номер: 48 61 59 21 53 c2 cf cd e2 0c f8 ec 70 a1 9d 67

Если сертификат другой, значит на стороне абонента  происходит перешифровка https-трафика. Необходимо выявить, какой программой выдан сертификат, и настроить её таким образом, чтобы она не вмешивалась в криптографию нашего сервера, либо "научить" программу  работать с ГОСТовской криптографией. Описание программ, которые могут влиять на подмену сертификата ниже.

Firewall

1. StaffCop Agent( http://www.staffcop.ru/help/standard/agent.htm) Система контроля доступа, система учета рабочего времени, контроль и ограничение доступа. Подменяет сертификат на auth.kontur.ru

Решение: отключить/настроить данный агент.

2. На ISA-сервере: bluecoat proxy: не поддерживает ГОСТ-шифрование. Подменяет сертификат на auth.kontur.ru

Решение: отключить/настроить proxy.

3. На ISA-сервере: McAfee Web Gateway 7.2.0.1.0.13253(может быть установлен на прокси-сервере): не поддерживает ГОСТ-шифрование, ошибка The SSL handshake could not be performed. error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number.

Решение: настроить так чтобы пропускал и не вмешивался в пакеты от серверов СКБ Контур. Пустить трафик в обход прокси.

4. На ISA-сервере: Kerio: подменяет содержимое страниц.
5. Adguard ( http://adguard.com/ru). Фильтр интернет-рекламы. Подменяет сертификат сервера на https://reg.kontur-pf.ru

Решение: добавить сайты контура в исключение данной программы.

Антивирусы:

1. Avast Особенности: подменяет сертификаты сайтов с ГОСТ-овским шифрованием, блокирует открытие некоторых https-сайтов.

Решение: отключить активную защиту для https-сайтов: для этого зайти в настройки Аваста - Активная защита - Веб-экран - Настройки - снять галочки

• " Включить сканирование HTTPS"

• " Использовать интеллектуальное сканирование потока"

• " Сканирование сценариев"

2. ESET Smart Security: при связи с сервером pki.kontur-extern.ru выдает ошибку: Базовое соединение закрыто: Соединение было неожиданно закрыто

Решение: Отключить фильтрацию https-протоколов в ESET Smart Security. Для этого надо:

Открыть ESET/Выбрать "Настройка"/Справа внизу выбрать "Дополнительные настройки"/Слева выбрать "Интернет и электронная почта"/Выбрать подпункт "Защита доступа в интернет"/Посередине выбрать блок "Веб-протоколы"/В подразделе "Настройка модуля" снять галочку с пункта "Включить проверку протокола HTTPS"

3. На ISA-сервере: Searchinform: состоит из компонента EndpointSniffer и агента SIFilterSvc.exe (служба под LocalSystem).

Особенности: подменяет сертификат уже на самом ПК(CN = Generic Root CA, C = EN), в логах NetWorkMonitor не отбражается.

Решение: Отключить службу SIFilterSvc.exe.

4. Falcongaze SecureTower: Система SecureTower, созданная для обеспечения информационной безопасности и защиты информации в компании представляет собой программный продукт, решающий две основные задачи: защита информации от утечки, а также анализ эффективности работы персонала ( http://falcongaze.ru/products/secure-tower/). Не работает с ГОСТ-ом.

Решение: Отключить/настроить

5. Spider Gate (dr.web):

Решение: Отключить фильтрацию https-протоколов в  Spider Gate (dr.web)

6. Kaspersky Internet Security

Решение: http://support.kaspersky.ru/6271 - тут находится инструкция по отключению фильтрации https-протоколов в KIS, в зависимости от версии Касперского некоторые элементы интерфейса могут отличаться. 

Также возможно вмешательство надстроек Kaspersky Internet Security, которые необходимо отключить:

Kaspersky Protection;

Kaspersky Protection Toolbar;

Также нужно отключить:

1. Внедрение скриптов Касперского и проверку защищенных соединений:

Примерная инструкция (может отличаться в зависимости от версии Касперского):

Настройки -> Дополнительно -> Сеть -> Внедрять в трафик скрипт для взаимодействия с веб-страницами.

2. Отключить "Автоматически активировать расширениеKaspersky Protection в браузерах" . Примерная инструкция(может отличаться в зависимости от версии Касперского):

Настройки -> Защита -> Веб-Антивирус (или Веб-Защита) -> Расширенные настройки.

Вирусы/adware/рекламные программы

1. Researchbar:

Издатель в сертификате: ZAO TNS Gullup Media

решение: удалить researchbar

2. pBot:

Издатель в сертификате: Copper Sphere

решение:

1) Если программа видна в "Программы и компоненты" - удалить оттуда.

2) Если программа не видна в "Программы и компоненты", но диагностика в разделе "Антивирусы и программы" указывает на присутствие данной программы, она покажет пути, где лежат исполняемые файлы. Их нужно будет удалить вручную.

3) Если в диагностике ничего нет, проверить путь "C:\Documents and Settings\%Username%\Application Data\PBot\", удалить при наличии.

Назад к списку статей