DeleGate as a Man-In-The-Middle proxy の和訳

訳者: Hiroshi Suzuki<setter at i-red dot info>
翻訳日:2006/09/10

コメント:
翻訳の正確さは保証しません。
必ず、原文と共に、使用してください。

BACK ( DGbeecon )


DeleGate を Man-In-The-Middle プロキシにする

Yutaka Sato
July 5, 2006

HTTP プロキシとして、HTTP/SSL で暗号化された通信を覗き見することは、 いくつかの状況下において必要となります。 悪意ある第三者によりこっそりと覗き見された場合、 それは、Man-In-The-Middle 攻撃 として、防御しなければなりません。 しかし、それが、クライアントユーザを含む仲間によって行われるなら、 便利な機能になり得ます。

DeleGate をそのような覗き見をするプロキシとして設定することは、 バージョン 9.2.3 で、STLS オプションを使うだけで簡単にできるようになりました: これにより、転送される全ての HTTPS/SSL 通信は覗き見できるようになります。 以下のものは、サーバに転送される HTTP/SSL 要求メッセージを覗き見する、 HTTP プロキシの例です。 MITM の他のモードは、クライアントから明示的に MITM が要求されたときにのみ DeleGate によってそれが行われます。 このモードは、STLS=-mitm オプションと、クライアントから 指定された特別な URL 書式で有効になります。 DeleGate の MITM の現実装は、SSL の覗き見で Keep-Alive を扱うまでが遅いです。 次期バージョンでは、改善されます。 9.2.3 における HTTP に対する MITM の性能は、 MITM では、HTTP Keep-Alive が無効になっているのと、 サーバとの SSL セッションキャッシュがないなどの理由で、 MITM を使わないときより約10倍遅くなります。 これらは、9.2.4 の実装で、性能が5倍向上しています。 (しかし、9.2.4 の STLS=-mitm は、URL 書き換え周辺の問題を回避するために、 Keep-Alive を無効にしているので、遅いままです...)

( リファレンスマニュアル から抜粋 )
[CTX] [ALL] TLS ネゴシエーション制御
STLS parameter*     ==  STLS=stlsSpecs[,sslwayCom][:connMap]
         stlsSpecs  ==  [-]stlsSpec[/ssl][,stlsSpecs]
           stlsSpec  ==  fsv | fcl | mitm | imimSec
         sslwayCom  ==  {sslway [-Vrfy] [-CApath dir] ...}
           connMap  ==  ProtoList:dstHostList:srcHostList
                    --  default: none
                    --  制限: HTTP, FTP, SMTP, POP, IMAP, SOCKS に対して有効
                    --  必須: SSLway