DeleGate as a Man-In-The-Middle proxy の和訳

訳者：　Hiroshi Suzuki<setter at i-red dot info>
翻訳日：2006/09/10

コメント：
翻訳の正確さは保証しません。
必ず、原文と共に、使用してください。

DeleGate を Man-In-The-Middle プロキシにする

Yutaka Sato

July 5, 2006

HTTP プロキシとして、HTTP/SSL で暗号化された通信を覗き見することは、いくつかの状況下において必要となります。悪意ある第三者によりこっそりと覗き見された場合、それは、Man-In-The-Middle 攻撃として、防御しなければなりません。しかし、それが、クライアントユーザを含む仲間によって行われるなら、便利な機能になり得ます。

        非暗号化 +---[ ]----> 暗号化 (要求)
HTTPS             |          |                                 HTTPS
client ===========+ DeleGate +================================ server
        HTTPS/SSL |   HTTP   |                   HTTPS/SSL
                  |          |  
           暗号化 <---[ ]----+ 非暗号化 (応答)
                       + 変換
                         + フィルタ (HTTP ヘッダ書き換え)
                         + CFI (データ変換, A.V. フィルタ, など)
                         + MOUNT (URL)
                         + CHARSET (text)
                       + ログ
                       + キャッシュ
                       + アクセス制御
                       + ...

DeleGate をそのような覗き見をするプロキシとして設定することは、バージョン 9.2.3 で、STLS オプションを使うだけで簡単にできるようになりました:

STLS=mitm

これにより、転送される全ての HTTPS/SSL 通信は覗き見できるようになります。以下のものは、サーバに転送される HTTP/SSL 要求メッセージを覗き見する、 HTTP プロキシの例です。

delegated -v -P8080 SERVER=http STLS=mitm FTOSV=-tee-n

MITM の他のモードは、クライアントから明示的に MITM が要求されたときにのみ DeleGate によってそれが行われます。このモードは、STLS=-mitm オプションと、クライアントから指定された特別な URL 書式で有効になります。

`STLS=-mitm`	... この DeleGate オプションは、局所的な MITM を有効にします。
`https://host.domain/path`	... 対象 SSL サーバの実 URL
`https://-mitm.host.domain/path`	... SSL サーバとの MITM を有効にするための疑似 URL

~~DeleGate の MITM の現実装は、SSL の覗き見で Keep-Alive を扱うまでが遅いです。次期バージョンでは、改善されます。~~ 9.2.3 における HTTP に対する MITM の性能は、 MITM では、HTTP Keep-Alive が無効になっているのと、サーバとの SSL セッションキャッシュがないなどの理由で、 MITM を使わないときより約10倍遅くなります。これらは、9.2.4 の実装で、性能が5倍向上しています。 (しかし、9.2.4 の STLS=-mitm は、URL 書き換え周辺の問題を回避するために、 Keep-Alive を無効にしているので、遅いままです...)

( リファレンスマニュアルから抜粋 )

[CTX] [ALL] TLS ネゴシエーション制御

STLS parameter* == STLS=stlsSpecs[,sslwayCom][:connMap] stlsSpecs == [-]stlsSpec[/ssl][,stlsSpecs] stlsSpec == fsv | fcl | mitm | imimSec sslwayCom == {sslway [-Vrfy] [-CApath dir] ...} connMap == ProtoList:dstHostList:srcHostList -- default: none -- 制限: HTTP, FTP, SMTP, POP, IMAP, SOCKS に対して有効 -- 必須: SSLway

このパラメータは、それぞれのアプリケーションプロトコルで、サーバ/クライアント間ネゴシエーションにおける、SSL(TLS) の初期化を制御します。ネゴシエーションの共通のスキームは、"STARTTLS" として知られています。 "fsv" は SSL をサーバと、"fcl" は、SSL をクライアントとの間で使用することを指定します。接続において SSL がサポートされない場合、 STARTTLS ネゴシエーションは失敗し、デフォルトで接続は閉じられます。 SSL が使用できなくてもセッションを継続したい場合、 "-" を "fsv" または、"fcl" の前につけます。
"fcl" を指定した場合、クライアントは STARTTLS ネゴシエーション無しで SSL を開始できます。このようなクライアントサイドからの暗黙の SSL ネゴシエーションは、クライアントサイドから接続時の、SSLハンドシェイクパケットを、セッション開始時に imimSec によって指定された、一定時間覗くことで検出されます。デフォルト値は、"im0.25"(250m秒)です。 "-im" は、この暗黙の SSL ネゴシエーションを無効にします。
"mitm" を指定すると、"-fcl,-fsv" のように振る舞い、クライアント側で SSL が有効になった後に、サーバ側の SSL が有効になります。 HTTP プロキシ DeleGate とともに使うことで、 "セキュアプロキシ(secure proxy)" または CONNECT メソッドでの双方向通信を監視する "SSL トンネル(SSL-tunnel)"、通常の HTTP と同様にフィルタとキャッシュを適用して転送するのに使えます。 ("mitm" は、"マン・イン・ザ・ミドル(Man-In-The-Middle)" モードです。) "STLS=-mitm" オプションを設定した場合、クライアントが "https://host.domain/" に対して、 "https://-mitm.host.domain/" のように、"-mitm." を前置したサーバ名を指定したときだけ MITM モードが活性化します。
デフォルト以外の SSLway コマンドパスまたは、オプションを使う必要がある場合、たとえば STLS="fcl,sslway -Vrfy -cert mycert.pem" のように、 stlsSpecs の後ろに SSLway コマンドを指定できます。
例)
STLS="fcl"-- クライアントとの通信に SSL を使う (不能な場合、セッションを閉じる)
STLS="-fcl"-- 可能な場合、クライアントとの通信に SSL を使う
STLS="fsv,-fcl"-- サーバとの通信に SSL を使用し、可能な場合クライアントとの通信に SSL を使う
STLS="fsv/ssl" SERVER="ftp"-- AUTH TLS の代わりに、AUTH SSL を使う