it-swarm-vi.com

Công ty của tôi có thể xem những trang web HTTPS nào tôi đã truy cập không?

Tại nơi làm việc, công ty của tôi sử dụng phần mềm giám sát internet (Websense). Tôi biết nếu tôi truy cập trang web được mã hóa ssl https (chẳng hạn như https://secure.example.com ) họ không thể thấy những gì tôi đang làm trên trang web vì tất cả lưu lượng truy cập được mã hóa . Nhưng họ có thấy rằng tôi đã truy cập https://secure.example.com ?

82
IAmARegisteredUser

Kết nối được mã hóa được thiết lập trước khi bất kỳ yêu cầu HTTP nào được thực hiện (ví dụ: GET, POST, HEAD, v.v.), nhưng tên máy chủ và cổng được hiển thị.

Ví dụ, có nhiều cách khác để phát hiện trang web nào bạn đang truy cập, ví dụ:

  • các truy vấn DNS của bạn (tức là họ sẽ thấy yêu cầu IP cho safe.example.com)
  • thông qua giám sát mạng (ví dụ: netflow, phiên IP sang IP, đánh hơi, v.v.)
  • nếu thiết bị bạn đang làm việc thuộc sở hữu của công ty và họ có quyền truy cập/đặc quyền của quản trị viên để xem mọi thứ trên thiết bị (ví dụ: xem bộ đệm của trình duyệt của bạn)

Một cách phổ biến để trốn proxy Websense là trước tiên hãy thiết lập kết nối qua HTTPS đến proxy bên ngoài (ví dụ https://proxy.org/ ) và thực hiện yêu cầu của bạn từ đó.

70
Tate Hansen

Có thể, nhưng nó đòi hỏi một số thiết lập. Đây là cách nó được thực hiện, và làm thế nào bạn có thể nói.

Trên máy tính của công ty, nơi các bản cập nhật phần mềm được đẩy từ một vị trí trung tâm, có thể gửi tới máy tính của bạn một chứng chỉ "đáng tin cậy" sẽ được lưu trữ bên cạnh chứng chỉ tin cậy là Verising hoặc Entrust.

Proxy của công ty bạn sẽ giữ khóa riêng của chứng chỉ đó.

Khi bạn truy cập trang web HTTPS, như https://mybank.com/ , proxy sẽ đặt chính nó ở giữa. Nó sẽ thiết lập kết nối HTTPS với trình duyệt của bạn tạo một cách nhanh chóng một chứng chỉ cho mybank.com. Nó sẽ phát lại (và có thể theo dõi hoặc ghi nhật ký) tất cả lưu lượng truy cập của bạn trên một liên kết mới, từ proxy đến mybank.com.

Bạn có thể biết nếu đây là trường hợp bằng cách nhìn vào biểu tượng ổ khóa. Nếu bạn thấy rằng chứng chỉ cho mybank.com được cấp bởi acmesprockets.com (tên công ty của bạn), thì bạn biết rằng họ có thể thấy lưu lượng truy cập "được mã hóa" của bạn. Nhưng vì công ty của bạn có thể buộc máy tính của bạn tin tưởng bất kỳ chứng chỉ nào, họ có thể tạo chứng chỉ bằng một tên nổi tiếng, như "Cơ quan chứng nhận máy chủ bảo mật Entrust.net" (ngay cả khi điều đó có thể là bất hợp pháp theo luật thương hiệu).

Vì vậy, làm thế nào bạn có thể nói? Sau khi kết nối với trang web, nhìn vào chứng chỉ. Chi tiết khác nhau cho từng trình duyệt, nhưng nhấp vào biểu tượng ổ khóa bên cạnh https thường là nơi bắt đầu. Từ chứng chỉ đó, tìm dấu vân tay chứng chỉ và tra cứu trực tuyến . Tốt hơn nữa, làm điều tương tự với cơ quan cấp chứng chỉ. Nếu bạn không tìm thấy chứng chỉ ngón tay cái trực tuyến (nhưng bạn có thể khi bạn ở nhà hoặc trên điện thoại của mình), rất có thể lưu lượng HTTPS của bạn được giải mã trên đường đi.

48
ixe013

Máy chủ proxy đơn giản

Ngay cả một proxy đơn giản sẽ thấy và ghi lại tên của các máy chủ . Ví dụ: truy cập https://example.com/some/address.html sẽ tạo một yêu cầu như thế này từ trình duyệt đến máy chủ proxy:

CONNECT example.org:443 HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:2.0b13pre) ...
Proxy-Connection: keep-alive
Host: example.org

Phần còn lại của kết nối được mã hóa và một proxy đơn giản chỉ cần chuyển tiếp nó.

.

Máy chủ proxy phức tạp

Tuy nhiên, có nhiều máy chủ proxy phức tạp , có thể xem lưu lượng truy cập hoàn chỉnh trong văn bản thuần túy . Tuy nhiên, các loại máy chủ proxy này yêu cầu bạn phải cài đặt chứng chỉ gốc để họ có thể tạo chứng chỉ máy chủ nhanh chóng.

Nhìn vào chuỗi chứng chỉ trong trình duyệt thường cho thấy loại người này trong cuộc tấn công giữa. Ít nhất là trong trường hợp phổ biến của nó được thực hiện bởi chính công ty của bạn chứ không phải các cơ quan nhà nước:

Proxy in the Middle with custom root certificate

29
Hendrik Brummermann

Với HTTPS, đường hầm SSL/TLS được thiết lập đầu tiên và lưu lượng HTTP chỉ xảy ra trong đường hầm đó. Một số thông tin vẫn bị rò rỉ:

  • Nếu khách hàng sử dụng proxy, kết nối đến proxy sẽ như sau: CONNECT www.example.com:443 với tên máy chủ đích. Ngoài ra, khách hàng có thể gửi địa chỉ IP của máy chủ mục tiêu, nhưng điều này chỉ tiết lộ ít hơn một chút; và, để biết địa chỉ IP của máy chủ, máy khách phải thực hiện một số phân giải tên, sử dụng các máy chủ DNS do chính công ty cung cấp.

  • Các máy khách đủ gần đây sẽ gửi tên máy chủ mục tiêu như một phần của bắt tay SSL ban đầu (đó là Chỉ định tên máy chủ tiện ích mở rộng).

  • Máy chủ trả lời bằng cách gửi lại chứng chỉ của nó, bao gồm, trong chế độ xem đơn giản và theo định nghĩa, tên máy chủ.

Từ những điều này, chúng ta có thể kết luận rằng tên máy chủ mục tiêu là chắc chắn là không một bí mật. Bạn có thể cho rằng công ty của bạn học nó.

Phần còn lại của giao tiếp được mã hóa nên không thể truy cập được từ người ngoài. Tuy nhiên, length trong số các gói dữ liệu được khách hàng gửi và nhận vẫn có thể được suy ra bởi bất kỳ kẻ nghe trộm nào (với độ chính xác byte đơn nếu sử dụng bộ mật mã RC4) và điều này cũng có thể tiết lộ rất nhiều thông tin, tùy thuộc vào bối cảnh.

Nếu công ty của bạn nghiêm túc về bảo mật thì có thể công ty đã cài đặt proxy nâng cao hơn như ProxySG của Blue Coat . Các hệ thống như vậy thực hiện một Tấn công trung gian bằng cách tự động tạo chứng chỉ giả cho máy chủ đích. Điều này cho phép họ truy cập vào dữ liệu hoàn chỉnh, như thể không có SSL.

Tuy nhiên, lưu ý rằng việc chặn như vậy chỉ có thể nếu công ty có thể thêm vào kho ủy thác của hệ thống máy tính để bàn của bạn chứng chỉ CA gốc mà proxy sử dụng để cấp chứng chỉ giả. Đây là một hành động khá xâm phạm. Do đó, nếu họ could làm điều đó, tại sao họ lại dừng ở đó? Họ có thể đã chèn, một cách dễ dàng, một số phần mềm gián điệp sẽ cắm vào trình duyệt Web, bàn phím và màn hình của bạn; và mọi thứ bạn làm trên máy được biết đến với họ.

Ngoài ra, if bạn có thể đảm bảo rằng máy của bạn không có bất kỳ sự can thiệp nào từ công ty của bạn (ví dụ: thiết bị của riêng bạn và bạn không cài đặt phần mềm nào do công ty cung cấp nó), sau đó MitM-proxy không thể giải mã các kết nối SSL của bạn.

Một cách rất đơn giản để ẩn lưu lượng truy cập của bạn khỏi công ty của bạn là không sử dụng các phương tiện của họ. Mang theo máy tính xách tay của riêng bạn bằng phím 3G (hoặc buộc vào điện thoại thông minh của bạn). Bằng cách trả tiền cho Internet của riêng bạn, bạn có thể tránh dựa trên mạng phát hiện và dành nhiều ngày để chuyển vùng trên Web thay vì thực hiện công việc bạn được trả tiền để làm (nhưng, tất nhiên, việc phát hiện kẻ chậm chạp đã không bao giờ bị hạn chế chỉ sử dụng gizmos vi tính).

27
Thomas Pornin

Nếu websense được cấu hình để ghi nhật ký, thì có, họ sẽ có thể thấy nơi bạn đã đến, tất cả các URL bạn truy cập.

Nội dung ít có khả năng được xem - nó phụ thuộc vào cách thiết lập websense/proxy - nhưng nó có thể được thực hiện. Nó phụ thuộc vào việc phiên SSL là từ trình duyệt của bạn đến máy chủ hay nếu đó chỉ là proxy (điều hành hiệu quả một người đàn ông trong cuộc tấn công giữa)

13
Rory Alsop

Họ có thể thấy tất cả lưu lượng SSL của bạn không được mã hóa nếu họ sử dụng proxy BlueCoat hoặc tương tự. Nhiều doanh nghiệp lớn làm điều này.

12
atdre

Theo câu trả lời của Guillaume, một cách khác để kiểm tra chơi xấu là sử dụng tiện ích bổ sung "Viễn cảnh" Firefox. Khi truy cập trang web https, nó sẽ kiểm tra (thông qua "công chứng viên" Internet) rằng khóa công khai bạn nhận được (thông qua chứng chỉ máy chủ web) thực sự thuộc về trang web bạn đang truy cập.

11
George

, công ty của bạn có thể theo dõi lưu lượng SSL của bạn.

Các phản hồi khác nói rằng SSL là an toàn, thực sự là như vậy.

Nhưng, proxy công ty của bạn có thể chặn và kiểm tra lưu lượng được mã hóa của bạn như được biểu thị bằng hình ảnh bên dưới:

Microsoft Forefront HTTPS Inspection

Hình ảnh này là khi tôi truy cập Google trong máy tính làm việc của tôi.

Tại đây, họ sử dụng Cổng quản lý mối đe dọa hàng đầu 201 có thể chặn kết nối giữa tôi và một trang web an toàn.

Giải thích:

Bảo mật SSL (Lớp cổng bảo mật) và TLS (Bảo mật lớp vận chuyển) dựa trên PKI (Cơ sở hạ tầng khóa công khai).

PKI bao gồm một loạt các chứng chỉ tin cậy được gọi là chứng chỉ gốc.

Ở đây trong công ty của tôi, một trong những chứng chỉ gốc là chứng chỉ mà Premfront tạo chứng chỉ cho mỗi trang web tôi truy cập.

Bởi vì máy tính của tôi tin tưởng chứng chỉ mà proxy sử dụng, không có cảnh báo nào được tạo và kết nối được thực hiện an toàn nhưng có thể được kiểm tra bởi máy chủ proxy.

7
LawfulHacker

Không chỉ từ chứng chỉ mà còn từ thông điệp bắt tay thông tin tên máy chủ có thể nhận được. Như tôi đã kiểm tra% 80 lưu lượng có chứa phần mở rộng server_name trong thông báo xin chào khách (tin nhắn đầu tiên được gửi bởi khách đến máy chủ trong giao thức https). Nhưng phần mở rộng này là tùy chọn và đôi khi nó không tồn tại. Trong trường hợp này chứng chỉ có thể được kiểm tra. Trong chứng chỉ tồn tại tên máy chủ một lần nữa.

4
Kadir Erdem Demir