it-swarm-eu.dev

Může moje společnost vidět, na které stránky HTTPS jsem šel?

V práci moje společnost používá internetový monitorovací software (Websense). Vím, že když navštívím https ssl šifrovaný web (například https://secure.example.com ), nemohou vidět, co na webu dělám, protože veškerý provoz je šifrován . Ale vidí, že jsem navštívil https://secure.example.com ?

82

Šifrované připojení je navázáno nejprve před provedením jakýchkoli požadavků HTTP (např. GET, POST, HEAD atd.), Ale název hostitele a port jsou viditelné.

Existuje mnoho dalších způsobů, jak zjistit, které stránky navštěvujete, například:

  • vaše dotazy DNS (tj. uvidí požadavek IP na adresu secure.example.com)
  • prostřednictvím monitorování sítě (např. netflow, IP to IP relace, čichání atd.)
  • pokud zařízení, na kterém pracujete, je ve vlastnictví společnosti a má administrátorské přístupy/oprávnění pro prohlížení čehokoli na zařízení (např. prohlížení mezipaměti prohlížeče)

Populární způsob, jak se vyhnout proxy serveru Websense, je nejprve navázat spojení pomocí protokolu HTTPS s externím serverem proxy (např. https://proxy.org/ ) a odtud požádat.

70
Tate Hansen

Je to možné, ale vyžaduje určité nastavení. Tady je, jak se to dělá, a jak to můžete říct.

Na podnikovém počítači, kde jsou aktualizace softwaru odesílány z centrálního umístění, je možné do počítače odeslat „důvěryhodný“ certifikát, který bude uložen vedle důvěryhodného certifikátu, např. Verising nebo Entrust.

Proxy vaší společnosti budou držet soukromý klíč tohoto certifikátu.

Když navštívíte web HTTPS, například https://mybank.com/ , server proxy se umístí doprostřed. Naváže spojení HTTPS s vaším prohlížečem a generuje za běhu certifikát pro mybank.com. Přehraje (a případně bude sledovat nebo zaznamenávat) veškerý provoz na novém připojení, od proxy po mybank.com.

Pokud se jedná o tento případ, můžete zjistit pomocí ikony zámku. Pokud vidíte, že certifikát pro mybank.com byl vydán acmesprockets.com (název vaší společnosti), pak víte, že vidí váš „šifrovaný“ provoz. Protože však vaše společnost může vynutit, aby váš počítač důvěřoval každému certifikátu, mohl by vytvořit certifikát s dobře známým názvem, například „Entrust.net Secure Server Certification Authority“ (i když by to podle některých zákonů o ochranných známkách pravděpodobně bylo nezákonné).

Tak jak to můžeš říct? Po připojení k webu se podívejte na certifikát. Podrobnosti se liší pro každý prohlížeč, ale kliknutím na ikonu visacího zámku vedle https je obvykle místo, kde začít. Z tohoto certifikátu najděte otisk certifikátu a vyhledejte jej online . Ještě lépe, udělejte to samé s certifikační autoritou. Pokud nenajdete certifikát thumbpring online (ale můžete, když jste doma nebo v telefonu), je pravděpodobné, že se váš HTTPS provoz dešifruje.

48
ixe013

Jednoduché servery proxy

Dokonce i jednoduchý proxy uvidí a zaznamená jména serverů . Například při návštěvě https://example.com/some/address.html vytvoří takový požadavek z prohlížeče na proxy server:

CONNECT example.org:443 HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:2.0b13pre) ...
Proxy-Connection: keep-alive
Host: example.org

Zbytek spojení je šifrován a jednoduchý proxy jej právě přeposílá.

.

Složité servery proxy

Existuje však více komplexních proxy serverů , které jsou schopny vidět celý provoz v prostém textu . Tyto druhy proxy serverů však vyžadují, abyste měli nainstalován kořenový certifikát, pro který mohou vytvářet serverové certifikáty za běhu.

Při pohledu na řetěz certifikátů v prohlížeči obvykle tento druh člověka při středním útoku odhalí. Alespoň v běžném případě, že se tak děje u vaší vlastní společnosti a nikoli ze státních agentur:

Proxy in the Middle with custom root certificate

29

U protokolu HTTPS je nejprve vytvořen tunel SSL/TLS a provoz HTTP probíhá pouze v tomto tunelu. Některé informace stále unikají:

  • Pokud klient používá server proxy, vypadá připojení k serveru proxy takto: CONNECT www.example.com:443 s názvem cílového serveru. Alternativně by klient mohl odeslat IP adresu cílového serveru, ale to je jen nepatrně méně odhalující; a znát adresu IP serveru, musí klient provést určité rozlišení názvu pomocí serverů DNS poskytovaných samotnou společností.

  • Dostatečně noví klienti pošlou název cílového serveru jako součást úvodního SSL handshake (to je rozšíření Název server ).

  • Server odpoví zasláním svého certifikátu zpět, který zahrnuje, v prostém pohledu a podle definice, název serveru.

Z toho můžeme vyvodit, že název cílového serveru není rozhodně tajemstvím . Můžete předpokládat, že se to vaše společnost naučí.

Zbytek komunikace je šifrován, takže je nominálně nepřístupný vůči cizincům. Avšak délka datových paketů, které jsou odesílány a přijímány klientem, může stále odvodit jakýkoli odposlouchávač (s jednobajtovou přesností, pokud se používá sada šifry RC4), a to může také odhalit spoustu informací, v závislosti na kontextu.

Pokud vaše společnost myslí o zabezpečení vážně , může mít nainstalován pokročilejší proxy jako ProxySG Blue Coat . Takové systémy provádějí Man-in-the-Middle útok dynamickým generováním falešného certifikátu pro cílový server. To jim poskytuje přístup k úplným datům, jako by neexistoval žádný SSL.

Všimněte si však, že takové zachycení je možné pouze v případě, že společnost mohla přidat do úložiště důvěryhodnosti vašeho stolního systému kořenový certifikát CA, který proxy používá k vydávání falešných certifikátů. Toto je poněkud rušivá akce. Pokud by tedy mohli udělat, proč by se tam zastavili? Mohli stejně snadno vložit hrstku špionážního softwaru, který připojí váš webový prohlížeč, klávesnici a displej; a je jim známo vše , které na stroji děláte.

Alternativně , pokud se můžete ujistit, že váš stroj nemá žádné rušení od vaší společnosti (např. Je to vaše vlastní zařízení a nenainstalovali jste žádnou společnost- poskytovaný software), pak server MitM-proxy nemůže dešifrovat vaše připojení SSL.

Velmi jednoduchým způsobem, jak skrýt provoz před vaší společností , není využití jejich zařízení vůbec. Přineste si svůj vlastní notebook pomocí klíče 3G (nebo připojeného k smartphonu). Placením za svůj vlastní internet se můžete vyhnout detekci v síti a trávit dny roamingem na webu namísto práce, za kterou jste za práci placeni (ale samozřejmě detekce flákačů nikdy nebylo omezeno pouze na používání počítačových automatů).

27
Thomas Pornin

Pokud je websense nakonfigurován pro přihlášení, pak ano, budou moci vidět, kam jste šli, všechny adresy URL, které navštívíte.

Obsah je méně pravděpodobně zobrazen - záleží na tom, jak je websense/proxy nastaven - ale lze to udělat. Záleží na tom, zda je relace SSL z vašeho prohlížeče na server, nebo zda jde pouze o proxy (efektivní spuštění muže uprostřed útoku)

13
Rory Alsop

Pokud používají proxy server BlueCoat nebo podobné, mohou vidět veškerý váš přenos SSL nešifrovaný. Mnoho velkých podniků to dělá.

12
atdre

Po odpovědi na Guillaume je dalším způsobem, jak zkontrolovat, zda není chybná hra, použít doplněk Firefoxu „Perspectives“. Při návštěvě webu https zkontroluje (prostřednictvím internetových notářů), zda veřejný klíč, který obdržíte (prostřednictvím certifikátu webového serveru), nepatří k navštívenému webu.

11
George

Ano , vaše společnost může sledovat přenos SSL.

Jiné odpovědi říkají, že SSL je skutečně bezpečný.

Váš firemní proxy však může zachytit a zkontrolovat váš šifrovaný provoz, jak ukazuje obrázek níže:

Microsoft Forefront HTTPS Inspection

Tento obrázek je, když navštívím Google ve svém pracovním počítači.

Zde používají Forefront Threat Management Gateway 201 , které může zachytit spojení mezi mnou a zabezpečeným webem.

Vysvětlení:

Zabezpečení SSL (Secure Socket Layer) a TLS (Transport Layer Security) je založeno na PKI (Public Key Infrastruture).

PKI sestává z řady důvěryhodných certifikátů nazývaných kořenové certifikáty.

Zde v mé společnosti je jedním z kořenových certifikátů certifikát, který Forefront generuje certifikáty pro každý navštívený web.

Protože můj počítač důvěřuje certifikátu, který server proxy používal, nebylo vygenerováno žádné varování a připojení bylo provedeno bezpečně, ale server proxy jej může zkontrolovat.

7
LawfulHacker

Nejen z certifikátu, ale také z handshake zpráv lze získat informace o názvu serveru. Jak jsem testoval,% 80 provozu obsahuje příponu server_name v klientské hello zprávě (první zpráva odeslaná klientem na server v protokolu https). Ale toto rozšíření je volitelné a někdy neexistuje. V tomto případě lze certifikát zkontrolovat. V certifikátu opět existuje název serveru.

4