it-swarm-eu.dev

Kann mein Unternehmen sehen, zu welchen HTTPS-Websites ich gegangen bin?

Bei der Arbeit verwendet meine Firma Internet-Überwachungssoftware (Websense). Ich weiß, wenn ich eine mit https ssl verschlüsselte Site besuche (z. B. https://secure.example.com ), können sie nicht sehen, was ich auf der Site mache, da der gesamte Datenverkehr verschlüsselt ist . Aber sehen sie, dass ich https://secure.example.com besucht habe?

82

Eine verschlüsselte Verbindung wird zuerst hergestellt, bevor HTTP-Anforderungen ausgeführt werden (z. B. GET, POST, HEAD usw.), aber der Hostname und der Port sind sichtbar.

Es gibt viele andere Möglichkeiten, um festzustellen, welche Websites Sie ebenfalls besuchen, zum Beispiel:

  • ihre DNS-Abfragen (d. h. sie sehen die IP-Anfrage für Secure.example.com)
  • über Netzwerküberwachung (z. B. Netflow, IP-zu-IP-Sitzungen, Sniffing usw.)
  • wenn das Gerät, an dem Sie arbeiten, Eigentum des Unternehmens ist und über Administratorzugriff/-berechtigungen verfügt, um alles auf dem Gerät anzuzeigen (z. B. die Caches Ihres Browsers anzeigen).

Eine beliebte Möglichkeit, einem Websense-Proxy auszuweichen, besteht darin, zunächst eine Verbindung über HTTPS zu einem externen Proxy (z. B. https://proxy.org/ ) herzustellen und von dort aus Ihre Anfrage zu stellen.

70
Tate Hansen

Es ist möglich, erfordert jedoch einige Einstellungen. Hier erfahren Sie, wie es gemacht wird und wie Sie es erkennen können.

Auf einem Unternehmenscomputer, auf dem Softwareupdates von einem zentralen Ort aus übertragen werden, können Sie ein "vertrauenswürdiges" Zertifikat an Ihren Computer senden, das neben dem vertrauenswürdigen Zertifikat "Überprüfen" oder "Vertrauen" gespeichert wird.

Der Proxy Ihres Unternehmens enthält den privaten Schlüssel dieses Zertifikats.

Wenn Sie eine HTTPS-Website wie https://mybank.com/ besuchen, wird sich der Proxy in die Mitte stellen. Es wird eine HTTPS-Verbindung mit Ihrem Browser hergestellt, der im laufenden Betrieb ein Zertifikat für mybank.com generiert. Es wird den gesamten Datenverkehr auf einer neuen Verbindung vom Proxy zu mybank.com wiedergeben (und möglicherweise überwachen oder protokollieren).

Ob dies der Fall ist, können Sie anhand des Vorhängeschlosssymbols erkennen. Wenn Sie sehen, dass das Zertifikat für mybank.com von acmesprockets.com (dem Namen Ihres Unternehmens) ausgestellt wurde, wissen Sie, dass sie Ihren "verschlüsselten" Datenverkehr sehen können. Da Ihr Unternehmen Ihren Computer jedoch dazu zwingen kann, einem Zertifikat zu vertrauen, kann es ein Zertifikat unter einem bekannten Namen wie "Entrust.net Secure Server Certification Authority" erstellen (selbst wenn dies nach einem Markenrecht wahrscheinlich illegal wäre).

Wie kannst du das sagen? Überprüfen Sie nach dem Herstellen der Verbindung zur Website das Zertifikat. Details variieren für jeden Browser, aber das Klicken auf das Vorhängeschlosssymbol neben https ist normalerweise der Ausgangspunkt. Suchen Sie in diesem Zertifikat den Fingerabdruck des Zertifikats und suchen Sie ihn online . Besser noch, machen Sie dasselbe mit der Zertifizierungsstelle. Wenn Sie den Fingerabdruck des Zertifikats nicht online finden (dies ist jedoch möglich, wenn Sie zu Hause oder auf Ihrem Telefon sind), wird Ihr HTTPS-Verkehr möglicherweise unterwegs entschlüsselt.

48
ixe013

Einfache Proxyserver

Sogar ein einfacher Proxy sieht und protokolliert die Namen der Server . Wenn Sie beispielsweise https://example.com/some/address.html besuchen, wird eine solche Anforderung vom Browser an den Proxyserver erstellt:

CONNECT example.org:443 HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:2.0b13pre) ...
Proxy-Connection: keep-alive
Host: example.org

Der Rest der Verbindung ist verschlüsselt und wird von einem einfachen Proxy weitergeleitet.

.

Komplexe Proxyserver

Es gibt jedoch mehr komplexe Proxyserver , die den gesamten Datenverkehr im Klartext sehen können . Für diese Art von Proxyservern muss jedoch ein Stammzertifikat installiert sein, für das sie Serverzertifikate im laufenden Betrieb erstellen können.

Ein Blick auf die Zertifikatskette im Browser zeigt normalerweise diese Art von Mann im mittleren Angriff. Zumindest im allgemeinen Fall, dass dies von Ihrem eigenen Unternehmen und nicht von staatlichen Stellen durchgeführt wird:

Proxy in the Middle with custom root certificate

29

Mit HTTPS wird der SSL/TLS-Tunnel eingerichtet first und der HTTP-Verkehr findet nur innerhalb dieses Tunnels statt. Einige Informationen lecken immer noch:

  • Wenn der Client einen Proxy verwendet, sieht die Verbindung zum Proxy folgendermaßen aus: CONNECT www.example.com:443 mit dem Zielservernamen. Alternativ könnte der Client die IP-Adresse des Zielservers senden, dies ist jedoch nur unwesentlich weniger aufschlussreich. Um die Server-IP-Adresse zu ermitteln, muss der Client eine Namensauflösung unter Verwendung der vom Unternehmen selbst bereitgestellten DNS-Server durchführen.

  • Clients, die aktuell genug sind, senden den Zielservernamen als Teil des anfänglichen SSL-Handshakes (das ist die Erweiterung Server Name Indication ).

  • Der Server sendet daraufhin sein Zertifikat zurück, das in der Übersicht und per Definition den Servernamen enthält.

Daraus können wir schließen, dass der Name des Zielservers definitiv nicht ein Geheimnis ist. Sie können davon ausgehen, dass Ihr Unternehmen dies lernt.

Der Rest der Kommunikation ist verschlüsselt, so dass Außenstehende nominell nicht darauf zugreifen können. Die Länge der vom Client gesendeten und empfangenen Datenpakete kann jedoch weiterhin von jedem Lauscher abgeleitet werden (mit Einzelbyte-Genauigkeit, wenn eine RC4-Verschlüsselungssuite verwendet wird), und Dies kann je nach Kontext auch viele Informationen enthalten.

Wenn Ihr Unternehmen die Sicherheit ernst nimmt , hat es möglicherweise einen erweiterten Proxy wie Blue Coat's ProxySG installiert. Solche Systeme führen einen Man-in-the-Middle-Angriff durch, indem sie dynamisch ein gefälschtes Zertifikat für den Zielserver generieren. Dadurch erhalten sie Zugriff auf die vollständigen Daten, als ob kein SSL vorhanden wäre.

Beachten Sie, dass ein solches Abfangen jedoch nur möglich ist, wenn das Unternehmen dem Trust Store Ihres Desktopsystems das Stammzertifizierungsstellenzertifikat hinzufügen kann, mit dem der Proxy die gefälschten Zertifikate ausstellt. Dies ist eine ziemlich aufdringliche Aktion. Wenn sie das könnten tun, warum sollten sie dann dort aufhören? Möglicherweise haben sie genauso einfach eine Handvoll Spionagesoftware eingefügt, die Ihren Webbrowser, Ihre Tastatur und Ihr Display einbindet. und alles , was Sie auf der Maschine tun, ist ihnen bekannt.

Alternativ können Sie mit if sicherstellen, dass Ihr Computer frei von Störungen durch Ihr Unternehmen ist (z. B. Ihr eigenes Gerät und Sie kein Unternehmen installiert haben- mitgelieferte Software), dann kann MitM-Proxy Ihre SSL-Verbindungen nicht entschlüsseln.

Eine sehr einfache Möglichkeit, Ihren Datenverkehr vor Ihrem Unternehmen zu verbergen , besteht darin, dessen Einrichtungen überhaupt nicht zu nutzen. Bringen Sie Ihren eigenen Laptop mit einem 3G-Schlüssel (oder an Ihr Smartphone gebunden) mit. Wenn Sie für Ihr eigenes Internet bezahlen, können Sie sich der Erkennung von netzwerkbasierten entziehen und Ihre Tage damit verbringen, im Web zu surfen, anstatt die Arbeit zu erledigen, für die Sie bezahlt werden (aber natürlich die Erkennung von Slackern war nie darauf beschränkt, nur computergestützte Spielereien zu verwenden.

27
Thomas Pornin

Wenn websense so konfiguriert ist, dass es protokolliert wird, können sie sehen, wohin Sie gegangen sind, sowie alle URLs, die Sie besuchen.

Es ist weniger wahrscheinlich, dass Inhalte angezeigt werden - dies hängt davon ab, wie Websense/Proxy eingerichtet ist -, aber dies ist möglich. Es hängt davon ab, ob die SSL-Sitzung von Ihrem Browser zum Server oder nur zum Proxy erfolgt (effektiv wird ein Mann im mittleren Angriff ausgeführt).

13
Rory Alsop

Sie können Ihren gesamten SSL-Verkehr unverschlüsselt sehen, wenn sie einen BlueCoat-Proxy oder ähnliches verwenden. Viele große Unternehmen tun dies.

12
atdre

Nach Guillaumes Antwort können Sie auch das Firefox-Add-On "Perspectives" verwenden, um nach Foulspiel zu suchen. Beim Besuch einer https-Site wird (über Internet- "Notare") überprüft, ob der öffentliche Schlüssel, den Sie (über das Webserver-Zertifikat) erhalten, tatsächlich zu der Site gehört, die Sie besuchen.

11
George

Ja , Ihr Unternehmen kann Ihren SSL-Verkehr überwachen.

Andere Antworten sagen, dass SSL sicher ist, tatsächlich ist es.

Ihr Unternehmens-Proxy kann jedoch Ihren verschlüsselten Datenverkehr abfangen und überprüfen, wie in der folgenden Abbildung dargestellt:

Microsoft Forefront HTTPS Inspection

Dieses Bild ist, wenn ich Google auf meinem Arbeitscomputer besuche.

Hier verwenden sie das Forefront Threat Management Gateway 201 , das die Verbindung zwischen mir und einer sicheren Site abfangen kann.

Erläuterung:

Die SSL- (Secure Socket Layer) und TLS-Sicherheit (Transport Layer Security) basiert auf PKI (Public Key Infrastruture).

Die PKI besteht aus einer Reihe vertrauenswürdiger Zertifikate, die als Stammzertifikate bezeichnet werden.

Hier in meinem Unternehmen ist eines der Stammzertifikate das Zertifikat, mit dem Forefront die Zertifikate für jede von mir besuchte Website generiert.

Da mein Computer dem vom Proxy verwendeten Zertifikat vertraut, wurde keine Warnung generiert und die Verbindung wird sicher hergestellt, kann jedoch vom Proxyserver überprüft werden.

7
LawfulHacker

Nicht nur aus Zertifikaten, sondern auch aus Handshake-Nachrichten können Servernameninformationen abgerufen werden. Wie ich getestet habe, enthält% 80 des Datenverkehrs die Erweiterung server_name in der Client-Hallo-Nachricht (erste Nachricht, die vom Client im https-Protokoll an den Server gesendet wird). Diese Erweiterung ist jedoch optional und manchmal nicht vorhanden. In diesem Fall kann das Zertifikat überprüft werden. Im Zertifikat gibt es wieder einen Servernamen.

4