it-swarm-tr.com

Şirketim hangi HTTPS sitelerine gittiğimi görebilir mi?

Şirketim iş yerinde internet izleme yazılımı (Websense) kullanıyor. Bir https ssl şifreli siteyi ( https://secure.example.com ) ziyaret edersem, tüm trafik şifrelendiğinden sitede ne yaptığımı göremiyorum . Ama ziyaret ettiğimi görüyorlar mı https://secure.example.com ?

82

Herhangi bir HTTP isteği gerçekleştirilmeden önce şifrelenmiş bir bağlantı kurulur (ör. GET, POST, HEAD vb.), Ancak ana bilgisayar adı ve bağlantı noktası görünür.

Hangi siteleri ziyaret ettiğinizi tespit etmenin başka birçok yolu vardır, örneğin:

  • dNS sorgularınız (yani secure.example.com için IP isteğini görürler)
  • ağ izleme yoluyla (örn. netflow, IP'den IP'ye oturumlar, koklama vb.)
  • üzerinde çalıştığınız cihaza aitse ve cihazdaki herhangi bir şeyi görüntülemek için yönetici erişimine/ayrıcalıklarına sahipse (ör. tarayıcı önbelleklerinizi görüntüleyin)

Bir Websense proxy'sinden kaçınmanın popüler bir yolu, önce HTTPS aracılığıyla harici bir proxy'ye bağlantı kurmak (örn. https://proxy.org/ ) ve isteğinizi oradan yapmaktır.

70
Tate Hansen

Mümkün ama kurulum gerektiriyor. İşte nasıl yapıldığı ve nasıl söyleyebileceğiniz.

Yazılım güncellemelerinin merkezi bir konumdan aktarıldığı kurumsal bir bilgisayarda, bilgisayarınıza güvenilir, Verising veya Entrust sertifikasının yanında saklanacak "güvenilir" bir sertifika göndermek mümkündür.

Şirketinizin proxy'sinde bu sertifikanın özel anahtarı bulunur.

https://mybank.com/ gibi bir HTTPS web sitesini ziyaret ettiğinizde, proxy kendisini ortaya koyacaktır. Tarayıcınızla mybank.com için bir sertifika ( oluşturarak bir HTTPS bağlantısı kuracaktır. Proxy'den mybank.com'a kadar yeni bir bağlantıda trafiğinizi tekrar oynatır (ve muhtemelen izler veya kaydeder).

Asma kilit simgesine bakarak durumun böyle olup olmadığını anlayabilirsiniz. Mybank.com sertifikasının acmesprockets.com (şirketinizin adı) tarafından verildiğini görürseniz, "şifreli" trafiğinizi görebileceklerini biliyorsunuzdur. Ancak şirketiniz bilgisayarınızı herhangi bir sertifikaya güvenmeye zorlayabileceğinden, "Entrust.net Güvenli Sunucu Sertifika Yetkilisi" gibi iyi bilinen bir ad kullanarak bir sertifika oluşturabilirler (bu, bazı ticari marka yasalarına göre yasa dışı olsa bile).

Peki nasıl söyleyebilirsin? Web sitesine bağlandıktan sonra sertifikaya bakın. Ayrıntılar her tarayıcı için değişiklik gösterir, ancak https'nin yanındaki asma kilit simgesine tıklamak genellikle başlangıç ​​noktasıdır. Bu sertifikadan, sertifika parmak izini bulun ve çevrimiçi arayın . Daha da iyisi, sertifika yetkilisi için de aynı şeyi yapın. Sertifika küçük resmini çevrimiçi olarak bulamazsanız (ancak evde veya telefonunuzda iken yapabilirsiniz), HTTPS trafiğinizin şifresi çözülür.

48
ixe013

Basit Proxy Sunucuları

Hatta bir basit proxy görür ve sunucuların adlarını günlüğe kaydeder. Örneğin https://example.com/some/address.html adresini ziyaret etmek, tarayıcıdan proxy sunucusuna şu şekilde bir istek oluşturur:

CONNECT example.org:443 HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:2.0b13pre) ...
Proxy-Connection: keep-alive
Host: example.org

Bağlantının geri kalanı şifrelenir ve basit bir proxy bunu yönlendirir.

.

Karmaşık Proxy Sunucuları

Ancak, daha fazla karmaşık proxy sunucuları, tüm trafiği düz metin olarak görebilir. Ancak bu tür proxy sunucuları, sunucu sertifikalarını anında oluşturabilecekleri bir kök sertifikaya sahip olmanızı gerektirir.

Tarayıcıdaki sertifika zincirine bakıldığında genellikle orta saldırıda bu tür bir adam ortaya çıkar. En azından devlet kurumları tarafından değil, kendi şirketiniz tarafından yapılıyorsa:

Proxy in the Middle with custom root certificate

29

HTTPS ile SSL/TLS tüneli oluşturulur önce ve HTTP trafiği yalnızca bu tünel içinde gerçekleşir. Bazı bilgiler hala sızdırıyor:

  • İstemci bir proxy kullanıyorsa, proxy bağlantısı şöyle görünür: CONNECT www.example.com:443 ile hedef sunucu adını girin. Alternatif olarak, istemci hedef sunucu IP adresini gönderebilir, ancak bu sadece daha az açıklayıcıdır; ve sunucu IP adresini bilmek için istemcinin, şirketin kendisi tarafından sağlanan DNS sunucularını kullanarak bir ad çözümlemesi yapması gerekir.

  • Yeterince yeni istemci, ilk SSL anlaşmasının bir parçası olarak hedef sunucu adını gönderecektir ( Sunucu Adı Gösterimi uzantıdır).

  • Sunucu, sertifikasını düz görünümde ve tanım olarak sunucu adını içeren sertifikasını geri göndererek yanıt verir.

Bunlardan hedef sunucu adının kesinlikle değil bir sır olduğu sonucuna varabiliriz. Şirketinizin bunu öğrendiğini varsayabilirsiniz.

İletişimin geri kalanı şifrelenir, böylece nominal olarak dışarıdan erişilemez. Bununla birlikte, istemci tarafından gönderilen ve alınan veri paketlerinin length, herhangi bir kulak misafiri tarafından hala çıkarılabilir (bir RC4 şifreleme paketi kullanılıyorsa tek bayt doğruluğu ile) ve bu da bağlama bağlı olarak çok fazla bilgi açığa çıkarır.

Şirketiniz güvenlik konusunda ciddi ise o zaman Blue Coat's ProxySG gibi daha gelişmiş bir proxy yüklemiş olabilir. Bu tür sistemler, dinamik olarak hedef sunucu için sahte bir sertifika oluşturarak Ortadaki Adam saldırısı gerçekleştirir. Bu onlara SSL yokmuş gibi verilerin tamamına erişmelerini sağlar.

Bununla birlikte, böyle bir müdahalenin yalnızca şirket masaüstü sisteminizin güven deposuna proxy'nin sahte sertifikalar vermek için kullandığı kök CA sertifikasını ekleyebileceğini unutmayın. Bu oldukça müdahaleci bir eylem. Bu nedenle, olabilir bunu yaparlarsa, neden orada dursunlar? Web tarayıcınızı, klavyenizi ve ekranınızı takacak bir avuç casusluk yazılımını da kolayca yerleştirmiş olabilirler; ve her şey makinede yaptığınız onlar tarafından bilinir.

Alternatif olarak, if makinenizin şirketinizde herhangi bir parazit içermediğinden emin olabilirsiniz (örneğin kendi cihazınız ve şirket tarafından sağlanan hiçbir yazılım yüklemediyseniz ), MitM-proxy SSL bağlantılarınızın şifresini çözemez.

Trafiğinizi şirketinizden gizlemenin çok basit bir yolu tesislerini hiç kullanmak değildir. Kendi dizüstü bilgisayarınızı 3G anahtarıyla (veya akıllı telefonunuza bağlı) getirin. Kendi İnternetiniz için ödeme yaparak, ağ tabanlı saptamayı kaldırabilir ve günlerinizi, yapmanız için ödenen işi yapmak yerine Web'de dolaşmak için harcayabilirsiniz (ancak, elbette, hiçbir zaman yalnızca bilgisayarlı gizmos kullanımı ile sınırlandırılmamıştır).

27
Thomas Pornin

Websense oturum açacak şekilde yapılandırılmışsa, evet, nereye gittiğinizi, ziyaret ettiğiniz tüm URL'leri görebileceklerdir.

İçeriğin görüntülenme olasılığı daha düşüktür - websense/proxy'nin nasıl ayarlandığına bağlıdır - ancak yapılabilir. SSL oturumunun tarayıcınızdan sunucuya mı yoksa sadece proxy'ye mi (orta saldırıda bir adamı etkili bir şekilde çalıştırıyorsa) bağlıdır.

13
Rory Alsop

BlueCoat proxy veya benzeri bir bilgisayar kullanıyorlarsa tüm SSL trafiğinizin şifresiz olduğunu görebilirler. Birçok büyük işletme bunu yapıyor.

12
atdre

Guillaume'nin cevabını takiben, kötü bir oyun olup olmadığını kontrol etmenin bir başka yolu da "Perspektifler" Firefox eklentisini kullanmaktır. Bir https sitesini ziyaret ettiğinizde, aldığınız genel anahtarın (web sunucusu sertifikası aracılığıyla) gerçekten ziyaret ettiğiniz siteye ait olup olmadığını kontrol eder (İnternet "noterler" yoluyla).

11
George

Evet , şirketiniz SSL trafiğinizi izleyebilir.

Diğer yanıtlar SSL'nin güvenli olduğunu söylüyor.

Ancak, kurumsal proxy'niz, aşağıdaki resimde gösterildiği gibi şifreli trafiğinizi kesebilir ve inceleyebilir:

Microsoft Forefront HTTPS Inspection

Bu resim iş bilgisayarımda Google'ı ziyaret ettiğim zamandır.

Burada, ben ve güvenli bir site arasındaki bağlantıyı kesebilecek Forefront Threat Management Gateway 201 kullanıyorlar.

Açıklama:

SSL (Güvenli Yuva Katmanı) ve TLS (Aktarım Katmanı Güvenliği) güvenliği PKI'ya (Ortak Anahtar Altyapısı) dayanmaktadır.

PKI, kök sertifikalar adı verilen bir dizi güvenilir sertifikadan oluşur.

Burada şirketimde kök sertifikalardan biri, Forefront'un ziyaret ettiğim her web sitesi için sertifika oluşturduğu sertifikadır.

Bilgisayarım proxy'nin kullandığı sertifikaya güvendiğinden hiçbir uyarı oluşturulmadı ve bağlantı güvenli bir şekilde yapıldı, ancak proxy sunucusu tarafından denetlenebilir.

7
LawfulHacker

Sadece sertifikadan değil, el sıkışma mesajlarından da sunucuadı bilgisi alınabilir. Trafiğin% 80'ini test ettiğim gibi, istemci merhaba mesajında ​​(ilk mesaj istemci tarafından sunucuya https protokolünde gönderilir) sunucu_adı uzantısı içeriyor. Ancak bu uzantı isteğe bağlıdır ve bazen mevcut değildir.Bu durumda sertifika kontrol edilebilir. Sertifikada yine sunucu adı var.

4