Frage:
Mein ISP verwendet die Deep Packet Inspection. was können sie beobachten?
cppanonhelp666
2017-03-27 22:33:49 UTC
view on stackexchange narkive permalink

Ich habe herausgefunden, dass mein ISP Deep Packet Inspection durchführt. Kann er den Inhalt von HTTPS-Verbindungen sehen? Würde HTTPS nicht sicherstellen, dass die übertragenen Inhalte nicht angezeigt werden?

Und kann mich ein VPN vor einer eingehenden Paketinspektion durch ISPs schützen?

Ich musste sofort an [dies] denken (http://4.bp.blogspot.com/-jZp1bLp3Q_A/TfhrQmNJvJI/AAAAAAAAAgI/wso4_M0pucs/s1600/Screen+shot+2011-06-15+at+10.19.45.png).
Dies ist keine vollständige Antwort wert, aber ich denke, es kann sehr hilfreich sein, um zu verstehen, wer was in Ihrem Verkehr sehen kann.Es ist offensichtlich für Tor konzipiert, aber es gibt auch eine HTTPS-Schaltfläche: [Tor und HTTPS] (https://www.eff.org/pages/tor-and-https)._data_ und _user / pw_ entspricht der "Deep Packet Inspection".
Woher wissen Sie, dass Ihr ISP DPI ausführt?
@SpaceDog: ist in einigen Ländern gesetzlich vorgeschrieben, was es sehr einfach macht zu sagen, dass der ISP dies tut!
@SpaceDog, einer ihrer Mitarbeiter akzeptierte anonym, dass sie DPI für eine Nachrichtenagentur durchführten.
Ja zu VPN !!!Alles, was sie sehen würden, ist die IP Ihres VPN-Endpunkts!Wenn Sie überhaupt besorgt sind und bereit sind, Geld für VPN auszugeben, tun Sie dies. Der Hauptgrund, warum ich dies nicht tue, ist, dass die Geschwindigkeit beeinträchtigt wird
Ist DPI überhaupt legal?In welchem Land lebst du?
@FreeSoftwareServers Angesichts der Tatsache, dass die meisten VPN-Server Verbindungen haben, deren Bandbreite die durchschnittliche Internetverbindung zu Hause in mehreren Ländern weit übersteigt, würde die Verlangsamung nicht durch das VPN verursacht (in Ordnung, mit Ausnahme des Verschlüsselungsaufwands, der als vernachlässigbar angesehen werden kann).
Sieben antworten:
Trey Blalock
2017-03-27 23:05:43 UTC
view on stackexchange narkive permalink

Deep Packet Inspection, auch als vollständige Paketinspektion bezeichnet, bedeutet einfach, dass der gesamte Datenverkehr analysiert wird , anstatt nur Verbindungsinformationen abzurufen, z. B. welche IP-Adressen Sie verbinden, welche Portnummer, welches Protokoll und möglicherweise ein paar andere Details über die Netzwerkverbindung.

Dies wird normalerweise im Gegensatz zum Sammeln von NetFlow-Informationen diskutiert, bei denen hauptsächlich die oben aufgeführten Informationen gesammelt werden.

Durch die eingehende Paketprüfung erhält Ihr Anbieter viele Informationen über Ihre Verbindungen und Gewohnheiten von Internetnutzung. In einigen Fällen wird der gesamte Inhalt von Dingen wie SMTP-E-Mails erfasst.

HTTPS verschlüsselt die Verbindungen, aber Ihr Browser muss DNS-Anforderungen stellen, die hauptsächlich über UDP gesendet werden, damit Daten gesammelt werden ebenso wie unverschlüsselte Links oder unverschlüsselte Cookies, die ohne https falsch gesendet wurden. Diese zusätzlichen Bits, die gesammelt werden, können sehr aussagekräftig darüber sein, welche Art von Inhalten Sie betrachten.

Die meisten Menschen befassen sich hauptsächlich mit der Datenaggregation , indem sie diese Informationen sammeln Ein Datenwissenschaftler kann einen Fingerabdruck für Ihre Internetnutzung erstellen und später mit früheren Aktivitäten oder Aktivitäten von anderen Standorten aus verknüpfen (wenn Sie auf der Arbeit sind oder im Urlaub sind). Ebenso kann Ihr Dienstanbieter entscheiden, dies an eine beliebige Anzahl von Organisationen (möglicherweise einschließlich krimineller Organisationen) zu verkaufen, wo es dann auf eine Weise gegen Sie verwendet werden kann. In vielen Ländern haben die Menschen die Erwartung, dass ihre Kommunikation als privat angesehen wird, und das Sammeln dieser Daten widerspricht in hohem Maße dieser Datenschutzerwartung.

Ein weiterer interessanter Aspekt ist, dass in Fällen wie den USA, in denen diese Daten möglicherweise bald verkauft werden, auch internationale Kommunikation an Personen oder Server in den USA verkauft werden kann . Ebenso könnte dies möglicherweise jeder Behörde aus lokalen Strafverfolgungs-, Militär-, Steuer-, Einwanderungs- und Politikbehörden usw. eine Möglichkeit bieten, langjährige Gesetze zu umgehen, die sie daran gehindert haben, auf diese Art von Informationen oder wichtige Informationsuntergruppen innerhalb dieser Informationen zuzugreifen diese Daten sonst.

Ein etwas anderes Problem, wenn diese Daten verkauft werden können, ist Competitive Intelligence / Unternehmensspionage. In dem Szenario, in dem ein Unternehmen an seinem Hauptsitz an einem kleinen geografischen Ort (denken Sie an Arzneimittel oder ein Verteidigungsunternehmen) viel forschungsintensive Arbeit leistet, kann jeder, der diese Daten verkauft, den gesamten Datenverkehr vom lokalen ISP kaufen Hier leben die meisten dieser Forscher und analysieren, wonach sie zu Hause suchen, möglicherweise sogar direkt vom ISP, der den Datenverkehr für ihre Unternehmenszentrale hostet. Wenn andere Länder keine ähnlichen Daten verkaufen, haben ausländische Unternehmen und Unternehmen die Möglichkeit, diese Daten zu kaufen, um einen enormen technischen Vorteil zu erzielen. Ebenso würde es ausländischen Regierungen ermöglichen, ISP-Verkehr zu kaufen, der die Daten von US-Beamten (oder anderen Regierungsbeamten) enthält.

Stellen Sie sich vor, Unternehmen überwachen das Verhalten ihrer Mitarbeiter zu Hause oder auf ihren Mobilgeräten.

Dies wird wahrscheinlich auch Aktivisten und Hinweisgeber erschrecken.

Wenn Kreditkarten oder PII im Klartext an einen schlecht gesicherten Remote-Standort gesendet werden, weist der Datensatz Ihres ISP jetzt ein potenzielles PCI- oder PII-Regelungsproblem auf. Dies verstärkt also Datenleckprobleme aller Art, indem zusätzliche Kopien der durchgesickerten Daten erstellt werden.

Mit den oben erwähnten Beispielen und Hunderten von anderen sollte es leicht zu erkennen sein, warum diese Art der Datenerfassung eine andere Bedeutung hat als nur Metadaten oder grundlegende Verbindungsinformationen. Selbst wenn Ihr ISP diese Daten niemals verkauft, sammelt er einen ziemlich interessanten Datensatz.

Es handelt sich um ein Sicherheitsproblem, das definitiv viele potenzielle langfristige Auswirkungen auf die Sicherheit hat.

"In vielen Ländern haben die Menschen die Erwartung, dass ihre Kommunikation als privat angesehen wird, und das Sammeln dieser Daten widerspricht sehr diesen Erwartungen an den Datenschutz."Es scheint jedoch, dass bestimmte Mitglieder der US-Regierung das nicht mögen.
In vielen EU-Ländern würde der Verkauf dieser Daten gegen die Datenschutzerwartungen UND gegen das Gesetz verstoßen.Andere Länder sind nicht so besorgt über die Privatsphäre.
Zumindest in Deutschland ist eine eingehende Paketinspektion illegal.
In Frankreich ist DPI weit verbreitet, zumindest für einen großen historischen ISP (ich lasse Sie raten, welcher).
Wenn Sie DPI ausführen, besteht eine faire Chance, dass Sie die unvollständig implementierte Sicherheit nutzen können, um auch in HTTPS usw. zu sehen.Sicher können die Sicherheitsdienste.Meine Grundannahme ist, dass * jemand irgendwo * alles sehen kann, was ich online mache.
@A.Hersean: Umso überraschender finde ich, wie stark das Abhören der Telefonkommunikation geregelt ist (oder zumindest, als ich mein Praktikum gemacht habe ... vor 10 Jahren).
Auch ohne den DNS-Aspekt überträgt TLS mit SNI (wie es heute häufig verwendet wird) den Hostnamen beim ersten TLS-Austausch im Klartext, bevor die Verschlüsselung eingerichtet wird.
@A.Hersean Ich bin mir ziemlich sicher, dass sie diese Informationen nicht an Dritte verkaufen können. Sie können also nur Folgendes tun: Erraten Sie, wie viel Verkehr Sie beim Streaming im Vergleich zu anderen Dingen verwenden, und rechnen Sie die Beträge anders oder so abso wie das.
@Bakuriu FYI: Derzeit wird dem Kongress ein Gesetzesentwurf vorgelegt, der es ISPs ermöglicht, diese Daten zu verkaufen.https://www.eff.org/deeplinks/2017/03/five-creepy-things-your-isp-could-do-if-congress-repeals-fccs-privacy-protections
@TreyBlalock Das ist irrelevant ... zumindest bis die USA in Frankreich einmarschieren.
@JohnU: Das ist unwahrscheinlich und Ihre Behauptung ist ein schwerwiegender Nachteil.Es gibt keine Möglichkeit, HTTPS ohne aktive Angriffe zu "sehen", die den Inhalt nicht nur untersuchen, sondern auch ändern.Moderne Client-Software lässt dies nur zu, wenn sie hinter der Tür steht (möglich, wenn der ISP Sie dazu verleitet hat, die von ihnen bereitgestellte Software zu installieren), und versierte Benutzer werden solche aktiven Angriffe ** bemerken **, was sie für den Angreifer zu einem hohen Risiko macht.Aus praktischen Gründen "sieht" niemand in Ihr HTTPS.
@Magisch: hätten Sie Quellen für diese Behauptung über die Illegalität von DPI in Deutschland?Dies würde viele "intelligente" Firewalls stark beeinträchtigen, die auf bestimmten Kommunikationsmustern beruhen, um den Verkehr zu identifizieren.
@WoJ Ich denke, es ist illegal, dies nur für ISPs zu tun.Ich werde weiter darauf eingehen und die Quelle ausgraben, wenn ich Zeit habe.
Das DNS-Informationsleck kann mit DNS / TLS (das nicht allgemein unterstützt wird) verringert werden.Aber dann leckt SNI die Zieldomäne trotzdem.
@R .. Nach dem, was ich von Risks Digest, Bruce Schneier usw. gelesen habe, ist es keineswegs unmöglich / unplausibel, dass es Fehler, Mängel, Fehlkonfigurationen usw. gibt, selbst wenn Hintertüren oder andere verdeckte Zugriffe außer Acht gelassen werden.Was auch immer die Chancen stehen, da sie weniger als unendlich sind, ist es eine gute Praxis anzunehmen, dass jemand, der Ihre Kommunikation sehen möchte, dies tun könnte, und entsprechend zu handeln.Legalität ist ein strittiger Punkt, wir erwarten nicht, dass unsere Gespenster sanft spielen, wenn sie unsere Sicherheit schützen, und wir würden sicherlich kein Gentleman-Verhalten von schlechten Schauspielern erwarten.
Nur um pedantisch zu sein: * "In Fällen wie den USA, in denen diese Daten jetzt verkauft werden können" * Vorausgesetzt, Sie beziehen sich auf die jüngsten Entscheidungen, ist die Formulierung "kann jetzt verkauft werden" nicht ganz korrekt, da es nie einen Punkt gabZeit, als es * nicht * verkauft werden konnte - diese Datenschutzgesetze, die in Dosen eingemacht wurden, wurden sowieso erst Ende dieses Jahres in Kraft gesetzt, also änderte sich eigentlich nichts *.Das Urteil stoppte die Änderung, die bald stattfinden würde.Es besteht jedoch kein * neues * Risiko.Ich dachte, es sei wichtig, darauf hinzuweisen, da es in dieser heißen jüngsten Nachricht viele Missverständnisse gab.
@JohnU: Sie sind alle aktive Angriffe, was bedeutet, dass sie nicht in großem Maßstab eingesetzt werden können, da sich die Wahrscheinlichkeit, erwischt zu werden, mit zunehmender Anzahl der Opfer schnell 1,0 nähert.Die Möglichkeit eines passiven Angriffs entspricht im Wesentlichen dem Aufbrechen der zugrunde liegenden Kryptographie.
In einigen Kommentaren wird auch SNI erwähnt, aber auch ohne dieses würde der Server sein Zertifikat unverschlüsselt präsentieren, das normalerweise CN enthält.
MiaoHatola
2017-03-27 23:24:22 UTC
view on stackexchange narkive permalink

Die Antwort von Trey Blalock beschreibt genau, was Deep Packet Inspection (DPI) ist. Ich möchte jedoch drei Dinge hinzufügen, um hoffentlich Ihre spezifischen Fragen zu beantworten:

  1. Es gibt eine DPI-Technik, mit der Ihre Daten entschlüsselt, die als SSL-Interception bezeichnet wird Dies ist in Unternehmenssituationen häufiger der Fall und nur möglich, wenn der ISP (oder ein anderer Interceptor) ein Zertifikat auf Ihrem Computer installieren kann. Wenn der ISP dies nicht tun würde (Techniker usw.), ist dies wahrscheinlich vom Tisch.
  2. HTTPS würde verhindern, dass der ISP Daten lesen kann. Dies gilt natürlich nur für Dienste, die HTTPS verwenden (was leider nicht alle sind). Außerdem müssen Sie berücksichtigen, dass der ISP Metadaten lesen kann, unabhängig davon, ob die Verbindung verschlüsselt ist oder nicht.
  3. Ein VPN schützt Sie vor DPI, die vom ISP (nicht vom VPN-Anbieter) ausgeführt werden. Dies ist der Tatsache zu verdanken, dass VPNs einen verschlüsselten Tunnel verwenden, um Sie mit dem 'Exit Node' zu verbinden. Dadurch wird der gesamte Datenverkehr verschlüsselt, und in allen Metadaten werden Pakete angezeigt, die Ihren Computer verlassen und zum VPN-Server gehen (wodurch nicht der tatsächliche Server angezeigt wird, auf den Sie zugreifen).
    4. ol>
Beachten Sie, dass einige ISPs (z. B. die Deutsche Telekom) selbst als Zertifizierungsstellen anerkannt sind.
@JonasWielicki Großartiger Punkt.Das muss berücksichtigt werden!
Bei einem VPN kann es immer noch zu einem DNS-Leck kommen, das Ihrem ISP mitteilen kann, welche Domains Sie über dieses VPN besuchen.
@JonasWielicki, obwohl dies für sie aufgrund von EU-Gesetzen illegal wäre, denke ich?
@Tim Ich kenne diesbezüglich keine EU- (oder deutschen) Gesetze.Aber wenn man bedenkt, dass wir einen staatlich unterstützten "sicheren" E-Mail-Dienst haben, bei dem die MSPs angeblich "End-to-End" -E-Mails (nein, es sei denn, Sie zählen den MSP als "Ende") entschlüsseln dürfenIch bin mir nicht sicher, ob ich diesen Gesetzen vertrauen soll.
Die Verwendung von HTTPS verschlüsselt nur den Inhalt einer Seite, oder?Würde mein ISP unabhängig von DPI nicht wissen, dass ich diese bestimmte Website besuche?
@cppanonhelp666 Ja.Ich habe das am Ende des zweiten Punktes bemerkt.
@JonasWielicki Obwohl dies zutrifft, würde es nicht lange dauern, wenn sie ihren CA-Status für DPI verwenden würden.Ich glaube nicht, dass sie zwischen WoSign und Symantec (wenn auch in geringerem Maße) verschont bleiben würden, wenn sie Zertifikate zum Abfangen von SSL-Verbindungen generieren würden.
@Ginnungagap Richtig, die Überwachung von Zertifizierungsstellen wurde in letzter Zeit verbessert.
@JonasWielicki: Obwohl eine theoretische / technische Gefahr eines solchen Missbrauchs besteht, wäre dies in vielen Ländern illegal und würde einen Verstoß gegen die Richtlinien darstellen, die CAs befolgen müssen, um vom Browser als vertrauenswürdig eingestuft zu werden.In jedem nicht trivialen Maßstab (im Grunde alle nicht zielgerichteten Angriffe oder gezielten Angriffe versierter Benutzer) würde dies schnell abgefangen werden.
@emilhem Ich würde erwarten, dass der gesamte DNS-Verkehr (sicher) über die VPN-Verbindung übertragen wird.Ist das nicht der Fall?In jedem Fall muss das VPN irgendwo herauskommen und über einen (möglicherweise anderen) ISP eine Verbindung zum Netzwerk herstellen, sodass Sie das Problem an dieser Stelle wirklich nur an eine andere Stelle verschieben.
Punkt 1 kann mit HSTS gemildert / entlarvt werden, obwohl dies sowohl vom Browserhersteller als auch von der Site implementiert werden muss, obwohl dies nicht verhindern würde, dass die anfänglichen Header sichtbar werden.
RE Punkt 1, ich weiß, dass ich hier oder im Superuser mindestens eine Frage von einer Person gesehen habe, deren ISP sie gezwungen hat, in den letzten ein oder zwei Jahren manuell ein MITM-Zertifikat (IIRC zur Unterstützung des staatlichen Schnüffelns) zu installieren.
@jpaugh nicht immer.Dies hängt von der Art der VPN-Software und ihrer Version ab.Bei einer einfachen Suche nach "DNS-Leck [VPN-Software]" werden die Probleme in den verschiedenen VPN-Softwareprogrammen und die Abschwächung von DNS-Lecks angezeigt.
@emilhem Würde die Wartung eines lokalen DNS-Servers dies abschwächen, oder führt dies zu einer Reihe anderer Probleme?
@KennethK.könnte sein.Dies hängt davon ab, ob Ihr lokaler DNS-Server das VPN verwendet oder nicht.Tatsächlich könnte es schlimmer sein, dass das VPN nicht verwendet wird, da die eigentliche DNS-Suche von Ihrem Netzwerk und nicht von einem öffentlichen DNS-Server (wie Google DNS) stammt. Ihr ISP könnte jedoch transparente DNS-Lookups verwenden, sodass Sie möglicherweise trotzdem durcheinander geraten.Ich verwende https://dnsleaktest.com/, um zu überprüfen, ob ich ein Leck habe oder nicht.Ich benutze auch https://www.dnscrypt.org/
@Magisch Ich nehme an, dass (wie immer in rechtlichen Angelegenheiten) die Antwort "es kommt darauf an" lautet.Im Extremfall kann eine Deep Packet Inspection (und Manipulation) sogar rechtlich * durchsetzbar * sein, um z.ein Bundestrojaner ("Bundestrojaner").In anderen Fällen kann eine Deep Packet Inspection (und Manipulation) zum Entfernen von Malware * legal * sein
Einige von uns haben jahrelang darauf gewartet / erwartet / befürchtet, dass ISPs vertraglich von Kunden verlangen, dass sie ein ISP-Stammzertifikat im Stammzertifikatspeicher des Kunden ablegen.Oder gleichbedeutend damit das Vereinigte Königreich dies gesetzlich vorschreibt.Dies würde es dem ISP ermöglichen, den gesamten Datenverkehr zu vertreten und zu überprüfen.Apps wie Google Chrome würden ein solches Abfangen von Männern in der Mitte erkennen, können dies jedoch nicht verhindern.// Wifi in US-Inlandsflugzeugen tut dies normalerweise, ermöglicht jedoch häufig, dass der Google-Suchverkehr ungestört durchsucht wird, um Beschwerden zu reduzieren.// VPN und TOR helfen nur, wenn sie steganografisch sind.
MikeP
2017-03-28 04:23:39 UTC
view on stackexchange narkive permalink

Wie von Trey angegeben, kann DPI den gesamten Inhalt Ihres Netzwerkverkehrs anzeigen. Alles davon. Wenn es sich um einfachen Text handelt, sehen sie alles, was Sie tun.

So ergänzen Sie die Antwort von Miao:

Dinge, die DPI sehen kann, selbst wenn Sie HTTPS verwenden:

  • DNS-Informationen, z. https://catvideos.com/tigers - Sie sehen https://catvideos.com
  • IP-Adresskonnektivität. Selbst wenn Sie HTTPS mit Katzenvideos auf diese Site übertragen, können diese sehen, dass Sie eine Verbindung zu dieser Katzenvideosite hergestellt und 500 GB Daten heruntergeladen haben. Sie wissen nicht, welche Daten, aber sie kennen den DNS-Namen, die IP-Adresse und die Datenmenge für diese Site und für jede Site.
  • Anzeigen. Viele / die meisten Werbenetzwerke verwenden kein HTTPS, sodass Daten nicht immer verschlüsselt werden. Dies kann zu einer "gemischten Verschlüsselung" oder einer ähnlichen Warnung eines Browsers führen.
  • andere Daten: Viele Websites, die HTTPS für die Anmeldung verwenden, löschen dann die Verschlüsselung für alles andere.
  • Grafiken: Viele Websites verschlüsseln Dinge wie ihr Logo oder verschiedene Grafik- oder Videodateien nicht. Sie können Ihr Login und Ihre Suche verschlüsseln, jedoch keine Ergebnisse.
  • anderer Nicht-HTTPS-Verkehr wie UDP, Mail, SNMP, FTP, Telnet, Aktualisierungen einiger Software verwenden möglicherweise kein HTTPS usw.

Bei einem VPN werden sie verwendet wird immer noch 100% der Daten sehen. Abgesehen von der Verbindung zum VPN-Anbieter werden jedoch nur verschlüsselte Daten angezeigt. Sie werden wissen, dass Sie 800 GB von VPNco.com heruntergeladen haben, aber nichts von den darin enthaltenen Daten wissen. Sogar Dinge, die nicht über das Protokoll verschlüsselt sind, werden verschlüsselt, da eine niedrigere Ebene verschlüsselt. Jetzt sieht VPNco.com Ihre Daten.

Mit der (potenziellen) Änderung des US-Rechts in Bezug auf ISP und Datenschutz in Verbindung mit dem (potenziellen) Verlust der Netzneutralität können ISPs möglicherweise nicht nur 100% Ihrer Daten sehen, sondern diese auch ändern Diese Daten verlangsamen oder blockieren Websites, die sie möchten, und können möglicherweise alle Ihre Daten an Dritte verkaufen (wie Trey feststellt).

Ich gehe nicht auf MITM ein (wie Miao oben in Nr. 1 feststellt), da Sie ISP angegeben haben, gehe ich davon aus, dass Sie über ein Heimsystem und ein DSL- oder Kabelmodem sprechen.

https://stackoverflow.com/questions/499591/are-https-urls-encrypted

Letztendlich kommt es also darauf an, wem ein Benutzer vertraut, ISP oder dem VPN-Anbieter?Sagen Sie für VPNs mit Sitz in den USA, wenn sie angeben, dass sie keine Protokolle führen (wie PIA), dass die NSA (oder CIA) sie nicht zwingt, entweder Protokolle zu führen oder den Laden zu schließen?
@cppanonhelp666 Vertrauen Sie VPNs mit Sitz in den USA nicht, da die Regierung ihr Bestes tun wird, um diese Daten zu extrahieren.
Sie können "(potenzielle) Änderung" jetzt durch "Änderung" ersetzen.
Wem vertrauen Sie also mehr?ISP, VPN, CIA / NSA usw.?Ich habe das Gefühl, dass sie zumindest bei der CIA / NSA nach nationalen Sicherheitsproblemen suchen, ohne Netflix aus einer anderen Region anzusehen oder Katzenvideos herunterzuladen.Der ISP und derjenige, an den sie verkaufen, könnten an diesen Daten interessiert sein.YMMV.
Klaws
2017-04-03 12:25:36 UTC
view on stackexchange narkive permalink

Bei der Deep Packet Inspection kann der ISP die meisten VPN-Protokolle erkennen (nicht die in den VPN-Paketen verschlüsselten Daten, sondern nur den VPN-Verkehr) und blockieren. Einige Unternehmen tun dies, um sicherzustellen, dass sie den gesamten Datenverkehr entschlüsseln können (mit dem MITM-Angriff und gefälschten Zertifikaten, um DPI auch auf SSL zu haben). Die Idee ist, Sie zu zwingen, "unsichere" Kommunikationskanäle zu verwenden, indem Sie alles andere verhindern. Beachten Sie, dass diese "unsicheren" Kanäle aus Sicht des Unternehmens möglicherweise sicherer sind, da sie dort die Verhinderung von Datenlecks bewirken können.

In einem solchen Fall können nicht standardmäßige VPN-Techniken wie HTTP-Tunneling verwendet werden eine Option sein.

Beachten Sie, dass die Nutzungsbedingungen möglicherweise Maßnahmen zur Umgehung von DPI nicht zulassen.

Bearbeiten: Einige ISPs verwenden DPI für die Verkehrsformung. Sie protokollieren nicht alle übertragenen Daten, sondern prüfen (zum Beispiel) nur auf BitTorrent-Verkehr und weisen ihm eine niedrigere Priorität oder eine begrenzte Bandbreite zu. Jetzt stehlen sie nicht Ihr Passwort, sondern nur die Bandbreite, für die Sie bezahlen ...

mathreadler
2017-03-31 16:55:25 UTC
view on stackexchange narkive permalink

Wenn Sie Ihrem ISP nicht vertrauen, sollte Ihre erste Priorität nicht die Paketinspektion sein, sondern die Einrichtung eines vertrauenswürdigen zweiten Kommunikationskanals , für den Sie Informationen zur Umgehung austauschen können solche Dinge.

Solange Sie sich ausschließlich auf Ihren ISP als einzigen Kanal für den gesamten Informationsaustausch verlassen, können sie Ihnen technisch gesehen falsche Anmeldeinformationen an Ihr VPN senden, auch wenn sie dies nicht tun Alle Verschlüsselungs-Handshakes wurden versucht, da sie immer in der Mitte sind.

Sie könnten Mitarbeiter beschäftigen, die bestochen werden oder aus irgendeinem Grund gesetzlich dazu verpflichtet sind.

happyTroll
2017-04-02 22:48:48 UTC
view on stackexchange narkive permalink

Alles oben Genannte ist wahr. Noch ein Gedanke: Hat Ihr ISP Ihnen ein selbstsigniertes Stammzertifikat gegeben und befindet es sich in Ihrem Browser? In diesem Fall können sie Ihren HTTPS-Verkehr öffnen.

Dies wurde bereits im ersten Punkt von [MiaoHatolas Antwort] (https://security.stackexchange.com/a/155062/16960) behandelt.
usrbs
2020-06-01 21:35:16 UTC
view on stackexchange narkive permalink

Sie haben ein Hersteller-Sicherheitszertifikat auf Ihrem Computer installiert, andernfalls gab es keine solche Option, und jetzt stellt sich die Frage, wie dieser Test umgangen werden kann

Dies wird durch andere Antworten abgedeckt.Und von welchem "Test" sprichst du?


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...