Frage:
Mein College zwingt mich, das SSL-Zertifikat zu installieren. Wie schütze ich meine Privatsphäre?
svetaketu
2015-11-04 19:57:57 UTC
view on stackexchange narkive permalink

Meine College-Administration zwingt uns, das Cyberoam Firewall SSL-Zertifikat zu installieren, damit sie den gesamten verschlüsselten Datenverkehr anzeigen können, um "unsere Sicherheit zu verbessern". Wenn ich das Zertifikat nicht installiere, kann ich das Netzwerk nicht verwenden.

Wie kann ich in einer solchen Situation meine Privatsphäre schützen? Wird die Verwendung eines VPN ausreichen, um meinen gesamten Datenverkehr zu verbergen, oder gibt es andere Möglichkeiten?

Kommentare sind nicht für eine ausführliche Diskussion gedacht. Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/31128/discussion-on-question-by-svetaketu-my-college-is-forcing-me-to-install-their- ss).
Auch hier sind Kommentare nicht für den Chat. Ich habe alle Kommentare entfernt, die seit der ursprünglichen Migration zum Chat veröffentlicht wurden. Bitte gehen Sie zum Chat und kommentieren Sie dort zur Diskussion.
Übrigens gibt es auch Client-Zertifikate, mit denen sich ein Benutzer automatisch ohne Verwendung eines Kennworts bei einem Proxy oder Webdienst anmelden kann und die häufig mit SSL-Zertifikaten verwechselt werden. Client-Zertifikate beeinträchtigen den Datenschutz (außer Identifizierung und Authentifizierung) für zukünftigen Datenverkehr nicht. [Apache Docs] (https://httpd.apache.org/docs/2.2/ssl/ssl_howto.html#accesscontrol)
Eine einfache Möglichkeit, Ihren Computer nicht zu gefährden, das gefährdete Netzwerk zu verwenden und nicht viel Aufwand (wie die Installation einer VM): ** Installieren Sie einen einzelnen Browser, der seinen eigenen Zertifikatspeicher verwendet ** (nicht den Systemspeicher), und installieren Sie das Zertifikat nur in diesem Browser. Verwenden Sie diesen Browser nur für die Arbeit im gefährdeten Netzwerk, nicht für private oder Software-Downloads.
Wenn Sie das Zertifikat installieren (z. B. in einer VM) und Firefox verwenden, empfehlen wir Ihnen, [security.cert_pinning.enforcement_level] (https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning) in about: config festzulegen bis 2 (streng). Dies verhindert, dass sie das Fixieren öffentlicher Schlüssel umgehen (d. H. Verhindern, dass sie MITMing-Sites verwenden, die einen öffentlichen Schlüssel-Pin eingerichtet haben). Unter [Mozilla-Fehler 1168603] (https://bugzilla.mozilla.org/show_bug.cgi?id=1168603) finden Sie eine Erklärung, warum.
Welches College besuchst du?
@D.W.: Dadurch wird der Zugriff auf diese Websites verhindert, da das College alle Verbindungen, einschließlich der Verbindungen zu diesen Websites, mitmeldet.
Was bedeutet es, ein SSL-Zertifikat auf dem Gerät zu installieren?Ich weiß, dass nur das SSL-Zertifikat auf der Website installiert wird.Was bedeutet es, SSL-Zertifikate auf der Website zu installieren?
Herrgott, verklagen Sie sie?Ich bin mir nicht sicher.
Vierzehn antworten:
R.. GitHub STOP HELPING ICE
2015-11-04 23:15:19 UTC
view on stackexchange narkive permalink

Installieren Sie das Zertifikat nicht auf einer Geräte- / Betriebssysteminstallation, die Sie jemals für private Aktivitäten verwenden möchten. Sobald Sie dies tun, ist Ihr Datenverkehr MITM-Angriffen ausgesetzt, auch wenn Sie das Netzwerk Ihres Colleges nicht verwenden . Für einen solchen Angriff muss der private Schlüssel für das von Ihnen installierte Zertifikat vorhanden sein. In der Praxis ist dies jedoch recht einfach, da diese "Sicherheitsprodukte" so schlecht konzipiert sind und häufig entweder eine sehr schwache Schlüsselgenerierung oder einen festen privaten Schlüssel verwenden, für den derselbe gilt alle Bereitstellungen und für jeden ihrer Kunden verfügbar. In einem Kommentar, der inzwischen in den Chat verschoben wurde, schrieb TOOGAM:

Spezifisches Problem, das über das Zertifikat dieses bestimmten Anbieters bekannt ist "Es ist daher möglich, Datenverkehr von jedem Opfer von abzufangen ein Cyberoam-Gerät mit einem anderen Cyberoam-Gerät - oder um den Schlüssel aus dem Gerät zu extrahieren und in andere DPI-Geräte zu importieren "

Wenn Sie keine Ressourcen in ihrem Netzwerk benötigen, verwenden Sie einfach WLAN Tethering auf Ihrem Telefon oder besorgen Sie sich einen dedizierten 3G-USB-Dongle oder ähnliches für den Einsatz auf dem Campus. Wenn der Nicht-HTTP-Verkehr nicht dem MITM unterliegt, können Sie möglicherweise ein VPN verwenden, ohne das Zertifikat zu installieren. In diesem Fall erhalten Sie einfach einen günstigen VPN-Anbieter oder ein VPN für Ihr Heimnetzwerk, falls vorhanden.

Wenn Sie Zugriff auf Ressourcen benötigen, die nur über das Campus-Netzwerk verfügbar sind, installieren Sie ein anderes Betriebssystem in einem virtuellen Netzwerk Computer, auf dem die MITM-Zertifizierungsstelle nur in der VM installiert ist, und verwenden Sie den Browser in der VM, um auf diese Ressourcen zuzugreifen.

Kommentare sind nicht für eine ausführliche Diskussion gedacht. Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/31471/discussion-on-answer-by-r-my-college-is-forcing-me-to-install-their- ssl-certif).
Ist die Fähigkeit des Colleges, die Kommunikation (auf Geräten mit installiertem Zertifikat) zu überwachen, etwas Spezifisches für dieses SSL-Zertifikat oder etwas, das alle Zertifikatanbieter tun können? Z.B. Eduroam, das von vielen Hochschulen zur Verfügung gestellt wird?
@Winterflags: Jedes Mal, wenn Sie ein benutzerdefiniertes CA-Zertifikat installieren, weisen Sie Ihren Browser / Ihr System an, von dieser CA signierte Zertifikate so zu akzeptieren, als ob sie von einer der "echten" CAs signiert wären, denen standardmäßig vertraut wird. Jeder mit dem privaten Schlüssel für die benutzerdefinierte Zertifizierungsstelle kann gefälschte Zertifikate für jede Site ausstellen, und Ihr Browser akzeptiert diese wie die echten Zertifikate.
Soweit ich das beurteilen kann, hat Eduroam nichts mit benutzerdefinierten CA-Zertifikaten zu tun, sondern verwendet (als eine Option) * Client-Zertifikate * als Authentifizierungsmethode. Wenn Sie jedoch besorgt sind, wäre es eine gute Idee, eine neue Frage zu öffnen, was Eduroam tut, anstatt sie in den Kommentaren zu dieser Frage zu diskutieren.
reirab
2015-11-05 00:01:21 UTC
view on stackexchange narkive permalink

Ein VPN ist sicherlich eine gute Lösung, vorausgesetzt, sie blockieren dies auch nicht.

Die beste Lösung zum Schutz Ihrer Privatsphäre besteht jedoch wahrscheinlich darin, Ihr Bestes zu geben, um diese Richtlinie aufzuheben. Dies ist eine absolut abscheuliche Sicherheitsrichtlinie. Es ist buchstäblich ein eingebauter Man-in-the-Middle-Angriff gegen alle auf dem Campus. Wenn die Firewall kompromittiert wird, kann der Angreifer alles abfangen, was jemand auf dem Campus über das Internet gesendet hat, einschließlich Passwörtern, Kreditkartennummern usw.

Es stellt sich heraus, dass diese Geräte noch schlechter sind, als sie zuerst geklungen haben . Wie TOOGAM in einem Kommentar betonte, stellten die Mitarbeiter des Tor-Projekts fest, dass zumindest ab 2012 alle diese Geräte dasselbe CA-Zertifikat verwendeten! Dies bedeutet, dass Jeder , der Zugriff auf eines dieser Deep Packet Inspection-Geräte von Cyberoam oder ein von einem dieser Geräte exportiertes CA-Zertifikat hat, kann Datenverkehr von jedem abfangen, auf dem dieses Stammzertifizierungsstellenzertifikat installiert ist. Selbst wenn dies in den letzten 3 Jahren behoben wurde, wirft dies extreme Zweifel an der Kompetenz der Hersteller dieses Geräts auf, es zu sichern. Dies ist umso mehr der Grund, warum Sie dieses Zertifikat definitiv nicht installieren sollten und so viel Unterstützung für das Entfernen dieses Geräts von Ihrem Campus wie möglich in Anspruch nehmen sollten.

Darüber hinaus, wie bereits erwähnt Kommentare, die inzwischen bereinigt wurden. Die Verwendung dieses Geräts verstößt gegen die Nutzungsbedingungen fast aller Websites auf dem Planeten, da Ihre Anmeldeinformationen an Dritte (das College) weitergegeben werden. Dies bedeutet, dass Sie diese Richtlinien und nicht legal einhalten können die ToS von fast jeder Website.

Wenn dies ein öffentliches College in den USA wäre und dieses Gerät nicht sofort entfernt würde, würde ich für eine Sicherheitslücke dieser Größenordnung dringend in Betracht ziehen, meine lokale FBI Cyber ​​Task Force zu kontaktieren, wer sollte sei bereit, dem College ein sehr strenges Gespräch zu geben. Sie nehmen solche Dinge sehr ernst und aus gutem Grund.

+1 für "Wenn die Firewall kompromittiert wird, kann der Angreifer alles abfangen, was jemand auf dem Campus über das Internet gesendet hat"! Dieses College muss wirklich ändern, was sie tun!
Interessanter Punkt zu den AGB-Verstößen. Ihre Rechtsverteidigung würde argumentieren, dass das Passwort nicht an Dritte weitergegeben wird, da die gesamte Entschlüsselung und Neuverschlüsselung im Gerät erfolgt, solange diese bestimmten Daten nicht gespeichert werden. Die Nutzungsbedingungen der Universität sind wahrscheinlich so geschrieben, dass der Endbenutzer die gesamte Verantwortung für die Nutzung des Netzwerks übernimmt, einschließlich der Verstöße gegen die Nutzungsbedingungen von Drittanbietern. Für die Aufzeichnung gibt es andere Marken von SSL-Inspektoren, die nicht die Schwachstelle haben, für alle Geräte dasselbe Zertifikat zu verwenden.
@GuitarPicker Ich bin damit einverstanden, dass die Haftung für Verstöße gegen andere Nutzungsbedingungen beim Benutzer liegt. Deshalb habe ich gesagt, dass Sie die Nutzungsbedingungen des Colleges und fast alle Nutzungsbedingungen einer Website nicht legal einhalten können (was bedeutet, dass Sie entweder gegen eine dieser Nutzungsbedingungen verstoßen oder deren Internetverbindung Für Sie sowieso ziemlich wertlos.) Und ja, ich bin sicher, dass es andere Hersteller gibt, die hoffentlich nicht für alle ihre Geräte dasselbe Zertifikat verwenden. Jeder von ihnen zerstört jedoch, wenn er in irgendeiner Weise kompromittiert wird, die Vertraulichkeit der Daten für alle im Netzwerk, unabhängig vom Hersteller.
@BlacklightShining: Sie können versuchen, das FBI in irgendetwas einzubeziehen, ob es ihnen wichtig genug ist, etwas zu tun, das ist eine andere Geschichte.
@whatsisname Stimmt, aber die FBI-Spezialagenten, mit denen ich in der CTF hier gesprochen habe, nehmen große Sicherheitslücken in großen Institutionen (sowohl öffentlichen als auch privaten) ziemlich ernst, da sie (zu Recht IMO) sie als ernsthafte Bedrohung für die nationale Bevölkerung betrachten Sicherheit. Viele [APTs] (https://en.wikipedia.org/wiki/Advanced_persistent_threat) verwenden kompromittierte inländische Systeme, um ihre ausgefeilteren Angriffe durchzuführen, da diese normalerweise von Intrusion Detection-Systemen weniger überprüft werden, insbesondere wenn das kompromittierte System gehört zu einer großen, seriösen Organisation.
Haben Sie eine Quelle dafür, wie dies dazu führen würde, dass Sie gegen die Nutzungsbedingungen einer Website eines Drittanbieters verstoßen (z. B. ein Beispiel einer typischen Nutzungsbedingungen)? Aus rechtlicher Sicht ist es schwer vorstellbar, wie der Endbenutzer in diesem Zusammenhang als haftbar angesehen werden könnte. Sie haben lediglich eine Internetverbindung verwendet, von der sie jemals annehmen konnten, dass sie vor einem solchen Verstoß sicher ist.
@JonBentley: Sie haben nicht "allen Grund anzunehmen, dass sie sicher sind"; im Gegenteil. Sie installieren explizit eine Hintertür, zu deren Installation jemand anderes sie angewiesen hat.
@R Ich bin völlig anderer Meinung. Sie und ich haben aufgrund der Tatsache, dass wir auf dieser Website sind, eine statistisch hohe Chance, dies zu realisieren. Es ist unwahrscheinlich, dass der durchschnittliche Benutzer, der von seiner Universität angewiesen wird, Software zu installieren, bevor er auf das Netzwerk zugreifen kann, die Sicherheitsfolgen nur vage versteht. Im Gegenteil, die wahrscheinlichste Antwort ist das Vertrauen, dass die Universität weiß, was sie tut.
@JonBentley Ich würde annehmen, dass das College zumindest klargestellt hat, dass sie den verschlüsselten Verkehr ausspionieren. Wenn sie dies nicht klarstellen würden, würde wahrscheinlich eine vernünftige Erwartung der Privatsphäre bestehen, die dem College eine völlig neue Dose Würmer in Bezug auf die rechtliche Haftung (zumindest zivil- und möglicherweise strafrechtlich) eröffnet. Ich werde es versuchen morgen in einigen AGB-Auszügen bearbeiten. In einem kurzen Beispiel heißt es in den Nutzungsbedingungen von StackExchange, dass der Benutzer StackExchange von jeglicher Haftung freistellt, die sich aus dem Benutzer oder anderen Personen ergibt, die sein Konto verwenden.
@JonBentley Ich denke, alles, was Reirab zu sagen versucht, ist, dass viele Websites verlangen, dass Sie Ihre Anmeldeinformationen in ihren Nutzungsbedingungen sicher aufbewahren, und die Anforderungen des Colleges verstoßen ausdrücklich dagegen. Ob Sie oder das College dafür verantwortlich gemacht werden, ist nicht der Punkt; Der Punkt ist, dass Sie nicht beide Richtlinien befolgen können und dass es ein großes Durcheinander sein wird, wenn Ihre Konten dadurch kompromittiert werden.
Thomas Pornin
2015-11-04 20:59:00 UTC
view on stackexchange narkive permalink

Ihr College bietet unter bestimmten Bedingungen den Dienst "Netzwerkverbindung" an. Eine davon ist die Möglichkeit für die Systemadministratoren des Colleges, den gesamten Datenverkehr zu überprüfen. Während es verlockend ist, die Neugier solcher Systemadministratoren mit einem technischen Gimmick (z. B. einem VPN, wie in einer anderen Antwort vorgeschlagen) zu besiegen, wäre dies ein expliziter Versuch, die "Sicherheitssysteme" des College-Netzwerks zu besiegen, und dies kann Sie landen in einem riesigen Haufen Ärger. Die klügste Vorgehensweise wäre dann, dies nicht zu tun und stattdessen Ihr eigenes Internet zu verwenden (z. B. über Ihr persönliches Telefon).

Kommentare sind nicht für eine ausführliche Diskussion gedacht. Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/31116/discussion-on-answer-by-thomas-pornin-my-college-is-forcing-me-to-install- ihr).
Was macht es zu einem "Gimmick"?
@PaulDraper "Workaround" wäre hier ein Synonym.
Wenn die Bedingungen die Verwendung eines VPN nicht verbieten, brechen Sie sie wahrscheinlich nicht. Die Sicherheitssysteme sind wahrscheinlich dort, so dass, wenn Strafverfolgungsbehörden wissen wollen, wer eine bestimmte Seite oder Site besucht, sie gefunden werden können. Wenn Sie über ein VPN gehen würden, würden die Strafverfolgungsbehörden nicht an der Universitätsverbindung landen, sondern überall dort, wo Ihr VPN endet, was bedeutet, dass die Universität nichts tun müsste.
@MatthewSteeples Es sei denn, der VPN-Anbieter hat ihnen mitgeteilt, dass die Verbindung von der Universität stammt.
@immibis Der VPN-Anbieter müsste dies jedoch nicht. Wenn die Strafverfolgung zu einem VPN-Anbieter geht und fragt, wer diese IP-Adresse verwendet hat, haben sie bereits die Benutzerdaten, da sie einen Benutzernamen und ein Passwort verwendet haben. Sie lenken nicht die Verantwortung ab, die Person gegenüber einer anderen Person zu identifizieren. Wenn Sie von Strafverfolgungsbehörden wegen etwas verfolgt werden, ist ein Verstoß gegen die Universitätsbestimmungen wahrscheinlich ganz unten auf Ihrer Liste!
@MatthewSteeples Ein Benutzername reicht im Allgemeinen nicht aus, um jemanden zu identifizieren. (Manchmal ist es so)
@immibis Stimmt, aber ich gehe davon aus, dass der VPN-Anbieter nicht kostenlos ist und daher mehr über Sie als nur Ihren Benutzernamen weiß. Zugegeben, Sie hätten gestohlene Kartendetails, Vorauszahlungskreditkarten oder was auch immer verwenden können, aber ich gehe dies nicht unter dem Gesichtspunkt an, wie man mit etwas davonkommt, sondern nur, um zu veranschaulichen, dass die Universität dies möglicherweise nur tut, um ihre eigenen zu decken Rückseiten
Mark Buffalo
2015-11-04 20:24:52 UTC
view on stackexchange narkive permalink

Verwenden Sie ihr Netzwerk nicht für persönliche Zwecke. Dies ist der beste Weg, um Ihre Privatsphäre vor ihnen zu schützen.

Wenn Sie keine Wahl haben, verwenden Sie eine virtuelle Maschine und installieren Sie das Zertifikat auf der virtuellen Maschine anstelle Ihrer Hauptmaschine. Möglicherweise können Sie Ihre Privatsphäre schützen.

Ich persönlich habe für diese Art von Problemen immer einen separaten Computer verwendet. Auf keinen Fall würde ich einem Unternehmen / einer Bildungseinrichtung erlauben, irgendetwas auf meiner eigenen Ausrüstung zu installieren, es sei denn, ich hätte vor, es später aus dem Orbit zu entfernen .

+1, obwohl "Nutze ihr Netzwerk überhaupt nicht so weit, wie du es vermeiden kannst", könnte ein noch besserer Rat sein.
Das ist ein schlechter Rat. Sobald Sie das Zertifikat installiert haben, sind Sie anfällig, auch wenn Sie das Netzwerk nicht verwenden. Die meisten dieser MITM-Produkte verwenden überall denselben privaten Schlüssel oder die Generierung schwacher Schlüssel. Dies bedeutet, dass ein Angreifer in einem Netzwerk eines Drittanbieters, mit dem Sie eine Verbindung herstellen, Sie möglicherweise auch mit der Tatsache unterstützt, dass Ihr Browser dem böswilligen CA-Zertifikat Ihres Colleges vertraut .
Dies ist für Studenten, die auf dem Campus leben, nicht wirklich machbar.
Verwenden Sie ein SSH-basiertes VPN, stellen Sie zum ersten Mal eine Verbindung zu einem anderen Netzwerk her und richten Sie eine Schlüsselauthentifizierung ein. Sie können das nicht brechen.
+1 Million für die Idee der virtuellen Maschine. Installieren Sie das Zertifikat dort, verwenden Sie es nur für Schularbeiten und niemals! Mach etwas Sensibles darin. Sie können den gleichen Trick auch (nicht stattdessen) für vertrauliche Aktivitäten (wie Bankgeschäfte) ausführen: Sie haben eine VM nur für sichere Zwecke und starten sie nur außerhalb des Campus und mit einem VPN.
@MarkHulkalo - Unter welchen Umständen würde ihn das VPN nicht schützen, wenn er sein SSL-Zertifikat nie auf seinem Computer installiert hätte?
@Johnny, zu diesem Zeitpunkt ging ich davon aus, dass er sich für die Installation entschieden hat, aber auch ein VPN verwendet.
@R .., Michelle - beleidigende Ratschläge wurden entfernt.
Die Verwendung einer VM dafür ist ziemlich übertrieben. Sie können ein separates Firefox-Konto erstellen und das MITMing-Zertifikat nur dort installieren. Ich würde ein spezielles Thema hinzufügen, um die Sitzung leicht zu erkennen: Sie möchten sich mit diesem Firefox-Konto nicht bei einem externen Remote-Konto anmelden (oder persönliche Dinge erledigen) (aber Sie können das College-Konto von dort aus verwenden).
Ich bin nicht der Meinung, dass es übertrieben ist. Selbst mit einem Thema möchte ich nicht versehentlich die falsche Installation verwenden. Außerdem schützt es Sie vor den meisten webbasierten Malware.
@ysdx Anstatt nur ein anderes Browserprofil und -thema zu verwenden, würde ich empfehlen, alle zusammen einen anderen Browser zu verwenden, um eine stärkere Differenzierung zu erzielen und die Verwendung des falschen Browsers versehentlich zu erschweren. Wenn Sie sich nicht stark für einen Browser gegenüber dem anderen engagieren, funktioniert FF anstelle von Chrome (oder umgekehrt). In diesem Fall stehen beiden Browsern mehrere Gabeln zur Verfügung.
@Mark: Nun, ich habe über ein Thema wie dieses nachgedacht: https://addons.mozilla.org/fr/firefox/addon/danger/ oder vielleicht dieses https://addons.mozilla.org/fr/firefox/addon/virus -Warnung/
abligh
2015-11-05 02:15:41 UTC
view on stackexchange narkive permalink

Wenn ssh nicht herausgefiltert wird, können Sie mit ssh einen SOCKS-Proxy erstellen, der über einen ssh -Tunnel ausgeführt wird. Sie müssen keine Software installieren, damit dies funktioniert. Sie benötigen keine VPN-Software. Folgendes funktioniert auf einem Linux-Computer oder einem Mac (und kann möglicherweise unter Windows ausgeführt werden):

  • Holen Sie sich ein Shell-Konto (oder eine VM, aber das ist übertrieben) irgendwo

  • Überprüfen Sie, ob Sie sich mit ssh von außerhalb Ihrer Institution anmelden können, und akzeptieren Sie den Host-Schlüssel (außerhalb der Institution, um dies sicherzustellen Sie sind nicht MTiM'ing ssh - unwahrscheinlich)

  • In einem Terminal ssh -D 8080 -N Benutzername@host.name. hier (beachten Sie, dass dies zu hängen scheint)

  • Verwenden Sie jetzt 127.0.0.1:8080 als SOCKS-Proxy

Sobald dies funktioniert, können Sie (optional) autossh anstelle von ssh verwenden, um den Tunnel aufrechtzuerhalten - wahrscheinlich auch müssen das installieren.

Nicht getestete Windows-Anweisungen (PuTTY muss heruntergeladen werden) hier.

Der Grund, warum dies funktioniert, ist, dass Ihr HTTPS-Verkehr nicht mehr fließt über Port 443. Es fließt (neu verschlüsselt) über Port 22. Unter der Annahme, dass sie nicht inter sind Akzeptieren des ssh -Protokolls. Und wenn ja, können Sie sagen. Ihr Datenverkehr sieht aus wie ssh -Verkehr (da es sich um ssh -Verkehr handelt) - obwohl eine detaillierte Verkehrsanalyse möglicherweise darauf hindeutet, dass es sich bei ssh-Datenverkehr um Proxy-Webanforderungen handelt. Es ist daher nicht sofort als VPN-Verkehr erkennbar. Darüber hinaus blockiert Ihr College wahrscheinlich nicht den ssh -Verkehr, wie er von CS-Studenten verwendet wird.

Eine alternative Route wäre, sich an Ihr Mobiltelefon zu binden und einen Datentarif zu verwenden .

Ich würde den Befehl in "ssh -f -D 8080 -N Benutzername@host.example.com" ändern. Das `-f` setzt es so in den Hintergrund, dass der Befehl nicht hängen bleibt.
"Unter der Annahme, dass sie das SSH-Protokoll nicht abfangen. Und wenn ja, können Sie es erkennen." - Können Sie erklären, wie Sie feststellen können, ob sie eine MiTM im SSH-Verkehr durchführen?
@Floris Es ist durchaus möglich zu wissen, ob sie SSH abfangen, aber Sie müssen den Fingerabdruck des Serverschlüssels kennen, * bevor * Sie versuchen, eine Verbindung über das gefährdete Netzwerk herzustellen. Dies wird als "Vertrauen bei der ersten Verwendung" bezeichnet, und SSH speichert den Fingerabdruck des Schlüssels, der beim ersten Herstellen einer Verbindung zu einem Server angezeigt wird (dies kann natürlich deaktiviert werden). Wenn sich der Fingerabdruck bei nachfolgenden Verbindungen ändert, wird [ein sehr unangenehmer Hinweis] gedruckt (http://stackoverflow.com/q/20840012/1830736).
@thirtythreeforty ah ja - ich habe diesen Hinweis gesehen ... Lässt Sie auf jeden Fall aufstehen und aufpassen. Der Trick besteht also darin, diese Verbindung zuerst herzustellen, wenn keine Möglichkeit eines MiTM-Angriffs besteht, und dann Warnungen nicht blind zu verwerfen. Danke für die Klarstellung!
njzk2
2015-11-05 02:06:53 UTC
view on stackexchange narkive permalink

Lesen Sie die T&Cs.

Überprüfen Sie, ob Sie ein VPN verwenden dürfen (einige Protokolle sind möglicherweise verboten, VPNs möglicherweise auch).

Wenn ja, verwenden Sie a VPN, und stellen Sie niemals eine direkte Verbindung zu einer Site über deren Netzwerk her. (Es sei denn, Sie verwenden das Anheften von Zertifikaten, aber dann schlägt die Verbindung wahrscheinlich fehl, da das Zertifikat nicht übereinstimmt.) Präzise Routing-Tabellen können Ihnen dabei helfen. Möglicherweise müssen Sie das Zertifikat nicht einmal installieren (möglicherweise müssen Sie es installieren, um sich bei einer Verbindung mit dem Netzwerk bei etwas anzumelden).

Wenn ja nicht erlaubt, na ja ...

  • Installieren Sie das Zertifikat nicht auf einem Computer, den Sie für persönliche Zwecke verwenden. Verwenden Sie einen anderen Computer oder eine VM. Machen Sie niemals etwas Persönliches auf diesem Computer / dieser VM.
  • Sprechen Sie mit Kommilitonen darüber. Machen Sie Sie auf dieses Problem aufmerksam.
  • Bringen Sie die Angelegenheit zu der zuständigen Behörde. Fragen Sie unter http://law.stackexchange.com nach, ob Sie dagegen protestieren können.

Tun Sie nichts gegen die T&Cs. Dies ist der beste Weg, um einfach aus dem Netzwerk verbannt zu werden, oder noch schlimmer.

tylerl
2015-11-05 12:43:18 UTC
view on stackexchange narkive permalink

Verwenden Sie das Netzwerk nicht.

Das ist so ziemlich Ihre einzige Option. Jeder Versuch, ihre "Sicherheits" -Maßnahmen zu umgehen, wird höchstwahrscheinlich als "unbefugter Zugriff" im Rahmen der CFAA (unter der Annahme der US-Gerichtsbarkeit) angesehen und könnte zu vielen, vielen Jahren Gefängnis führen.

Sie könnten versuchen, sie zu übernehmen Gericht, aber Ihre Chancen sind ziemlich gering. Öffentliche und private Einrichtungen führen diese Art der Netzwerküberwachung und -überwachung seit vielen Jahren durch, ohne gegen das Gesetz zu verstoßen.

Ich glaube nicht, dass Sie wegen der Nutzung des VPN- oder SSH-Tunnels in den USA ins Gefängnis gehen werden.In einigen anderen Ländern (z. B. VAE) vielleicht.
Steffen Ullrich
2015-11-04 21:54:31 UTC
view on stackexchange narkive permalink

zwingt uns, das Cyberoam Firewall SSL-Zertifikat zu installieren, damit sie den gesamten verschlüsselten Datenverkehr anzeigen können, um "unsere Sicherheit zu verbessern".

Malware wird also auch über HTTPS gesendet Es ist wahrscheinlich wirklich ihre Absicht, die Sicherheit durch Analyse des verschlüsselten Datenverkehrs auf Malware zu verbessern. Wenn sie nur den Zugriff auf einige Websites blockieren möchten, können sie dies wahrscheinlich ohne SSL-Abfangen tun.

SSL-Abfangen ist in Unternehmen aus genau demselben Grund sehr verbreitet, dh um das Unternehmen vor Malware zu schützen. P. >

Wird die Verwendung eines VPN ausreichen, um meinen gesamten Datenverkehr zu verbergen, oder gibt es andere Möglichkeiten?

Dies hängt von der Netzwerkkonfiguration ab. Wenn sie klug genug sind, blockieren sie die Verwendung von VPN usw. Und ich würde mir vorstellen, dass sie die Umgehung der Firewall mit solchen Technologien ausdrücklich verbieten, da dies bedeutet, den Schutz zu umgehen und das Netzwerk weniger sicher zu machen. Erwarten Sie daher, dass Sie die Netzwerkverbindung verlieren, wenn Sie ein VPN verwenden.

Wenn ich das Zertifikat nicht installiere, kann ich das Netzwerk nicht verwenden.

Wenn Sie Eigentümer des Netzwerks sind, gibt es genügend Möglichkeiten, den Computer anzugreifen oder in die Privatsphäre der Benutzer einzudringen, auch ohne SSL-Interception. Wenn Sie ihnen nicht vertrauen, verwenden Sie ihr Netzwerk nicht, unabhängig davon, ob sie SSL-Interception verwenden oder nicht.

Malware wird nicht nur über HTTPS gesendet, einige von ihnen verwenden SSL, um nach Hause zu telefonieren.
Wenn die Universität nicht auch die Computer bereitstellt, ist der Vergleich mit dem, was ein Unternehmen mit seiner eigenen Ausrüstung macht, ein Vergleich zwischen Äpfeln und Orangen - es sei denn, Sie haben Beispiele für ein Unternehmen, das ein Zertifikat auf einem PC installiert?
Ich denke, es ist wahrscheinlicher, dass sie Inhaltsfilter verwenden, um "verbotene" Inhalte wie Raubkopien, Musik und Software zu stoppen, als Malware zu stoppen. Wenn sie Malware stoppen möchten, können sie einfach ein kostenloses Antivirenprogramm anbieten, mit dem Benutzer auch dann geschützt werden können, wenn sie sich nicht im College-Netzwerk befinden.
@user2813274 Möglicherweise stellt die Universität Computer zur Verfügung, * aber * ermöglicht es den Studenten, ihre persönlichen Geräte zu verwenden (als "Bonusfunktion", die sie nicht bereitstellen müssen). In diesem Fall sollte der Fragesteller, wenn er nicht möchte, dass die Richtlinien des Universitätsnetzwerks auf sein persönliches Gerät angewendet werden, sein persönliches Gerät einfach nicht mit dem Universitätsnetzwerk verbinden und stattdessen die bereitgestellten Computer verwenden.
Eine @Johnny:-Filterung, auf die Hosts zugreifen können, kann häufig bereits ohne SSL-Abfangen durchgeführt werden. Und das ist ein großer Unterschied zwischen dem Angebot eines kostenlosen Antivirenprogramms und der Sicherstellung, dass jeder es verwendet. Abgesehen davon verfügen viele der heutigen Antivirenprogramme über eine eigene SSL-Überwachung.
"und das Netzwerk weniger sicher machen" - weniger sicher für die Person, die das VPN verwendet. Alle anderen sind ungefähr gleichermaßen gefährdet, unabhängig davon, ob einige VPNs verwenden oder nicht, da es den Menschen völlig frei steht, sich zu Hause oder in einem Café anzustecken und dann ihr gefährdetes Gerät an das Netzwerk anzuschließen.
Justin Beale
2015-11-04 22:23:08 UTC
view on stackexchange narkive permalink

Wie können sie überprüfen, ob Sie ihr SSL-Zertifikat installiert haben oder nicht? Führen sie auch Software auf Ihrem lokalen Computer aus? Andernfalls würde ich denken, dass die nachteiligen Auswirkungen nur darin bestehen, dass Sie sich mit vielen Zertifikatfehlern auf Ihrer Seite auseinandersetzen müssen.

Was ich tun würde, wenn ich Sie wäre, ist entweder Dual-Boot oder Virtualisierung. Haben Sie Ihr unsicheres Betriebssystem, in dem Sie alle "Sicherheitstools" und Zertifikate installieren und (und verwenden Sie nichts, was niemand sehen soll), und gehen Sie dann zurück, wenn Sie Datenschutz wünschen zu Ihrem sicheren Betriebssystem. Wenn Sie auf dem Campus leben und so gut wie immer das Netzwerk verwenden, muss Ihr sicheres Betriebssystem standardmäßig ein VPN verwenden, das die Anforderungen umgehen sollte. Es gibt Möglichkeiten, wie sie das bemerken können, aber Sie können ihnen immer sagen, dass Sie einen Job oder etwas haben und es für die Arbeit brauchen, und sie könnten Ihnen glauben und Sie in Ruhe lassen.

Alternativ würde ich sagen, holen Sie sich einen zellularer Hotspot. Aber ich weiß, dass ich mir im College nicht die Art von Datenplan leisten konnte, die ich brauchen würde.

Wenn es genauso funktioniert wie das Bluecoat-Überwachungssystem, das mein Arbeitgeber verwendet; Ohne das installierte Zertifikat können Sie nicht auf HTTPS-Sites zugreifen, die nicht auf der weißen Liste stehen. Es ist lange genug her, seit ich das letzte Mal ein neues Zertifikat laden musste, an das ich mich nicht erinnere, ob der Fehlermodus BC war, der die ausgehende Anforderung blockierte oder den Handshake MITMing abfing und ein durch das BC-Zertifikat geschütztes Ergebnis anstelle des zurückgab Sites normales Zertifikat und Auslösen des ungültigen Zertifizierungsfehlers im Browser.
"Die nachteiligen Auswirkungen wären nur, dass Sie sich mit vielen Zertifikatfehlern befassen müssen." - Nun ja, Sie würden für * jede einzelne Website * auf einen Zertifikatfehler stoßen, und das Umgehen der Zertifikatfehler hat den gleichen Effekt wie das Installieren des Zertifikats.
Zertifizierungsfehler sind der minimale Aufwand. Wenn sie das Gerät so konfigurieren, dass alle nicht konformen SSLs blockiert werden, funktionieren keine SSL-Sites. Wenn sie noch weiter gehen und den gesamten Webverkehr über SSL zum Proxy benötigen, kann möglicherweise der gesamte Webverkehr blockiert werden. Wenn Sie das Gateway verwenden möchten, müssen Sie grundsätzlich die Regeln befolgen.
sixtyfootersdude
2015-11-05 00:22:36 UTC
view on stackexchange narkive permalink

Vorgeschlagene Lösung: Verwenden Sie eine virtuelle Maschine mit installiertem Zertifikat, wenn Sie deren Netzwerk verwenden möchten. Auf diese Weise wird Ihnen sehr klar, wann Sie ihr Netzwerk verwenden und wann nicht. Sie können die VM auch verwerfen, wenn Sie ihr Netzwerk nicht mehr verwenden müssen.

Dies schützt ihn / sie nicht davor, dass sein E-Mail-Passwort oder seine Bankdaten oder seine privaten Gespräche oder oder oder oder ...
@J.J - Das stimmt, es verhindert jedoch, dass er versehentlich auf seine E-Mail / Bank / privateInfo zugreift, während er mit seinem Netzwerk verbunden ist. Es ist ein sehr klarer UX-Trigger, der den Benutzer daran erinnert, nicht auf private Daten zuzugreifen.
bain
2015-11-09 19:05:36 UTC
view on stackexchange narkive permalink

Umgehen Sie die Firewall nicht. Einige andere Antworten haben bereits die technischen Optionen behandelt, dies ist jedoch nicht ratsam. Alle Filterprodukte, die ich gesehen habe, blockieren entweder die Umgehung oder lassen sie zu, benachrichtigen jedoch eine Administrator, der Sie in Schwierigkeiten bringt. Es mag wie ein kluger Hack erscheinen, etwas zu tun, was Sie nicht tun dürfen, aber die Behörden werden auf Sie stampfen - entweder indem sie Sie aus dem Netzwerk verbannen, was Ihr Studium erschwert, oder Sie vom College ausschließen. In jedem Fall ist die potenzielle Auswirkung auf Ihr langfristiges Leben nicht den kurzfristigen Gewinn einer ungefilterten Internetverbindung am College wert.

Die einzige echte technische Option besteht darin, Ihre eigene Internetverbindung über ein 3G zu verwenden mobile oder ähnliche Technologie. Sie können einen lokalen Proxy installieren und Ihre HTTPS-Verbindungen über die 3G-Verbindung und alles andere über das College-Netzwerk weiterleiten.

Das Abfangen von SSL durch Internetfilter in Bildungseinrichtungen ist eine weit verbreitete Praxis. Wenn Sie dagegen Stellung nehmen möchten, prüfen Sie Ihre rechtlichen Möglichkeiten. In vielen Ländern verstößt das Abfangen privater Kommunikationen ohne Zustimmung beider Parteien gegen das Abhörgesetz. Selbst wenn das Argument besagt, dass Sie dem Abfangen durch die Installation des SSL-Zertifikats absichtlich zugestimmt haben, ist dies auf der Remote-Website sicherlich nicht der Fall. Soweit ich weiß, hat noch kein Student das Abfangen von SSL auf dieser Grundlage in Frage gestellt, aber jemand muss der Erste sein. Ich wurde einmal von leitenden Angestellten einer Filterfirma darüber informiert, dass das Abfangen von SSL nicht illegal ist, sondern dass ihr Kunde gegen das Gesetz verstößt. Sie müssen es als Option anbieten, sonst verlieren sie Umsatz.

Die Sicherheit dieser Internetfilter / Firewalls ist oft erschreckend schlecht:

  • Einige verwenden für alle Kunden dasselbe SSL-Zertifikat. Trivial mit Administrator- oder physischem Zugriff zu extrahieren. Wenn eine Firewall gefährdet ist, ist jede Firewall gefährdet.

  • Verwendung alter Software mit bekannten Sicherheitslücken. Ich kenne einen kommerziellen Anbieter mit einer aktuellen Produktlinie, die auf 2004 veröffentlichter Software basiert. Wenn Sie Benutzerzugriff erhalten können, ist der Root-Zugriff trivial.

  • Unsicherer Remotezugriff. Support-Teams verwenden normalerweise für alle Kunden dasselbe Installations- und Remote-Wartungskennwort. Ein Angreifer, der dieses Kennwort kennt, kann remote auf jedes Kundensystem zugreifen.

  • Es gibt eine "weiße Liste" von Sites, auf denen kein SSL-Abfangen durchgeführt werden soll (z. B. Major) Banken). Wenn Sie jedoch Zugriff auf das System haben, ist es trivial, die Software so zu ändern, dass die weiße Liste ignoriert oder gelöscht wird.

  • Ich kenne mindestens einen Fall, in dem ein externer Angreifer verwaltet hat um Zugriff auf den Entwicklungsserver zu erhalten, der den Quellcode für ein wichtiges Firewall-Produkt enthält. Der leitende Entwickler sagte mir: "Wir haben keine Ahnung, wie weit sie im internen Netzwerk gekommen sind oder was sie getan haben, als sie in waren."

Die Nachricht zum Mitnehmen lautet, dass diese Geräte für einen bestimmten Hacker sehr anfällig sind. Sobald der Zugriff erfolgt ist, können sie trivial jedes Kennwort jeder SSL-Verbindung von Hunderttausenden von Benutzern abfangen. Ich bin überrascht, dass wir noch nichts über diese Art von Angriff gehört haben, aber vielleicht schon, und die Hacker sind zu beschäftigt, Bankkonten zu leeren, um damit zu prahlen. Das öffentliche Wissen über einen solchen Angriff wäre für jeden Firewall- / Filteranbieter äußerst schädlich und würde alles tun, um ihn zu vertuschen.

Update Dezember 2015 : Hintertüren in der Juniper-Firewall gefunden, seit 2012 vorhanden.

"Der leitende Entwickler sagte mir:" Wir haben keine Ahnung, wie weit sie im internen Netzwerk gekommen sind oder was sie getan haben, als sie in dem Netzwerk waren. "
@immibis _ "Wir" _ wie in _ "der Firma" _, nicht _ "ich persönlich" _
ThoriumBR
2015-11-04 20:46:46 UTC
view on stackexchange narkive permalink

Sie können ihr Zertifikat verwenden und darüber hinaus ein VPN verwenden.

Sie können eine benutzerdefinierte Routing-Tabelle erstellen, in der alles außer dem internen Netzwerkverkehr über das VPN weitergeleitet wird. Auf diese Weise können sie nur die Verbindungen zwischen Ihnen und den Systemen im College-Netzwerk entschlüsseln. Alles andere wird über Ihre VPN-Verbindung geleitet und ist sicher.

Wenn Sie jedoch ein VPN verwenden, wird der gesamte Datenverkehr auf einen einzelnen Server (Ihren VPN-Anbieter) geleitet und sieht mit Sicherheit sehr verdächtig aus die Protokolle. Wenn Ihr College keine VPN-Verbindungen zulässt, verwenden Sie am besten keine oder nur für bestimmte Aufgaben (z. B. E-Mail-Prüfung). Die Verwendung von FoxyProxy unter Firefox kann Ihnen dabei helfen.

Ich habe mich mit einer ähnlich restriktiven Schule befasst und auf ein VPN zurückgegriffen, sie mochten es nicht, aber einer der Netzwerkmitarbeiter wies darauf hin, dass der VPN-Verkehr nicht mehr ihr Problem ist.
Jede Lösung, bei der das Zertifikat installiert wird, macht Sie anfällig, auch wenn Sie das Netzwerk nicht verwenden. Das ist ein schlechter Rat.
Sie müssen das Zertifikat nicht systemweit installieren. Installieren Sie es nur in Ihrem alternativen Browser.
@ThoriumBR: Das ist auch eine vernünftige Idee.
Dies ist eine gute Idee, um den Umfang der Inspektion einzuschränken. Erwarten Sie jedoch nicht, dass Ihre anderen Browser und Anwendungen über eine Konnektivität verfügen.
@GuitarPicker Für alles andere verwenden Sie Ihre VPN-Verbindung.
dimo414
2015-11-05 09:46:58 UTC
view on stackexchange narkive permalink

Ich glaube , dass Sie ein Chrome OS-Gerät mit einem dedizierten "Schul" Google-Konto, das Sie ausschließlich für den Zugriff auf das Schulnetzwerk verwenden, sicher verwenden können. Wenn Sie zu einem anderen Konto (z. B. Ihrem persönlichen Konto) wechseln, werden das Schulzertifikat oder die Einstellungen dieses Benutzers nicht mehr verwendet, und Chrome OS dient zum sicheren Isolieren von Konten.

Dieser Hilfeartikel (geschrieben für Domain-Administratoren, nicht für Benutzer) erwähnt, dass dies möglich ist, und stellt außerdem fest, dass dies nur gilt, wenn der Domain-Benutzer angemeldet ist.

Luc
2015-11-10 22:14:32 UTC
view on stackexchange narkive permalink

Ich habe nach einer Möglichkeit gesucht, Tor über HTTP (ohne den Proxy-Befehl CONNECT ) zu verwenden, als ich Ihre Frage zum ersten Mal las, aber ältere Antworten sagten, dass dies derzeit unmöglich ist (ich habe nur einen Vorschlag aus dem Jahr 2013 gefunden das kam nie irgendwo hin). Jetzt bin ich nur darauf gestoßen, nicht sicher, ob es das ist, was Sie brauchen, aber es sieht total so aus:

https://trac.torproject.org/projects/tor/wiki/doc/meek

meek ist ein steckbarer Transport, der HTTP zum Übertragen von Bytes und TLS zur Verschleierung verwendet.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...