公司的网络监控问题

公司使用自签名证书中间人 https 协议
(通过域策略把公司自己的 CA 添加成了可信任的 CA )
外加屏蔽了 80/443 以外端口的 http/https 协议
另外还屏蔽了 80/443 端口的非 htttp/https 协议
ssh 也设置了白名单，我没权限就没去试是不是也被中间人了。
这样子是不是就完全没有办法隐藏自己浏览过的网页的内容啦？

alect

2015-09-08 02:00:22 +08:00

意思就是只可访问 80 的 http 和 443 的 https ？（ 443 还被中间人？）
如果用 SSLVPN 也不能安全的访问外部？

liword

2015-09-08 02:46:08 +08:00

@alect 一般常见的 VPN 用的也是白名单， SSLVPN 我不知道具体指的是哪种？公司好像是 palo alto 的深度包检测来分析还有屏蔽协议的，如果走的是 VPN 协议的话那肯定不管什么端口都被从协议上就被封了。如果是用 https 协议来封装的话，因为有中间人在，不知道会变成怎样...你能举个 sslvpn 的例子么，我好去试试看。

liword

2015-09-08 02:53:05 +08:00

@ericFork 哈哈，暂时不考虑，坐等裁员。另外好像最近跨国 IT 公司好像都开始慢慢用这种方式了，感觉再过几年中间人+深度包检测估计就是行业标配了。

RR6116

2015-09-08 08:15:21 +08:00

@liword 一种猜测是受 zf 限制的，以前公司网络随便就可以访问 google 和 facebook 。后来有有关部门过来找到公司的 IT ，后来要去 google 一类的地方就只能通过特定的代理上了。

gamexg

2015-09-08 08:22:02 +08:00

只要不是 http 白名单就可以，自己写个吧。

jhaohai

2015-09-08 08:27:00 +08:00

我在某银行，办公的 pc 也是这德行，然后开了 80 端口的 shadowsocks 就可以绕过去了

mrhuiyu

2015-09-08 09:01:49 +08:00

不太清楚，不过作为公司网管，我已经了解了最基本路由端抓包了，以及某牌 AC 抓包。

clino

2015-09-08 09:05:54 +08:00

有哪些跨国 IT 公司会这么搞啊...这种 ssl 中间人的搞法我觉得至少在欧美应该不会用吧?

xfspace

2015-09-08 09:06:02 +08:00

@xfspace 手机手贱。。
我们公司用的也是 PA ，策略严格到只能打开 PA 白名单。。。

vileer

2015-09-08 10:44:16 +08:00

@alect 楼主说了，公司通过域策略将证书装在了员工电脑上

xixi10111011

2015-09-08 16:41:19 +08:00

公司自签证书?意思是说公司在中间做了 https 的转发么？谁来科普一下

vexxx

2015-09-09 14:40:52 +08:00

https://github.com/larsbrinkhoff/httptunnel
通过 httptunnel 走 ssh 或 ss 就可以自由访问并保护隐私了。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/218991

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.