公司只要求连入网络安装根证书,会被监控 https 吗

2017-12-27 09:59:18 +08:00
 copriwolf

问题

公司连入网络需要安装证书,进行 802.1X 的账户密码鉴定,mac 绑定 ip 地址。 证书现在只信任 EAP 协议以及 X.509 基本策略。 这种情况下,HTTPS 会被审计吗?网管可以通过这 2 个协议进行中间人攻击来监听信息吗?

8451 次点击
所在节点    问与答
49 条回复
jedrek
2017-12-27 10:06:03 +08:00
曝光名字, 避免踩坑
oott123
2017-12-27 10:40:22 +08:00
https 不会
dr3am
2017-12-27 10:47:54 +08:00
https 协议目前很难审计。。毕竟需要审计设备支持的证书足够多,放心吧
copriwolf
2017-12-27 10:57:06 +08:00
@oott123 如果这个根证书始终信任 SSL,会被中间人攻击吗?
copriwolf
2017-12-27 10:57:51 +08:00
@dr3am 想请教为什么“需要审计设备支持的证书足够多”?如果捕捉 SSL,不是信任 SSL 被能被中间人攻击然后嗅探到吗?
oott123
2017-12-27 11:00:12 +08:00
@copriwolf #4 可能。手动设成不信任吧
runntuu
2017-12-27 11:26:14 +08:00
现在对 https 的审计实现基于中间人拦截技术,通常做法是在网络出口加审计设备对 https 请求拦截,由审计设备代为发起 https 请求并返回结果。
这样做的最大 bug 是替换掉了原始 ssl 证书,所以要验证也很简单,打开网页的时候检查地址栏是不是有小绿锁,证书的颁发机构还是不是目标网站。
coolcoffee
2017-12-27 11:30:34 +08:00
你用 charles mac 版本试一下导入根证书,然后按照那样的证书设置,最后再看下劫持 https 的时候浏览器有没有警告
copriwolf
2017-12-27 11:32:53 +08:00
@runntuu 问题在于类似微信 /邮箱这种,并不能在浏览器里验证 HTTPS 的颁发机构。然后我现在已经信任了根证书(虽然不是全部协议都信任,如上图所示),所以存在中间人代为发起的可能性,这种有验证方法吗?
copriwolf
2017-12-27 11:36:20 +08:00
@coolcoffee 可是我的出口是依托公司的网络,而 charles 只是在软件级的拦截。会不会不一样呢?
gamexg
2017-12-27 11:37:09 +08:00
打开一个 https 站点,然后查看证书是谁签发的,如果是公司签发的就可以监听,否则现在没监听。
copriwolf
2017-12-27 11:45:34 +08:00
@gamexg 那请问如果是程序级的呢,比如微信或者 mail.app
rrfeng
2017-12-27 11:48:58 +08:00
如果你设置信任中间人的证书,那也会显示小绿锁。
xenme
2017-12-27 12:03:28 +08:00
本地抓个包,看看 ssl 协商发过来的 server certificate 就好了么

wifi 认证的就是个 server cert,并不是 root ca,基本不会用来 mitm 的。再说,要监控企业部署个 root ca 到你电脑上也行啊,没必要混用
xenme
2017-12-27 12:04:50 +08:00
刚仔细看才发现是 root,抓包吧,包头很容易看到的,很容易确定
dndx
2017-12-27 12:13:54 +08:00
选择只信任 EAP,TLS 连接不会尝试用这个 CA 验证的。
copriwolf
2017-12-27 12:36:04 +08:00
@xenme 我们现在企业就是让我安装 root ca 才能通过验证上网啊,如果所示。。。。。。
所以疑问就是,如果程序走 ssl,不确定有没有黑科技能够被出口捕获攻击
copriwolf
2017-12-27 12:37:01 +08:00
@dndx 那有其他的黑科技,在掌握出口的情况下,可以截获吗
mooncakejs
2017-12-27 12:47:20 +08:00
@jedrek 对于一些公司来说,审查网络很正常吧
dndx
2017-12-27 13:22:32 +08:00
@copriwolf 除非你的 Mac 被种了后门,几乎不可能。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/417909

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX