V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
copriwolf
V2EX  ›  问与答

公司只要求连入网络安装根证书,会被监控 https 吗

  •  1
     
  •   copriwolf · 2017-12-27 09:59:18 +08:00 · 8423 次点击
    这是一个创建于 2535 天前的主题,其中的信息可能已经有所发展或是发生改变。

    问题

    公司连入网络需要安装证书,进行 802.1X 的账户密码鉴定,mac 绑定 ip 地址。 证书现在只信任 EAP 协议以及 X.509 基本策略。 这种情况下,HTTPS 会被审计吗?网管可以通过这 2 个协议进行中间人攻击来监听信息吗?

    49 条回复    2017-12-31 19:37:43 +08:00
    jedrek
        1
    jedrek  
       2017-12-27 10:06:03 +08:00
    曝光名字, 避免踩坑
    oott123
        2
    oott123  
       2017-12-27 10:40:22 +08:00
    https 不会
    dr3am
        3
    dr3am  
       2017-12-27 10:47:54 +08:00
    https 协议目前很难审计。。毕竟需要审计设备支持的证书足够多,放心吧
    copriwolf
        4
    copriwolf  
    OP
       2017-12-27 10:57:06 +08:00
    @oott123 如果这个根证书始终信任 SSL,会被中间人攻击吗?
    copriwolf
        5
    copriwolf  
    OP
       2017-12-27 10:57:51 +08:00
    @dr3am 想请教为什么“需要审计设备支持的证书足够多”?如果捕捉 SSL,不是信任 SSL 被能被中间人攻击然后嗅探到吗?
    oott123
        6
    oott123  
       2017-12-27 11:00:12 +08:00
    @copriwolf #4 可能。手动设成不信任吧
    runntuu
        7
    runntuu  
       2017-12-27 11:26:14 +08:00 via iPhone
    现在对 https 的审计实现基于中间人拦截技术,通常做法是在网络出口加审计设备对 https 请求拦截,由审计设备代为发起 https 请求并返回结果。
    这样做的最大 bug 是替换掉了原始 ssl 证书,所以要验证也很简单,打开网页的时候检查地址栏是不是有小绿锁,证书的颁发机构还是不是目标网站。
    coolcoffee
        8
    coolcoffee  
       2017-12-27 11:30:34 +08:00 via iPhone
    你用 charles mac 版本试一下导入根证书,然后按照那样的证书设置,最后再看下劫持 https 的时候浏览器有没有警告
    copriwolf
        9
    copriwolf  
    OP
       2017-12-27 11:32:53 +08:00
    @runntuu 问题在于类似微信 /邮箱这种,并不能在浏览器里验证 HTTPS 的颁发机构。然后我现在已经信任了根证书(虽然不是全部协议都信任,如上图所示),所以存在中间人代为发起的可能性,这种有验证方法吗?
    copriwolf
        10
    copriwolf  
    OP
       2017-12-27 11:36:20 +08:00
    @coolcoffee 可是我的出口是依托公司的网络,而 charles 只是在软件级的拦截。会不会不一样呢?
    gamexg
        11
    gamexg  
       2017-12-27 11:37:09 +08:00
    打开一个 https 站点,然后查看证书是谁签发的,如果是公司签发的就可以监听,否则现在没监听。
    copriwolf
        12
    copriwolf  
    OP
       2017-12-27 11:45:34 +08:00
    @gamexg 那请问如果是程序级的呢,比如微信或者 mail.app
    rrfeng
        13
    rrfeng  
       2017-12-27 11:48:58 +08:00 via Android
    如果你设置信任中间人的证书,那也会显示小绿锁。
    xenme
        14
    xenme  
       2017-12-27 12:03:28 +08:00 via iPhone
    本地抓个包,看看 ssl 协商发过来的 server certificate 就好了么

    wifi 认证的就是个 server cert,并不是 root ca,基本不会用来 mitm 的。再说,要监控企业部署个 root ca 到你电脑上也行啊,没必要混用
    xenme
        15
    xenme  
       2017-12-27 12:04:50 +08:00 via iPhone
    刚仔细看才发现是 root,抓包吧,包头很容易看到的,很容易确定
    dndx
        16
    dndx  
       2017-12-27 12:13:54 +08:00 via iPhone
    选择只信任 EAP,TLS 连接不会尝试用这个 CA 验证的。
    copriwolf
        17
    copriwolf  
    OP
       2017-12-27 12:36:04 +08:00
    @xenme 我们现在企业就是让我安装 root ca 才能通过验证上网啊,如果所示。。。。。。
    所以疑问就是,如果程序走 ssl,不确定有没有黑科技能够被出口捕获攻击
    copriwolf
        18
    copriwolf  
    OP
       2017-12-27 12:37:01 +08:00
    @dndx 那有其他的黑科技,在掌握出口的情况下,可以截获吗
    mooncakejs
        19
    mooncakejs  
       2017-12-27 12:47:20 +08:00
    @jedrek 对于一些公司来说,审查网络很正常吧
    dndx
        20
    dndx  
       2017-12-27 13:22:32 +08:00
    @copriwolf 除非你的 Mac 被种了后门,几乎不可能。
    avrillavigne
        21
    avrillavigne  
       2017-12-27 13:44:45 +08:00
    公司有 root ca 不说话
    copriwolf
        22
    copriwolf  
    OP
       2017-12-27 13:48:47 +08:00
    @avrillavigne 因为要验证上网啊,只是考虑附带的风险
    copriwolf
        23
    copriwolf  
    OP
       2017-12-27 13:55:45 +08:00
    @dndx 明白,感谢了。还有一个问题是,如果走 shadowsock,有可能会被嗅探到吗? shadowsock 使用 aes256 来加密的
    julyclyde
        24
    julyclyde  
       2017-12-27 16:45:41 +08:00
    你这个只能叫自签名证书
    不能叫根证书
    虽然安装以后是装在根证书区里的
    TigerK
        25
    TigerK  
       2017-12-27 20:07:31 +08:00
    你可以只给一个浏览器安装证书啊,比如说 Firefox,可以创建好几个用户配置呢
    yingfengi
        26
    yingfengi  
       2017-12-27 20:14:09 +08:00 via Android
    明显是做 https 审计了
    这种策略我上过,某公司弄了。
    设备签发一个证书的,你信任了设备的根证书。
    ouqihang
        27
    ouqihang  
       2017-12-27 20:52:33 +08:00
    要看公司是怎么规定的,有些证书真的只是鉴权用。
    azh7138m
        28
    azh7138m  
       2017-12-27 20:56:51 +08:00 via Android
    黄龙国际?怕不是同事。。。
    terence4444
        29
    terence4444  
       2017-12-27 20:59:04 +08:00 via iPhone
    Firefox 证书独立于操作系统
    leots
        30
    leots  
       2017-12-27 21:03:28 +08:00
    我们学校也是通过这种方式认证上网的...
    后来发现其实只是用来认证上网......
    copriwolf
        31
    copriwolf  
    OP
       2017-12-27 21:48:46 +08:00
    @TigerK 不行的,mac 上面是要系统级信任证书才能进行 802.1x 认证登陆
    copriwolf
        32
    copriwolf  
    OP
       2017-12-27 21:49:26 +08:00
    @yingfengi 是的,但是这个证书我不信任 SSL,有没可能被审查?
    copriwolf
        33
    copriwolf  
    OP
       2017-12-27 21:50:07 +08:00
    @azh7138m 然而并不是哈
    copriwolf
        34
    copriwolf  
    OP
       2017-12-27 21:50:24 +08:00
    @terence4444 mac 上面是要系统级信任证书才能进行 802.1x 认证登陆。主要是要认证了才能上网。
    copriwolf
        35
    copriwolf  
    OP
       2017-12-27 21:50:36 +08:00
    @leots 你是怎么论证的呢?
    copriwolf
        36
    copriwolf  
    OP
       2017-12-27 21:51:12 +08:00
    @julyclyde 是的,表述有误,感谢指正
    copriwolf
        37
    copriwolf  
    OP
       2017-12-27 21:51:37 +08:00
    @ouqihang 问题就是,无法论证到到底是审计还是单纯鉴权。
    lshero
        38
    lshero  
       2017-12-27 22:27:25 +08:00 via Android
    打开浏览器看看当前站点用的证书不就搞定了嘛
    zscself
        39
    zscself  
       2017-12-27 23:34:47 +08:00
    就是公司图省钱不愿意买证书,自己整了个根证书呗~
    我认为哈,既然勾选了“ SSL 不信任”,是不是就意味着在 SSL 握手过程中,系统会把这个根证书标记为不信任,所以应该是无法进行审计的。
    yingfengi
        40
    yingfengi  
       2017-12-28 08:27:13 +08:00 via Android
    @copriwolf ssl 审计是这样子的
    当你访问某个 https 的站点的时候,设备先进行 ssl 卸载,然后针对该域名签发一个证书,然后 https 的方式把网页发给你。
    这样子的话,你不信任设备的根证书,https 压根没法访问。
    copriwolf
        41
    copriwolf  
    OP
       2017-12-28 09:37:05 +08:00
    @yingfengi 噢我以为审计是类似中间人,直接出口代替本机去与远程服务器交互 https,然后因为信任了自签发的证书,所以出口与本机也是 https,实现了信息拦截。
    copriwolf
        42
    copriwolf  
    OP
       2017-12-28 09:37:50 +08:00
    @lshero 嗯,可是有时候有些软件级的就不知道有没有被拦截,比如微信、qq 这种走 ssl 的,就看不到证书了。
    copriwolf
        43
    copriwolf  
    OP
       2017-12-28 09:38:09 +08:00
    @zscself 嗯嗯
    yingfengi
        44
    yingfengi  
       2017-12-28 12:11:51 +08:00 via Android
    @copriwolf 是中间人,但是给你的页面是设备签发的证书,不是原来的证书。
    copriwolf
        45
    copriwolf  
    OP
       2017-12-28 14:24:53 +08:00
    @yingfengi 嗯,目前看来,这个证书仅仅只是鉴权,还没有一个审计 SSL 的功能,应该只是审计 http 吧
    yingfengi
        46
    yingfengi  
       2017-12-28 18:24:40 +08:00 via Android
    @copriwolf http 审计不需要搞证书,另外有没有审计看你公司,我上设备配过做准入策略审计 QQ 聊天记录的。。。
    copriwolf
        47
    copriwolf  
    OP
       2017-12-28 18:47:36 +08:00
    @yingfengi qq 聊天记录也是走 tls 或者 ssl 的吧,还能审计的到?
    zsj950618
        48
    zsj950618  
       2017-12-28 22:14:37 +08:00
    根证书也是分用途的。。。

    > 公司连入网络需要安装证书,进行 802.1X 的账户密码鉴定

    802.1x 认证用的根证书,如果在系统把这个证书的用途限制在了只能进行设备认证,就不会影响到你 HTTPS 访问。


    最简单就是你 HTTPS 访问网页的时候,在浏览器里看下所用的证书是谁签发的,和你公司的根证书对比下就好了。
    yingfengi
        49
    yingfengi  
       2017-12-31 19:37:43 +08:00
    才看到说 QQ 审计的问题,QQ 升级靠客户端,简单的来说就是你要用我的网络就必须在电脑装一个插件,不然不给用。
    有点公司就是这么恶心,必须做这个。就遇到过一次,做期货的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5163 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 03:52 · PVG 11:52 · LAX 19:52 · JFK 22:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.