Come impedire il server proxy dall'ispezione dei pacchetti HTTPS?

Naviga le tue risposte
3

I server proxy ispezionano spesso i pacchetti HTTPS. Decifrano il traffico HTTPS del client, li ispezionano, li crittografano di nuovo e li inviano al server di destinazione.

Il server proxy inietta il proprio certificato CA sul PC del client per snoopare il proprio traffico internet crittografato. Quindi, in pratica, non vi è alcun punto per inviare / ricevere pacchetti su socket protetti perché in ogni caso verranno decifrati e letti nel mezzo.

Significa anche che quel server proxy può eseguire attacchi Man-In-The-Middle e invadere la privacy dei client.

Come può essere evitato e bloccare quel server proxy per iniettare quei certificati sui PC del cliente?

Fondamentalmente voglio che quel server proxy diventi inutile ogni volta che invio / ricevo il traffico HTTPS. Quel certificato iniettato è il foro chiave per quel proxy.

    
posta defalt 11.09.2016 - 10:45
fonte

4 risposte

1

Un cliente non si fida ciecamente di una CA inviata all'interno della connessione TLS. Si fida solo della CA radice memorizzata localmente e qualsiasi certificato / CA deve essere emesso direttamente o indirettamente da questa CA attendibile. Ciò significa che non funzionerà se un proxy crea solo un nuovo certificato e invia la propria CA radice insieme al certificato. Invece questa CA proxy deve essere esplicitamente installata nel browser / sistema operativo.

Quindi, mentre non è possibile fare un proxy per non intercettare e modificare la connessione TLS, questa modifica verrà immediatamente rilevata e la connessione verrà interrotta prima che i dati vengano trasferiti. Solo se ti fidi esplicitamente del proxy importando la CA proxy, l'intercettazione TLS è possibile.

Se invece chiedi come bypassare l'intercettazione SSL nel proxy o come ignorare il proxy - domande che chiedono come bypassare le policy di sicurezza esistenti sono fuori tema qui.

    
risposta data 11.09.2016 - 11:34
fonte
2

L'unica cosa che posso pensare è creare un tunnel SSH attraverso il server proxy. Alcuni proxy potrebbero consentire questo, altri no. Quindi questa non è una soluzione per tutti i tipi di server proxy.

Ad esempio:

  1. Configurare il daemon SSH per l'esecuzione sulla porta TCP 443 ed eseguire un ricaricamento del servizio.

  2. Configura Putty per usare una sessione sul tuo computer di casa o VPS. Assicurati di usare 443 come porta.

  3. ConfiguraPuttyperconnettersiutilizzandoilserverproxy,ènecessarioconoscerequesteimpostazioni.

  4. OraconfiguraunTunnel,questoènecessarioperinstradaretuttoiltuotrafficointernetattraversoiltunnel.Usiamolaporta8080percollegarciallatuamacchinalocale.Assicuraticheipulsantidiopzioneabbianol'aspettodell'immagineseguenteefaiclicsu"Aggiungi".

Ora configura il tuo browser per utilizzare il server proxy locale che sta ascoltando su TCP / 8080. Tutto il traffico HTTP verrà ora inoltrato attraverso il tunnel, ignorando l'ispezione. Tuttavia, potrebbero vedere che il traffico SSH viene trasmesso.

Nota: Nei casi in cui i criteri di gruppo vengono applicati e le impostazioni del server proxy non possono essere modificate, si consiglia di scaricare (o portare una chiavetta USB) una versione portatile di Firefox.

    
risposta data 11.09.2016 - 11:57
fonte
1

Non cercare di aggirare la sicurezza messa in atto dal proprietario della rete.

Invece, non usare quella rete. Se, ad esempio, hai una copertura mobile decente e un buon piano dati, usalo quando devi fare qualcosa che il proprietario della rete non consente.

    
risposta data 11.09.2016 - 12:11
fonte
0

Tale certificato entra nel tuo sistema operativo / browser solo se tu (o qualcun altro) lo accetti manualmente o lo carichi (ad esempio come criterio di gruppo). Non è così semplice come il server "lo inietta".

Fai attenzione ai PC in cui un'altra persona ha o ha avuto accesso come amministratore.

Se viene visualizzato un grande avviso rosso che dice che qualcuno potrebbe tentare di intercettare il tuo traffico ... non basta fare clic su "continua".

    
risposta data 11.09.2016 - 11:31
fonte

Leggi altre domande sui tag

Uno switch KVM può essere vulnerabile attraverso una porta VGA? Il sito web popolare contiene annunci che attivano la scansione remota da botnet: cosa devo fare?