1

У меня есть вопрос, который никто не смог правильно ответить в сети. Если я использую персональный iPhone, подключенный к гостевому Wi-Fi моей компании и просматриваю, скажем, https://google.com/news , видит ли мой работодатель /log:

  1. https://google.com (то есть /news скрыта)
  2. полный URL

В некоторых ответах говорилось, что HTTPS шифрует часть URL, другие говорят, что полный URL будет зафиксирован в журнале маршрутизатора.

Большинство ответивших мне людей говорят, что сценарий 1 наиболее вероятен, т. Е. Детали URL после «/» остаются невидимыми из-за соединения HTTPS и, следовательно, не фиксируются в журнале маршрутизатора. Другие говорят, что администратор сети может видеть и записывать что угодно (что для меня, кажется, побеждает один из главных пунктов HTTPS? Опять же, это личный IPhone, к которому никто не имеет доступа.

3 ответа3

6

Здесь нужно рассмотреть не только HTTP ...

Wi-Fi

WiFi по своей природе является невероятно открытой технологией. Любой человек с антенной и радио в вашей близости может собирать трафик.

Сама сеть WiFi может быть зашифрована, но есть много способов обойти это. Если вы подключаетесь к корпоративной сети, вероятно, что другие пользователи также имеют пароль.

Захват и архив

Помните - администратор сети может видеть весь трафик, который проходит по их сети, и ничто не мешает им захватывать и архивировать его.

Если в « безопасном » сеансе была обнаружена уязвимость, то любые собранные данные могут быть скомпрометированы и потенциально расшифрованы.

Если вычислительная мощность возрастает в достаточной степени, грубое принуждение может стать жизнеспособным вариантом для получения данных в виде простого текста.

Маловероятно, что средняя компания будет регистрировать значительные учетные записи трафика "по проводам".

приписывание

Трафик может быть привязан непосредственно к вашему телефону, основываясь на MAC-адресе вашего устройства.

« Рандомизация MAC-адресов » была предоставлена совсем недавно ... однако в некоторых случаях этого недостаточно для правильной анонимности трафика.

DNS

При стандартной настройке телефона DNS- запросы легко видны оператору сети и вашим соседям. Например, ваш телефон запрашивает IP-адрес для google.com или mail.google.com .

Это возможно, но я бы предположил, что маловероятно, что компания будет регистрировать DNS-запросы - если они не имеют разумного размера.

IP-адресация

Для связи с другой системой в сети / Интернете требуется, чтобы пакеты направлялись соответственно с использованием IP-адреса удаленной системы.

Во многих случаях это идентифицирует сайт или компанию, с которой вы общаетесь напрямую (то есть: на серверах Google размещаются только службы Google). Однако многие небольшие сайты используют общий хостинг (то есть: несколько веб-сайтов на одном сервере), что делает менее очевидным, какой веб-сайт вы просматривали.

HTTP (без SSL)

Обычно фактический веб-трафик будет зашифрован с использованием SSL / HTTPS. Но помните, что все еще существуют сайты, которые не обеспечивают или даже не обеспечивают поддержку HTTPS, поэтому в этих случаях весь трафик можно « увидеть ».

HTTPS

Для веб-сайтов, использующих HTTPS (игнорируя приведенную выше информацию о DNS), теперь можно размещать несколько доменов на одном сервере, используя указание имени сервера. Это позволяет серверу отвечать на рукопожатие правильным SSL-сертификатом, в зависимости от того, с какого домена клиент запросил информацию.

В этом случае имя хоста все еще отправляется в виде простого текста как часть рукопожатия и, следовательно, является видимым.

Человек посередине

В случае , когда используется HTTPS, все еще существуют возможности для сетевого оператора для расшифровки трафика. Многие компании используют прокси-сервер, устанавливая сертификат на устройствах сотрудников (ноутбуки, телефоны и т.д.).

В этом случае вы уязвимы для атаки « Человек посередине » - ваш работодатель может расшифровать весь трафик, предложить услуги прокси-типа (например, фильтрация содержимого, кэширование и т.д.), А затем потенциально переслать ваш запрос. на целевой сервер, используя « правильный » сертификат.

Это вряд ли для личного устройства.

Это также несколько смягчается авторизацией центра сертификации DNS... если только оператор не подделывает ответы DNS для этого тоже. Я не знаю, кэшируют ли браузеры ответы DNS CAA вообще ...

VPN

Если вы используете VPN, где все настроено правильно, то, вероятно, локальная утечка будет иметь только DNS-запись VPN-сервера (при условии, что вы не используете прямой IP-адрес), но мое утверждение выше о захваченном и архивированном трафике остается в силе. Вы также должны доверять своему провайдеру VPN.

Однако, если ваша настройка VPN не настроена правильно, DNS-запросы все равно могут легко просочиться.


В итоге предположим, что:

  • Оператор сети (и любой, кто находится поблизости) может видеть весь трафик.
  • Оператор сети может определенно видеть IP-адрес удаленного сервера, с которым вы общаетесь.
  • Почти наверняка оператор сети увидит имя хоста сайта, с которым вы общаетесь (например, google.com).
    • Имя хоста будет просачиваться через DNS.
    • Имя хоста, вероятно, будет также просачиваться через SNI (часть рукопожатия SSL)
  • Схема может быть выведена (например: https://).
  • Весьма вероятно, что трафик на корпоративных устройствах расшифровывается через прокси. В противном случае маловероятно, что другие могут легко « увидеть » ваш расшифрованный трафик.
  • Любые захваченные данные могут быть ценными в будущем - шифрование действительно является временной мерой - до тех пор, пока не будет обнаружена уязвимость, или пока вычислительная мощность не вырастет настолько, чтобы сделать грубое вмешательство тривиальным.
0

Чтобы ответить на конкретный вопрос, предполагая, что у вас нет обходных путей ... после подключения к гостевому Wi-Fi GenericCo вы открываете браузер и пытаетесь перейти по адресу https://google.com/news.

А) DNS-запрос отправляется в открытом виде, спрашивая DNS-сервер, каков IP-адрес. DNS обычно не шифруется, поэтому системный администратор с WireShark может легко это увидеть. Этот видимый DNS-запрос выполняется для всех доменов и поддоменов, поэтому mail.google.com и google.com видны как два отдельных запроса.

Б) запрос HTTPS-соединения отправляется на этот IP-адрес. Произошло рукопожатие, и ваш компьютер пытается загрузить эту конкретную страницу / новости. Теоретически, у вас есть безопасное HTTPS-соединение на этом этапе, так что шпиону гораздо сложнее его увидеть.

В общем, предположим, что ваш работодатель может видеть все, что вы делаете в своей сети. В конце концов, это их интернет-соединение. Вы можете скрыть это, используя VPN и другие методы, которые будут отображаться в других ответах. Тем не менее, имейте в виду, что другие лица, кроме вашего работодателя, тоже могут его увидеть. Использование VPN уменьшит количество отслеживаний, которые могут выполнять близлежащие люди, но тогда вам придется доверять поставщику VPN.

0

Простой ответ на этот вопрос заключается в том, что ваш сценарий 1 правильный.

Соединение - HTTPS, никто не может видеть, что вводится после части имени домена в URL, кроме вас и другой стороны, к которой вы подключаетесь. Ваш работодатель знает только следующую информацию:

  1. Ваше имя устройства, ваш MAC-адрес и IP-адрес
  2. Точка доступа, к которой вы подключены, и приблизительное местоположение вашего устройства.
  3. Ваш логин, если вам нужно было ввести его для подключения к WiFi
  4. Доменные имена сайтов, к которым вы обращаетесь и когда и как долго
  5. Все детали трафика, которые не зашифрованы.

Это предполагает, что вы не разрешили вашему работодателю установить что-либо на ваше устройство. И это предполагает, что ваш работодатель действительно предпринял дополнительные шаги, необходимые для того, чтобы собрать некоторую информацию. Наконец, да, эти 5 пунктов предполагают, что они могут даже не знать, чей это телефон в их сети.

Этот объем информации позволяет вашему работодателю многое сделать для определения модели вашего телефона, приложений, установленных на вашем телефоне, и вашего поведения в Интернете.

С учетом вышесказанного очевидный отказ от ответственности заключается в том, что вы не должны использовать WiFi своего работодателя для действий, которые нарушают политику компании. Так что, если вы обеспокоены, просто не входите в компанию WiFi.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .