这是一个创建于 2911 天前的主题,其中的信息可能已经有所发展或是发生改变。
问题
公司连入网络需要安装证书,进行 802.1X 的账户密码鉴定,mac 绑定 ip 地址。 证书现在只信任 EAP 协议以及 X.509 基本策略。 这种情况下,HTTPS 会被审计吗?网管可以通过这 2 个协议进行中间人攻击来监听信息吗?
 | 1 jedrek 2017-12-27 10:06:03 +08:00 曝光名字, 避免踩坑 |
 | 2 oott123 2017-12-27 10:40:22 +08:00 https 不会 |
 | 3 dr3am 2017-12-27 10:47:54 +08:00 https 协议目前很难审计。。毕竟需要审计设备支持的证书足够多,放心吧 |
 | 5 copriwolf OP @dr3am 想请教为什么“需要审计设备支持的证书足够多”?如果捕捉 SSL,不是信任 SSL 被能被中间人攻击然后嗅探到吗? |
 | 7 runntuu 2017-12-27 11:26:14 +08:00 via iPhone 现在对 https 的审计实现基于中间人拦截技术,通常做法是在网络出口加审计设备对 https 请求拦截,由审计设备代为发起 https 请求并返回结果。 这样做的最大 bug 是替换掉了原始 ssl 证书,所以要验证也很简单,打开网页的时候检查地址栏是不是有小绿锁,证书的颁发机构还是不是目标网站。 |
 | 8 coolcoffee 2017-12-27 11:30:34 +08:00 via iPhone 你用 charles mac 版本试一下导入根证书,然后按照那样的证书设置,最后再看下劫持 https 的时候浏览器有没有警告 |
| 9 copriwolf OP @runntuu 问题在于类似微信 /邮箱这种,并不能在浏览器里验证 HTTPS 的颁发机构。然后我现在已经信任了根证书(虽然不是全部协议都信任,如上图所示),所以存在中间人代为发起的可能性,这种有验证方法吗? |
| 10 copriwolf OP @coolcoffee 可是我的出口是依托公司的网络,而 charles 只是在软件级的拦截。会不会不一样呢? |
 | 11 gamexg 2017-12-27 11:37:09 +08:00 打开一个 https 站点,然后查看证书是谁签发的,如果是公司签发的就可以监听,否则现在没监听。 |
 | 13 rrfeng 2017-12-27 11:48:58 +08:00 via Android 如果你设置信任中间人的证书,那也会显示小绿锁。 |
 | 14 xenme 2017-12-27 12:03:28 +08:00 via iPhone 本地抓个包,看看 ssl 协商发过来的 server certificate 就好了么 wifi 认证的就是个 server cert,并不是 root ca,基本不会用来 mitm 的。再说,要监控企业部署个 root ca 到你电脑上也行啊,没必要混用 |
| 15 xenme 2017-12-27 12:04:50 +08:00 via iPhone 刚仔细看才发现是 root,抓包吧,包头很容易看到的,很容易确定 |
 | 16 dndx 2017-12-27 12:13:54 +08:00 via iPhone 选择只信任 EAP,TLS 连接不会尝试用这个 CA 验证的。 |
| 17 copriwolf OP @xenme 我们现在企业就是让我安装 root ca 才能通过验证上网啊,如果所示。。。。。。 所以疑问就是,如果程序走 ssl,不确定有没有黑科技能够被出口捕获攻击 |
 | 19 mooncakejs 2017-12-27 12:47:20 +08:00 @jedrek 对于一些公司来说,审查网络很正常吧 |
 | 21 avrillavigne 2017-12-27 13:44:45 +08:00 公司有 root ca 不说话  |
| 22 copriwolf OP @avrillavigne 因为要验证上网啊,只是考虑附带的风险 |
| 23 copriwolf OP @dndx 明白,感谢了。还有一个问题是,如果走 shadowsock,有可能会被嗅探到吗? shadowsock 使用 aes256 来加密的 |
 | 24 julyclyde 2017-12-27 16:45:41 +08:00 你这个只能叫自签名证书 不能叫根证书 虽然安装以后是装在根证书区里的 |
 | 25 TigerK 2017-12-27 20:07:31 +08:00 你可以只给一个浏览器安装证书啊,比如说 Firefox,可以创建好几个用户配置呢 |
 | 26 yingfengi 2017-12-27 20:14:09 +08:00 via Android 明显是做 https 审计了 这种策略我上过,某公司弄了。 设备签发一个证书的,你信任了设备的根证书。 |
 | 27 ouqihang 2017-12-27 20:52:33 +08:00 要看公司是怎么规定的,有些证书真的只是鉴权用。 |
 | 28 azh7138m 2017-12-27 20:56:51 +08:00 via Android 黄龙国际?怕不是同事。。。 |
 | 29 terence4444 2017-12-27 20:59:04 +08:00 via iPhone Firefox 证书独立于操作系统 |
 | 30 leots 2017-12-27 21:03:28 +08:00 我们学校也是通过这种方式认证上网的... 后来发现其实只是用来认证上网...... |
| 34 copriwolf OP @terence4444 mac 上面是要系统级信任证书才能进行 802.1x 认证登陆。主要是要认证了才能上网。 |
 | 38 lshero 2017-12-27 22:27:25 +08:00 via Android 打开浏览器看看当前站点用的证书不就搞定了嘛 |
 | 39 zscself 2017-12-27 23:34:47 +08:00 就是公司图省钱不愿意买证书,自己整了个根证书呗~ 我认为哈,既然勾选了“ SSL 不信任”,是不是就意味着在 SSL 握手过程中,系统会把这个根证书标记为不信任,所以应该是无法进行审计的。 |
| 40 yingfengi 2017-12-28 08:27:13 +08:00 via Android @copriwolf ssl 审计是这样子的 当你访问某个 https 的站点的时候,设备先进行 ssl 卸载,然后针对该域名签发一个证书,然后 https 的方式把网页发给你。 这样子的话,你不信任设备的根证书,https 压根没法访问。 |
| 41 copriwolf OP @yingfengi 噢我以为审计是类似中间人,直接出口代替本机去与远程服务器交互 https,然后因为信任了自签发的证书,所以出口与本机也是 https,实现了信息拦截。 |
| 42 copriwolf OP @lshero 嗯,可是有时候有些软件级的就不知道有没有被拦截,比如微信、qq 这种走 ssl 的,就看不到证书了。 |
| 45 copriwolf OP @yingfengi 嗯,目前看来,这个证书仅仅只是鉴权,还没有一个审计 SSL 的功能,应该只是审计 http 吧 |
| 46 yingfengi 2017-12-28 18:24:40 +08:00 via Android @copriwolf http 审计不需要搞证书,另外有没有审计看你公司,我上设备配过做准入策略审计 QQ 聊天记录的。。。 |
 | 48 zsj950618 2017-12-28 22:14:37 +08:00 根证书也是分用途的。。。 > 公司连入网络需要安装证书,进行 802.1X 的账户密码鉴定 802.1x 认证用的根证书,如果在系统把这个证书的用途限制在了只能进行设备认证,就不会影响到你 HTTPS 访问。 最简单就是你 HTTPS 访问网页的时候,在浏览器里看下所用的证书是谁签发的,和你公司的根证书对比下就好了。 |
| 49 yingfengi 2017-12-31 19:37:43 +08:00 才看到说 QQ 审计的问题,QQ 升级靠客户端,简单的来说就是你要用我的网络就必须在电脑装一个插件,不然不给用。 有点公司就是这么恶心,必须做这个。就遇到过一次,做期货的。 |
Select Language