Question:
Mon FAI utilise une inspection approfondie des paquets; que peuvent-ils observer?
cppanonhelp666
2017-03-27 22:33:49 UTC
view on stackexchange narkive permalink

J'ai appris que mon FAI effectue une inspection approfondie des paquets. Peut-il voir le contenu des connexions HTTPS? Le fait d'avoir HTTPS ne garantirait-il pas qu'ils ne peuvent pas voir le contenu transféré?

Et le fait d'avoir un VPN peut-il me protéger contre l'inspection approfondie des paquets par les FAI?

J'ai immédiatement pensé à [ceci] (http://4.bp.blogspot.com/-jZp1bLp3Q_A/TfhrQmNJvJI/AAAAAAAAAgI/wso4_M0pucs/s1600/Screen+shot+2011-06-15+at+10.19.45.png).
Cela ne vaut pas une réponse complète, mais je pense que cela peut être très utile pour comprendre qui peut voir quoi dans votre trafic.Il est évidemment conçu pour Tor, mais il y a aussi un bouton HTTPS: [Tor et HTTPS] (https://www.eff.org/pages/tor-and-https)._data_ et _user / pw_ correspondraient à une "inspection approfondie des paquets".
comment savez-vous que votre FAI fait DPI?
@SpaceDog: il est requis par la loi dans certains pays, ce qui permet de dire très facilement que son FAI le fait!
@SpaceDog,, l'un de leurs employés, a accepté de façon anonyme qu'ils effectuaient un DPI dans un média.
Oui au VPN !!!Tout ce qu'ils verraient, c'est l'adresse IP de votre point final VPN!Si vous êtes inquiet et que vous êtes prêt à dépenser de l'argent sur VPN, faites-le, la principale raison pour laquelle je ne le fais pas est que la vitesse sera affectée
Le DPI est-il même légal?Dans quel pays habitez-vous?
@FreeSoftwareServers étant donné que la plupart des serveurs VPN ont des connexions dont la bande passante dépasse de loin la connexion Internet domestique moyenne dans plusieurs pays, le ralentissement ne serait pas causé par le VPN (enfin OK, à l'exclusion de la surcharge de cryptage qui pourrait être considérée comme négligeable).
Sept réponses:
Trey Blalock
2017-03-27 23:05:43 UTC
view on stackexchange narkive permalink

L'inspection approfondie des paquets, également appelée inspection complète des paquets, signifie simplement qu'ils analysent tout votre trafic au lieu de simplement saisir des informations de connexion telles que l'adresse IP à laquelle vous vous connectez, le numéro de port, quel protocole et éventuellement quelques autres détails sur la connexion réseau.

Ceci est normalement discuté contrairement à la collecte d'informations NetFlow qui recueille principalement les informations énumérées ci-dessus.

L'inspection approfondie des paquets donne à votre fournisseur de nombreuses informations sur vos connexions et vos habitudes de Utilisation d'Internet. Dans certains cas, le contenu complet de choses comme les e-mails SMTP sera capturé.

HTTPS crypte les connexions mais votre navigateur doit faire des requêtes DNS qui sont envoyées principalement via UDP afin que les données soient collectées tout comme les liens non chiffrés ou les cookies non chiffrés envoyés de manière incorrecte sans https. Ces éléments supplémentaires qui seront collectés peuvent être très révélateurs sur le type de contenu que vous regardez.

La plus grande préoccupation pour la plupart des gens concerne l'agrégation de données , en collectant ces informations un data scientist pourrait créer une empreinte digitale pour votre utilisation d'Internet et s'associer plus tard à des activités passées ou à des activités d'autres endroits (lorsque vous êtes au travail ou en vacances). De même, votre fournisseur de services peut choisir de le vendre à un certain nombre d'organisations (y compris éventuellement des organisations criminelles) où il pourrait ensuite être utilisé contre vous de différentes manières. Dans de nombreux pays, les gens s'attendent à ce que leurs communications soient considérées comme privées et la collecte de ces données va à l'encontre de cette attente en matière de confidentialité.

Un autre aspect intéressant de ceci est dans les cas comme aux États-Unis où ces données pourraient bientôt être vendues, elles permettent également aux communications internationales envoyées à des personnes ou à des serveurs aux États-Unis d'être vendues . De même, cela pourrait potentiellement permettre à chaque agence des forces de l'ordre locales, de l'armée, des autorités fiscales, des autorités d'immigration, des politiciens, etc. un moyen de contourner les lois de longue date qui les ont empêchées d'accéder à ce type d'informations, ou à d'importants sous-ensembles d'informations au sein ces données autrement.

Une préoccupation légèrement différente lorsque ces données peuvent être vendues est l'intelligence économique / l'espionnage d'entreprise. Dans le scénario où une entreprise effectue beaucoup de travail de recherche intensive à son siège social situé dans un petit emplacement géographique (pensez à des produits pharmaceutiques ou à un entrepreneur de la défense), la vente de ces données permet à quiconque d'acheter tout le trafic du FAI local où la plupart de ces chercheurs vivent et analysent ce qu'ils recherchent chez eux, peut-être même directement du FAI hébergeant le trafic pour leur siège social. Si d'autres pays ne vendent pas des données similaires, cela donne aux entreprises étrangères suffisamment de sagesse pour essayer d'acheter ces données un énorme avantage technique. De même, cela permettrait également aux gouvernements étrangers d'acheter du trafic ISP qui comprend les données des foyers des fonctionnaires américains (ou d'autres gouvernements).

Imaginez des entreprises surveillant le comportement de leurs employés à la maison ou sur leurs appareils mobiles.

Cela aura probablement un effet dissuasif sur les militants et les dénonciateurs également.

De même, si des cartes de crédit ou des PII sont envoyées en clair vers un site distant mal sécurisé, l'ensemble de données de votre FAI a maintenant un problème potentiel de réglementation PCI ou PII entre les mains. Cela amplifie donc les problèmes de fuite de données de tous types en faisant des copies supplémentaires des données divulguées.

Avec les exemples que je viens de mentionner ci-dessus, et il y en a des centaines d'autres, il devrait être facile de comprendre pourquoi ce type de collecte de données a un niveau d'importance différent de celui des métadonnées ou des informations de connexion de base. Même si votre FAI ne vend jamais ces données, il collecte un ensemble de données assez intéressant.

C'est un problème de sécurité qui a certainement beaucoup d'implications potentielles sur la sécurité à long terme.

"Dans de nombreux pays, les gens s'attendent à ce que leurs communications soient considérées comme privées et la collecte de ces données va à l'encontre de cette attente de confidentialité."Il semble que certains membres du gouvernement américain n'aiment pas cela, cependant.
Dans de nombreux pays de l'UE, la vente de ces données irait à l'encontre des attentes des citoyens en matière de confidentialité ET de la loi.D'autres pays ne sont pas aussi préoccupés par la confidentialité.
Au moins en Allemagne, l'inspection approfondie des paquets est illégale.
En France, DPI est un lieu commun, au moins pour un FAI historique majeur (je vous laisse deviner lequel).
Si vous faites du DPI, il y a de fortes chances que vous puissiez exploiter une sécurité imparfaitement implémentée pour voir également à l'intérieur de HTTPS, etc.Les services de sécurité le peuvent certainement.Mon hypothèse de base est que * quelqu'un quelque part * peut voir tout ce que je fais en ligne.
@A.Hersean: Je trouve d'autant plus étonnant de voir à quel point l'interception des communications téléphoniques est fortement réglementée (ou du moins l'était quand j'ai fait mon stage ... il y a 10 ans).
Même sans l'aspect DNS, TLS avec SNI (qui est ce qui est couramment utilisé aujourd'hui) transmet le nom d'hôte en clair dans l'échange TLS initial, avant la mise en place du cryptage.
@A.Hersean Je suis à peu près sûr qu'ils ne peuvent pas vendre ces informations à des tiers ... donc la seule chose qu'ils pourraient faire est de dire: devinez combien de trafic vous utilisez en streaming par rapport à d'autres choses et facturez les montants différemment ou quelque chose du genre.comme ça.
@Bakuriu FYI: Un projet de loi est actuellement soumis au Congrès pour permettre aux FAI de vendre ces données.https://www.eff.org/deeplinks/2017/03/five-creepy-things-your-isp-could-do-if-congress-repeals-fccs-privacy-protections
@TreyBlalock Ce n'est pas pertinent ... du moins jusqu'à ce que les USA envahissent la France.
@JohnU: C'est peu probable et votre réclamation est un très mauvais service.Il n'y a aucun moyen de "voir à l'intérieur" HTTPS sans attaques actives qui non seulement inspectent le contenu mais le modifient.Les logiciels clients modernes ne le permettront pas à moins d'avoir été détournés (possible si le FAI vous a incité à installer le logiciel qu'ils ont fourni), et les utilisateurs avertis ** remarqueront ** toutes ces attaques actives, ce qui les rend à haut risque pour l'attaquant.Donc, pour des raisons pratiques, non, personne ne "voit à l'intérieur" de votre HTTPS.
@Magisch: auriez-vous des sources pour cette allégation sur l'illégalité du DPI en Allemagne?Cela aurait un impact important sur un grand nombre de pare-feu "intelligents" qui reposent sur des modèles de communication spécifiques pour identifier le trafic.
@WoJ Je pense qu'il est illégal de le faire uniquement pour les FAI.J'examinerai la question plus en détail et en trouverai la source quand j'aurai le temps.
La fuite d'informations DNS peut être atténuée avec DNS / TLS (qui n'est pas largement pris en charge).Mais alors SNI, fuit le domaine cible de toute façon.
@R .. D'après ce que j'ai lu sur Risks Digest, Bruce Schneier, etc., il n'est en aucun cas impossible / invraisemblable qu'il y ait des bogues, des défauts, des erreurs de configuration, etc.Quelles que soient les chances, puisqu'elles sont moins qu'infinies, il est recommandé de supposer que quelqu'un qui souhaite voir vos communications _peut_ le faire et agir en conséquence.La légalité est un point discutable, nous ne nous attendons pas à ce que nos fantômes jouent doucement lorsqu'ils protègent notre sécurité et nous ne nous attendons certainement pas à un comportement gentleman de la part de mauvais acteurs.
Juste pour être pédant: * "dans les cas comme aux États-Unis où ces données peuvent maintenant être vendues" * En supposant que vous faites référence à des décisions récentes, le libellé "peut maintenant être vendu" n'est pas tout à fait exact, car il n'y a jamais eu de pointmoment où il * ne pouvait * pas * être vendu - ces lois de protection de la vie privée qui ont été conservées ne devaient pas entrer en vigueur avant la fin de cette année de toute façon, donc rien n'a réellement * changé *.La décision a mis fin au changement qui était sur le point de se produire bientôt.Il n'y a cependant pas de * nouveau * risque.J'ai pensé qu'il était important de le signaler car il y a eu beaucoup d'idées fausses sur cette actualité récente.
@JohnU: Ce sont toutes des attaques actives, ce qui signifie qu'elles ne peuvent pas être déployées à grande échelle car la probabilité d'être capturé s'approche rapidement de 1,0 à mesure que le nombre de victimes augmente.La possibilité d'une attaque passive équivaut essentiellement à casser la cryptographie sous-jacente.
De plus, certains commentaires mentionnent SNI mais même sans cela, le serveur présenterait son certificat non chiffré qui contient généralement CN.
MiaoHatola
2017-03-27 23:24:22 UTC
view on stackexchange narkive permalink

La réponse de Trey Blalock décrit avec précision ce qu'est l'inspection approfondie des paquets (DPI). Mais j'aimerais ajouter trois choses pour répondre, espérons-le, à vos questions spécifiques:

  1. Il existe une technique de DPI qui décrypte vos données, appelée interception SSL, bien que il est plus courant dans les situations d'entreprise et n'est possible que si le FAI (ou tout autre intercepteur) a la capacité d'installer un certificat sur votre machine. Donc, à moins que le FAI n'ait un moyen de le faire (technicien, etc.), c'est probablement hors de propos.
  2. HTTPS empêcherait le FAI de lire les données. Bien sûr, cela n'est vrai que pour les services qui utilisent HTTPS (qui malheureusement ne sont pas tous). Vous devez également tenir compte du fait que le FAI peut lire les métadonnées, que la connexion soit cryptée ou non.
  3. Un VPN vous protégerait contre la DPI effectuée par le FAI (et non par le fournisseur VPN). Ceci est dû au fait que les VPN utilisent un tunnel crypté pour vous connecter au «nœud de sortie». Cela crypte tout votre trafic, et toutes les métadonnées afficheront les paquets quittant votre ordinateur et allant au serveur VPN (ne révélant donc pas le serveur réel auquel vous accédez).
Notez que certains FAI (par exemple Deutsche Telekom) sont eux-mêmes des autorités de certification acceptées.
@JonasWielicki Excellent point.Cela doit être pris en considération!
Vous pouvez toujours avoir une fuite DNS en utilisant un VPN qui peut informer votre FAI des domaines que vous visitez.
@JonasWielicki bien que ce serait illégal pour eux de le faire en raison des lois de l'UE, je pense?
@Tim Je ne connais pas les lois européennes (ou allemandes) à ce sujet.Mais étant donné que nous avons un service de messagerie électronique "sécurisé" pris en charge par l'état où les MSP sont autorisés à décrypter soi-disant "de bout en bout" (non, ce n'est pas le cas, sauf si vous comptez le MSP comme "fin") le courrier électronique à exécuteranti-spam et antivirus, je ne suis pas sûr de devoir me fier à ces lois.
L'utilisation de HTTPS crypte uniquement le contenu d'une page, n'est-ce pas?Donc, quel que soit le DPI, mon FAI ne saurait-il pas que je visite ce site Web particulier?
@cppanonhelp666 Oui.Je l'ai noté à la fin du deuxième point.
@JonasWielicki Bien que vrai, ce ne serait pas pour longtemps s'ils utilisaient leur statut de CA pour faire DPI.Entre WoSign et Symantec (bien que dans une moindre mesure), je ne pense pas qu'ils seraient épargnés s'ils généraient des certificats pour intercepter les connexions SSL.
@Ginnungagap Exactement, la surveillance des certificats CA s'est améliorée récemment.
@JonasWielicki: Bien qu'il existe une menace théorique / technique d'un tel abus, il serait illégal dans de nombreuses juridictions et constituerait une violation des politiques que les CA sont tenues de suivre afin de conserver la confiance du navigateur.À toute échelle non triviale (en gros, toute attaque non ciblée ou attaque ciblée d'utilisateurs avertis), cela serait rapidement détecté.
@emilhem Je m'attendrais à ce que tout le trafic DNS circule (en toute sécurité) via la connexion VPN.Ce n'est pas le cas?Quoi qu'il en soit, le VPN doit sortir quelque part et doit se connecter au réseau via un FAI (éventuellement différent), donc vous ne faites que pousser le problème ailleurs à ce stade.
Le point 1 peut être atténué / démasqué à l'aide de HSTS, bien que cela doive être implémenté à la fois par le fabricant du navigateur et le site, bien que cela n'empêcherait pas les en-têtes initiaux d'être visibles.
RE Point 1, je sais que j'ai vu au moins une question ici ou sur le super-utilisateur, d'une personne dont le FAI les forçait à installer manuellement un certificat MITM (IIRC pour prendre en charge l'espionnage gouvernemental) au cours des deux dernières années.
@jpaugh pas toujours.Cela dépend du type de logiciel VPN et de sa version.Faire une simple recherche sur "DNS leak [logiciel VPN]" affiche les problèmes dans les différents logiciels VPN et comment atténuer les fuites DNS.
@emilhem Le maintien d'un serveur DNS local atténuerait-il ce problème, ou est-ce que cela pose un autre ensemble de problèmes?
@KennethK.peut être.Cela dépend si votre serveur DNS local utilise le VPN ou non.En fait, cela pourrait être pire s'il n'utilise pas le VPN car la recherche DNS réelle provient de votre réseau et non d'un serveur DNS public (comme Google DNS), mais votre FAI pourrait utiliser des recherches DNS transparentes afin que vous soyez quand même foutu.J'utilise https://dnsleaktest.com/ pour vérifier si j'ai ou non une fuite.J'utilise également https://www.dnscrypt.org/
@Magisch Je suppose que (comme toujours en matière juridique) la réponse est "ça dépend".Dans le cas extrême, l'inspection approfondie (et la manipulation) des paquets peuvent même être légalement * exécutoires * afin d'installer par ex.un Bundestrojaner («cheval de Troie fédéral»).Dans d'autres cas, l'inspection approfondie (et la manipulation) des paquets dans le but de supprimer les logiciels malveillants * peut * être légale
Certains d'entre nous attendent / attendent / craignent depuis des années que les FAI exigent contractuellement que les clients placent un certificat racine ISP dans le magasin de certificats racine du client.Ou, de manière équivalente, pour le Royaume-Uni de l'exiger légalement.Cela permettrait au FAI de proxy et d'inspecter tout le trafic.Des applications comme Google Chrome détecteraient une telle interception de l'homme du milieu, mais ne peuvent pas l'empêcher.// Le Wifi sur les avions nationaux américains le fait généralement, mais permet souvent au trafic de recherche Google de passer sans encombre, afin de réduire les plaintes.// VPN et TOR n'aideront pas, à moins que steganographic.
MikeP
2017-03-28 04:23:39 UTC
view on stackexchange narkive permalink

Comme indiqué par Trey, DPI peut voir l'intégralité du contenu de votre trafic réseau. Tout. S'il s'agit de texte brut, ils voient tout ce que vous faites.

Pour compléter la réponse de Miao:

Ce que DPI peut voir, même lorsque vous utilisez HTTPS:

  • Informations DNS, par exemple https://catvideos.com/tigers - ils verront https://catvideos.com
  • la connectivité de l'adresse IP. Ainsi, même si vous utilisez HTTPS sur ce site avec des vidéos de chat, ils peuvent voir que vous vous êtes connecté à ce site de vidéo de chat et que vous avez téléchargé 500 Go de données. Ils ne savent pas quelles données, mais ils connaissent le nom DNS, l'adresse IP et la quantité de données sur ce site et sur chaque site.
  • Annonces. De nombreux / la plupart des réseaux publicitaires n'utilisent pas HTTPS, de sorte que les données ne sont pas toujours chiffrées. Cela peut entraîner un "cryptage mixte" ou un avertissement similaire d'un navigateur.
  • autres données: de nombreux sites utilisant HTTPS pour la connexion abandonneront alors le cryptage pour tout le reste.
  • graphiques: de nombreux sites ne crypteront pas des éléments tels que leur logo ou divers fichiers graphiques ou vidéo. Ils peuvent crypter votre connexion et votre recherche, mais pas les résultats.
  • d'autres trafics non HTTPS comme UDP, mail, SNMP, ftp, telnet, les mises à jour de certains logiciels peuvent ne pas utiliser HTTPS, etc.

Avec un VPN, ils verra toujours 100% des données. Cependant, à part la connexion au fournisseur VPN, ils ne verront que les données cryptées. Ils sauront que vous avez téléchargé 800 Go de VPNco.com, mais ne sauront rien des données à l'intérieur. Même les choses qui ne sont pas cryptées via le protocole seront cryptées car un niveau inférieur est le cryptage. Maintenant, VPNco.com verra alors vos données.

Avec le changement (potentiel) de la loi américaine sur les FAI et la confidentialité des données, combiné à la perte (potentielle) de neutralité du Net, les FAI pourraient non seulement voir 100% de vos données, mais aussi modifier ces données, ralentissent ou bloquent les sites qu'ils souhaitent, et pourraient être en mesure de vendre tout ou partie de vos données à un tiers (comme le déclare Trey).

Je ne parle pas du MITM (comme les états de Miao dans le n ° 1 ci-dessus), puisque vous avez déclaré FAI, je suppose que vous parlez d'un système domestique et d'un modem DSL ou câble.

https://stackoverflow.com/questions/499591/are-https-urls-encrypted

Donc, en fin de compte, cela se résume à qui un utilisateur fait-il confiance, un FAI ou un fournisseur VPN?Pour les VPN basés à, disons aux États-Unis lorsqu'ils déclarent qu'ils ne conservent pas de journaux (comme PIA), la NSA (ou la CIA) ne les obligera-t-elle pas à conserver des journaux ou à fermer boutique?
@cppanonhelp666 Ne faites pas confiance aux VPN basés aux États-Unis, car le gouvernement fera de son mieux pour extraire ces données.
Vous pouvez maintenant remplacer «changement (potentiel)» par «changement».
Alors, à qui (méfiez-vous) le plus?FAI, VPN, CIA / NSA, etc.?Je pense qu'au moins avec la CIA / NSA, ils recherchent des problèmes de sécurité nationale en ne regardant pas Netflix depuis une région différente ou en téléchargeant des vidéos de chats.Le FAI et la personne à qui il vend peuvent être intéressés par ces données.YMMV.
Klaws
2017-04-03 12:25:36 UTC
view on stackexchange narkive permalink

Avec une inspection approfondie des paquets, le FAI peut détecter la plupart des protocoles VPN (pas les données cryptées dans les paquets VPN, juste qu'il y a du trafic VPN) et le bloquer. Certaines entreprises font cela pour s'assurer qu'elles peuvent déchiffrer tout le trafic (avec l'attaque MITM et les certificats falsifiés pour avoir également DPI sur SSL). L'idée est de vous forcer à utiliser des canaux de communication «non sécurisés» en empêchant tout le reste. Notez que ces canaux «non sécurisés» peuvent être plus sécurisés, du point de vue de l'entreprise, car ils peuvent y faire de la prévention des fuites de données.

Dans un tel cas, des techniques VPN non standard, comme le tunnel HTTP, pourraient être une option.

Notez que les conditions d'utilisation peuvent interdire les mesures pour contourner le DPI.

Modifier: certains FAI utilisent le DPI pour la mise en forme du trafic. Ils ne consignent pas toutes les données transmises, ils vérifient simplement (par exemple) le trafic BitTorrent et lui attribuent une priorité inférieure ou une bande passante limitée. Maintenant, ils ne volent pas votre mot de passe, juste la bande passante pour laquelle vous payez ....

mathreadler
2017-03-31 16:55:25 UTC
view on stackexchange narkive permalink

Si vous ne faites pas confiance à votre FAI, votre première priorité ne devrait pas être du tout l'inspection des paquets, mais plutôt d'établir un deuxième canal de communication de confiance pour lequel vous pouvez échanger des informations sur le contournement de telles choses.

Tant que vous comptez uniquement sur votre FAI en tant que seul canal pour tous les échanges d'informations, ils peuvent techniquement vous envoyer des informations de connexion erronées à votre VPN, même s'ils ne le font pas, ils pourraient toujours prendre le relais toute poignée de main de chiffrement tentée, car elle sera toujours au milieu.

Ils pourraient avoir des personnes à leur emploi qui seraient corrompues pour le faire ou qui seraient tenues par la loi pour quelque raison que ce soit.

happyTroll
2017-04-02 22:48:48 UTC
view on stackexchange narkive permalink

Tout ce qui précède est vrai. Une dernière réflexion: votre FAI vous a-t-il donné un certificat racine auto-signé et est-il dans votre navigateur? S'ils l'ont fait, ils peuvent ouvrir votre trafic HTTPS.

Cela a déjà été traité dans le premier point de la [réponse de MiaoHatola] (https://security.stackexchange.com/a/155062/16960).
usrbs
2020-06-01 21:35:16 UTC
view on stackexchange narkive permalink

Vous avez installé un certificat de sécurité du fournisseur sur votre ordinateur, sinon il n'y avait pas une telle option, et maintenant il y a une question comment contourner ce test

Ceci est couvert par d'autres réponses.Et de quel «test» parlez-vous?


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...