Question:
Mon collège me force à installer leur certificat SSL. Comment protéger ma vie privée?
svetaketu
2015-11-04 19:57:57 UTC
view on stackexchange narkive permalink

L'administration de mon collège nous oblige à installer le certificat SSL de Cyberoam Firewall afin qu'ils puissent voir tout le trafic crypté pour "améliorer notre sécurité". Si je n'installe pas le certificat, je ne pourrai pas utiliser leur réseau.

Comment puis-je protéger ma vie privée dans une telle situation? L'utilisation d'un VPN suffira-t-elle à masquer tout mon trafic ou existe-t-il d'autres moyens?

Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/31128/discussion-on-question-by-svetaketu-my-college-is-forcing-me-to-install-their- ss).
Encore une fois, les commentaires ne sont pas destinés au chat. J'ai supprimé tous les commentaires publiés depuis la migration initiale vers le chat. Veuillez vous rendre sur le chat et commenter pour en discuter.
BTW Il existe également des certificats clients qui permettent à un utilisateur de se connecter automatiquement à un proxy ou à un service Web sans utiliser de mot de passe, et sont souvent confondus avec les certificats SSL. Les certificats clients ne compromettent pas la confidentialité (sauf l'identification et l'authentification) pour le trafic futur. [Docs Apache] (https://httpd.apache.org/docs/2.2/ssl/ssl_howto.html#accesscontrol)
Un moyen simple de ne pas compromettre votre ordinateur, d'utiliser le réseau compromis et peu d'efforts (comme l'installation d'une VM): ** Installez un navigateur individuel qui utilise son propre magasin de certificats ** (pas le magasin système) et installez le certificat uniquement dans ce navigateur. Utilisez ce navigateur uniquement pour travailler dans le réseau compromis, sans rien de privé ni aucun téléchargement de logiciel.
Si vous installez leur certificat (par exemple, dans une VM), et si vous utilisez Firefox, je vous recommande de définir [security.cert_pinning.enforcement_level] (https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning) dans about: config à 2 (strict). Cela les empêchera de contourner l'épinglage de clé publique (c'est-à-dire, les empêchera de quitter les sites MITMing qui ont établi un code PIN à clé publique). Voir [bogue Mozilla 1168603] (https://bugzilla.mozilla.org/show_bug.cgi?id=1168603) pour savoir pourquoi.
quel collège fréquentez-vous?
@D.W .: Cela va empêcher l'accès à ces sites, puisque le collège ** est ** MITM'ing toutes les connexions, y compris celles vers ces sites.
Qu'est-ce que cela signifie, installer un certificat SSL sur l'appareil?Je sais seulement installer le certificat SSL sur le site Web.Qu'est-ce que cela signifie en installant des certificats SSL sur le site Web?
Jeez, les poursuivre en justice?Je ne suis pas sûr.
Quatorze réponses:
R.. GitHub STOP HELPING ICE
2015-11-04 23:15:19 UTC
view on stackexchange narkive permalink

N'installez pas leur certificat sur une installation de périphérique / système d'exploitation que vous souhaitez utiliser pour une activité privée. Une fois que vous le faites, votre trafic est soumis à des attaques MITM même si vous n'utilisez pas le réseau de votre collège . Une telle attaque nécessite d'avoir la clé privée du certificat que vous avez installé, mais en pratique, c'est assez facile car ces «produits de sécurité» sont si mal conçus, et utilisent souvent soit une génération de clé très faible, soit une clé privée fixe qui est la même pour tous les déploiements et disponibles pour l'un de leurs clients. Dans un commentaire qui a depuis été déplacé vers le chat, TOOGAM a écrit:

Problème spécifique connu à propos du certificat de ce fournisseur spécifique "Il est donc possible d'intercepter le trafic de toute victime de un appareil Cyberoam avec n'importe quel autre appareil Cyberoam - ou pour extraire la clé de l'appareil et l'importer dans d'autres appareils DPI "

Si vous n'avez pas besoin de ressources sur leur réseau, utilisez simplement le wifi partage de connexion sur votre téléphone ou obtenez un dongle USB 3G dédié ou similaire à utiliser lorsque vous êtes sur le campus. Sinon, si le trafic non HTTP n'est pas soumis au MITM, vous pourrez peut-être utiliser un VPN sans installer le certificat. Dans ce cas, procurez-vous simplement un fournisseur VPN ou un VPN bon marché sur votre réseau domestique si vous en avez un.

Si vous avez besoin d'accéder à des ressources qui ne sont disponibles que sur le réseau du campus, installez un autre système d'exploitation dans machine avec le MITM CA installé uniquement dans la VM, et utilisez le navigateur de la VM pour accéder à ces ressources.

Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/31471/discussion-on-answer-by-r-my-college-is-forcing-me-to-install-their- ssl-certif).
La capacité du collège à surveiller les communications (sur les appareils sur lesquels le certificat est installé) est-elle spécifique à ce certificat SSL, ou quelque chose que tous les fournisseurs de certificats peuvent faire? Par exemple. Eduroam qui est fourni par de nombreux collèges?
@Winterflags: Chaque fois que vous installez un certificat d'autorité de certification personnalisé, vous dites à votre navigateur / système d'accepter les certificats signés par cette autorité de certification comme s'ils étaient signés par l'une des «vraies» autorités de certification approuvées par défaut. Toute personne disposant de la clé privée de l'autorité de certification personnalisée peut émettre des certificats falsifiés pour n'importe quel site et votre navigateur les acceptera comme il le ferait pour les vrais certificats.
Pour autant que je sache, Eduroam n'a rien à voir avec les certificats CA personnalisés mais utilise plutôt (comme une option) * les certificats clients * comme méthode d'authentification. Cependant, si vous êtes inquiet, ce serait une bonne idée d'ouvrir une nouvelle question sur ce que fait Eduroam plutôt que d'en discuter dans les commentaires sur cette question.
reirab
2015-11-05 00:01:21 UTC
view on stackexchange narkive permalink

Un VPN est certainement une bonne solution, à condition qu'il ne le bloque pas non plus.

La meilleure solution pour protéger votre vie privée, cependant, est probablement de faire de votre mieux pour faire annuler cette politique. C'est une politique de «sécurité» absolument odieuse. C'est littéralement une attaque intégrée de l'homme du milieu contre tout le monde sur le campus. Si leur pare-feu est compromis, l'attaquant peut alors intercepter tout ce que n'importe qui sur le campus a envoyé sur Internet, y compris les mots de passe, les numéros de carte de crédit, etc.

Il s'avère que ces appareils sont encore pires qu'ils ne l'avaient semblé au départ . Comme TOOGAM l'a souligné dans un commentaire, les membres du projet Tor ont constaté qu'au moins à partir de 2012, tous ces appareils utilisaient le même certificat CA! Cela signifie que toute personne ayant accès à l'un de ces dispositifs d'inspection approfondie des paquets à partir de Cyberoam ou à un certificat CA exporté depuis l'un d'entre eux peut intercepter le trafic provenant de toute personne disposant de ce certificat CA racine. Même si cela a été remédié au cours des 3 dernières années, cela jette un doute extrême sur la compétence des fabricants de cet appareil pour le sécuriser. C'est une raison de plus pour laquelle vous ne devriez absolument pas installer ce certificat et vous devriez obtenir autant de soutien que possible pour la suppression de cet appareil de votre campus.

De plus, comme cela a été souligné dans commentaires qui ont depuis été nettoyés, l'utilisation de cet appareil enfreint les conditions d'utilisation de presque tous les sites Web de la planète car il divulgue vos informations de connexion à un tiers (le collège.) Cela signifie que vous ne pouvez pas légalement respecter à la fois cette politique et les conditions d'utilisation de presque tous les sites Web.

S'il s'agissait d'un collège public aux États-Unis et qu'ils ne supprimaient pas cet appareil immédiatement, pour une faille de sécurité de cette ampleur, j'envisagerais vivement de contacter mon FBI Cyber ​​Task Force, qui être prêt à donner au collège une discussion très sévère. Ils prennent ce genre de choses très au sérieux et pour une bonne raison.

+1 pour "si leur pare-feu est compromis, l'attaquant peut alors intercepter tout ce que n'importe qui sur le campus a envoyé sur Internet"! Ce collège a vraiment besoin de changer ce qu'il fait!
Point intéressant sur les violations des TOS. Leur défense juridique soutiendrait qu'il ne divulgue pas le mot de passe à un tiers puisque tout le décryptage et le rechiffrement se produisent à l'intérieur de l'appareil, tant que ces données particulières ne sont pas stockées. Le TOS de l'université est probablement rédigé de telle manière que l'utilisateur final assume toute la responsabilité de la façon dont il utilise le réseau, y compris les violations de TOS de tiers. Pour mémoire, il existe d'autres marques d'inspecteurs SSL qui n'ont pas la vulnérabilité d'utiliser le même certificat pour tous les appareils.
@GuitarPicker J'accepte que la responsabilité de la violation d'autres TOS incombe à l'utilisateur, c'est pourquoi j'ai dit que vous ne pouvez pas légalement respecter à la fois les TOS du collège et presque tous les TOS de sites Web (ce qui signifie que vous violez l'un d'entre eux ou que leur connexion Internet est à peu près sans valeur pour vous de toute façon.) Et, oui, je suis sûr qu'il existe d'autres fabricants qui, espérons-le, n'utilisent pas le même certificat pour tous leurs appareils. Cependant, n'importe lequel d'entre eux, s'il est compromis de quelque manière que ce soit, détruit la confidentialité des données pour tous les membres du réseau, quel que soit le fabricant.
@BlacklightShining:, vous pouvez essayer d'impliquer le FBI dans n'importe quoi, pour savoir s'il se souciera suffisamment de faire quoi que ce soit, c'est une autre histoire.
@whatsisname C'est vrai, mais les agents spéciaux du FBI auxquels j'ai parlé au sein de la FCE ici prennent en fait les grandes failles de sécurité dans les grandes institutions (publiques et privées) plutôt au sérieux, car ils (à juste titre, l'OMI) les considèrent comme une menace sérieuse pour les Sécurité. De nombreux [APT] (https://en.wikipedia.org/wiki/Advanced_persistent_threat) utilisent des systèmes domestiques compromis pour organiser leurs attaques plus sophistiquées, car ceux-ci seront généralement moins examinés par les systèmes de détection d'intrusion, surtout si le système compromis appartient à une grande organisation réputée.
Avez-vous une source sur la façon dont cela vous amènerait à enfreindre les TOS d'un site Web tiers (par exemple, un échantillon d'une clause TOS typique)? D'un point de vue juridique, il est difficile d'imaginer comment l'utilisateur final pourrait être considéré comme responsable dans ce contexte - tout ce qu'ils ont fait est d'utiliser une connexion Internet qu'ils ont des raisons de présumer qu'elle est protégée contre une telle violation.
@JonBentley: Ils n'ont pas «toutes les raisons de présumer que c'est sûr»; En fait, tout le contraire. Ils installent explicitement une porte dérobée que quelqu'un d'autre leur a demandé d'installer.
@R Je ne suis pas du tout d'accord. Vous et moi, par le fait que nous sommes sur ce site, avons une chance statistiquement élevée de le réaliser. L'utilisateur moyen, à qui son université demande d'installer un logiciel avant de pouvoir accéder au réseau, a peu de chances d'avoir une compréhension même vague des conséquences sur la sécurité. Au contraire, la réponse la plus probable est de croire que l'université sait ce qu'elle fait.
@JonBentley Je suppose que le collège a au moins indiqué clairement qu'il espionnait le trafic crypté. S'ils ne le précisaient pas, alors une attente raisonnable en matière de vie privée existerait probablement, ce qui ouvre une toute nouvelle boîte de vers pour le collège en termes de responsabilité juridique (au moins civile et peut-être pénale.) J'essaierai de le faire. éditer dans quelques extraits TOS demain. Pour un exemple rapide, cependant, le propre TOS de StackExchange stipule que l'utilisateur doit indemniser StackExchange pour toute responsabilité découlant de l'utilisateur ou de toute autre personne utilisant son compte.
@JonBentley Je pense que tout ce que reirab essaie de dire, c'est que de nombreux sites vous demandent de conserver vos informations d'identification dans leur TOS, et les exigences du collège enfreignent explicitement cela. Que vous ou le collège soyez tenus responsables n'est pas la question; le fait est que vous ne pouvez pas suivre les deux politiques et que ce sera un énorme gâchis si vos comptes sont compromis à cause de cela.
Thomas Pornin
2015-11-04 20:59:00 UTC
view on stackexchange narkive permalink

Votre collège fournit le service de "connexion réseau" sous certaines conditions, l'une d'entre elles étant la possibilité pour les administrateurs système du collège d'inspecter tout le trafic. Bien qu'il soit tentant de vaincre la curiosité de ces administrateurs système avec un gadget technique (par exemple un VPN, comme cela a été suggéré dans une autre réponse), ce serait une tentative explicite de vaincre les «systèmes de sécurité» du réseau universitaire et cela peut vous amener dans un énorme tas de problèmes. Le plan d'action le plus sage serait alors de ne pas faire cela, et d'utiliser à la place votre propre Internet (par exemple via votre téléphone personnel).

Les commentaires ne sont pas destinés à une discussion approfondie; cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/31116/discussion-on-answer-by-thomas-pornin-my-college-is-forcing-me-to-install- leur).
Qu'est-ce qui en fait un "gadget"?
@PaulDraper "contournement" serait un synonyme ici.
À moins que les conditions n'interdisent l'utilisation d'un VPN, vous ne les enfreignez probablement pas. Les systèmes de sécurité sont probablement là, de sorte que si les forces de l'ordre veulent savoir qui visite une page ou un site spécifique, ils peuvent être localisés. Si vous utilisiez un VPN, les forces de l'ordre ne se retrouveraient pas à la connexion de l'université, mais à la place où votre VPN se termine, ce qui signifie que l'université n'aurait rien à faire.
@MatthewSteeples Sauf si le fournisseur VPN leur a dit que la connexion provenait de l'université.
@immibis Le fournisseur VPN n'en aurait pas besoin. Si les forces de l'ordre s'adressent à un fournisseur VPN et lui demandent qui utilisait cette adresse IP, elles ont déjà les détails de l'utilisateur car elles auront utilisé un nom d'utilisateur et un mot de passe. Ils ne dévieront pas de la responsabilité d'identifier la personne à quelqu'un d'autre. Il y a de fortes chances que si les forces de l'ordre vous poursuivent pour quelque chose, le fait de ne pas respecter les règlements de l'université est au bas de votre liste de soucis!
@MatthewSteeples Un nom d'utilisateur n'est pas suffisant pour identifier quelqu'un, en général. (C'est parfois, comme celui-ci)
@immibis C'est vrai, mais je travaille sur l'hypothèse que le fournisseur VPN n'est pas gratuit, donc en sait plus sur vous que votre nom d'utilisateur. Certes, vous auriez pu utiliser des détails de carte volés, une carte de crédit prépayée ou autre chose, mais je n'aborde pas cela du point de vue de la façon de s'en sortir avec quelque chose, illustrant simplement que l'université peut simplement faire cela pour couvrir la leur dos
Mark Buffalo
2015-11-04 20:24:52 UTC
view on stackexchange narkive permalink

N'utilisez pas leur réseau pour quelque chose de personnel . C'est la meilleure façon de protéger votre vie privée contre eux.

Si vous n'avez pas le choix, utilisez une machine virtuelle et installez le certificat sur la machine virtuelle au lieu de votre machine principale. Cela peut vous permettre de protéger votre vie privée.

Personnellement, j'ai toujours utilisé un ordinateur séparé pour ce genre de problèmes. En aucun cas, je n'autoriserais une entreprise / un établissement d'enseignement à installer quoi que ce soit sur mon propre équipement, sauf si je prévoyais de le retirer de l'orbite plus tard.

+1, mais "N'utilisez pas du tout leur réseau dans la mesure où vous pouvez l'éviter" pourrait être un conseil encore meilleur.
C'est un mauvais conseil. Une fois que vous avez installé le certificat, vous êtes vulnérable ** même lorsque vous n'utilisez pas leur réseau **. La plupart de ces produits MITM utilisent la même clé privée partout, ou une génération de clé faible, ce qui signifie qu'un attaquant sur tout réseau tiers auquel vous vous connectez pourrait également vous MITM en utilisant le fait que votre navigateur fait confiance au certificat CA malveillant de votre collège. .
Ce n'est pas vraiment faisable pour les étudiants qui vivent sur le campus.
Utilisez un VPN basé sur ssh et connectez-vous pour la première fois à partir d'un autre réseau et établissez une authentification par clé. Ils * ne peuvent * pas enfreindre cela.
+1 million pour l'idée de la machine virtuelle. Installez le certificat là-bas, utilisez-le uniquement pour les travaux scolaires, et jamais! faire quelque chose de sensible à l'intérieur. Vous pouvez également (pas à la place) faire la même chose pour les activités sensibles (comme les opérations bancaires) - avoir une VM juste pour des choses sécurisées, et la démarrer uniquement hors campus et avec un VPN.
@MarkHulkalo - Dans quelles circonstances le VPN ne le protégerait-il pas s'il n'a jamais installé leur certificat SSL sur son ordinateur?
@Johnny, à ce stade, je supposais qu'il avait choisi de l'installer, mais qu'il utilisait également un VPN.
@R .., Michelle - les conseils offensants ont été supprimés.
Utiliser une VM pour cela est assez exagéré. Vous pouvez créer un compte Firefox séparé et installer le certificat MITMing uniquement là-bas. J'ajouterais un thème spécial afin de reconnaître facilement la session: vous ne voulez pas vous connecter à un compte distant externe (ou faire des choses personnelles) avec ce compte Firefox (mais vous pouvez utiliser le compte collège à partir de là).
Je ne suis pas d'accord pour dire que c'est exagéré. Même avec un thème, je ne voudrais pas utiliser la mauvaise installation par accident. De plus, il vous protégera contre la plupart des logiciels malveillants Web.
@ysdx au lieu d'utiliser simplement un profil et un thème de navigateur différents, je vous conseillerais d'utiliser un navigateur différent tous ensemble pour une différenciation plus forte et pour rendre l'utilisation du mauvais navigateur plus difficile par accident. Si vous n'êtes pas fermement attaché à un navigateur plutôt qu'à l'autre, FF au lieu de Chrome (ou vice versa) fonctionnerait. Si vous le faites, ces deux navigateurs ont plusieurs fourches disponibles.
@Mark: Eh bien, je pensais à un thème comme celui-ci: https://addons.mozilla.org/fr/firefox/addon/danger/ ou peut-être ce https://addons.mozilla.org/fr/firefox/addon/virus -Attention/
abligh
2015-11-05 02:15:41 UTC
view on stackexchange narkive permalink

Si ssh n'est pas filtré, vous pouvez utiliser ssh pour produire un proxy SOCKS fonctionnant sur un tunnel ssh . Vous n'avez pas besoin d'installer de logiciel pour que cela fonctionne. Vous n'avez pas besoin de logiciel VPN. Ce qui suit fonctionnera sur une machine Linux ou un Mac (et peut probablement fonctionner sous Windows):

  • Obtenez un compte shell (ou une VM, mais c'est sur le dessus) quelque part

  • Vérifiez que vous pouvez vous y connecter avec ssh depuis l'extérieur de votre institution et accepter la clé d'hôte (en dehors de l'institution pour vous assurer ils ne sont pas MTiM'ing ssh - peu probable)

  • Dans un terminal ssh -D 8080 -N username@host.name. ici (notez que cela semble se bloquer)

  • Utilisez maintenant 127.0.0.1:8080 comme proxy SOCKS

Une fois que cela fonctionne, vous pouvez (facultativement) utiliser autossh à la place de ssh et cela maintiendra le tunnel - vous le serez probablement besoin de l'installer.

Instructions Windows non testées (nécessitant le téléchargement de PuTTY) ici.

La raison pour laquelle cela fonctionne est que votre trafic HTTPS ne circule plus sur le port 443. Il circule (rechiffré) sur le port 22. Par hypothèse, ils ne sont pas inter cepting le protocole ssh . Et s'ils le sont, vous pouvez le dire. Votre trafic ressemble au trafic ssh (car il s'agit du trafic ssh ) - bien qu'une analyse détaillée du trafic puisse suggérer qu'il s'agit d'un trafic ssh transportant des requêtes Web mandatées. Il n'est donc pas immédiatement identifiable comme trafic VPN. De plus, votre université ne bloquera probablement pas le trafic ssh car il sera utilisé par les étudiants CS.

Un autre moyen serait de vous connecter à votre téléphone portable et d'utiliser un plan de données .

Je changerais la commande en `ssh -f -D 8080 -N username@host.example.com`. Le `-f` le mettra en arrière-plan de sorte que la commande ne semble pas se bloquer.
"Par hypothèse, ils n'interceptent pas le protocole ssh. Et s'ils le sont, vous pouvez le dire." - pouvez-vous expliquer comment vous pouvez savoir s'ils font un MiTM sur le trafic ssh?
@Floris, il est tout à fait possible de savoir s'ils interceptent SSH, mais vous devez connaître l'empreinte digitale de la clé du serveur * avant * d'essayer de vous connecter via le réseau compromis. Cela s'appelle «confiance lors de la première utilisation» et SSH enregistre l'empreinte digitale de la clé qu'il voit la première fois qu'il se connecte à un serveur (cela peut être désactivé, bien sûr). Lors des connexions suivantes, si l'empreinte digitale change, il imprime [un avis très désagréable] (http://stackoverflow.com/q/20840012/1830736).
@thirtythreeforty ah oui - j'ai vu cet avis ... Vous fait vraiment vous asseoir et faire attention. L'astuce consiste donc à établir cette connexion d'abord lorsqu'il n'y a aucune possibilité d'attaque MiTM, puis à ne pas ignorer aveuglément les avertissements. Merci pour la clarification!
njzk2
2015-11-05 02:06:53 UTC
view on stackexchange narkive permalink

Lisez les T&C.

Vérifiez si vous êtes autorisé à utiliser un VPN (certains protocoles peuvent être interdits, les VPN peuvent l'être aussi).

Si vous l'êtes, utilisez un VPN, et ne vous connectez jamais à aucun site directement via leur réseau. (À moins que vous n'utilisiez l'épinglage de certificat, mais que la connexion échouera probablement car le certificat ne correspondra pas). Des tables de routage précises peuvent vous aider avec cela. Vous n'aurez peut-être même pas besoin d'installer le certificat (vous en aurez peut-être besoin pour installer le certificat pour vous connecter à quelque chose lorsque vous vous connectez au réseau).

Si vous êtes pas autorisé à, eh bien ...

  • N'installez pas le certificat sur un ordinateur que vous utilisez à des fins personnelles. Utilisez une autre machine ou une machine virtuelle. Ne faites jamais rien de personnel sur cet ordinateur / VM.
  • Parlez-en avec vos camarades. Sensibilisez votre entourage à ce problème.
  • Portez l'affaire devant l'autorité compétente. Vous pouvez demander des conseils sur http://law.stackexchange.com pour savoir si vous pouvez protester contre cela.

Ne faites rien contre les T&C, c'est la meilleure façon d'être simplement banni du réseau, ou pire.

tylerl
2015-11-05 12:43:18 UTC
view on stackexchange narkive permalink

N'utilisez pas le réseau.

C'est à peu près votre seule option. Toute tentative de contourner leurs mesures de "sécurité" serait très probablement considérée comme un "accès non autorisé" en vertu de la CFAA (sous la juridiction des États-Unis) et pourrait entraîner de nombreuses années de prison.

court, mais vos chances sont plutôt minces. Les institutions publiques et privées font ce type de surveillance et d'interception du réseau depuis de nombreuses années sans enfreindre la loi.

Je ne pense pas vraiment que vous iriez en prison pour avoir utilisé un tunnel VPN ou SSH aux États-Unis.Dans d'autres juridictions (par exemple les EAU), peut-être.
Steffen Ullrich
2015-11-04 21:54:31 UTC
view on stackexchange narkive permalink

nous oblige à installer le certificat SSL Cyberoam Firewall afin qu'ils puissent voir tout le trafic crypté pour "améliorer notre sécurité".

Les logiciels malveillants sont également envoyés via HTTPS, donc il est probablement vraiment leur intention d'améliorer la sécurité en analysant le trafic crypté pour les logiciels malveillants. S'ils veulent juste bloquer l'accès à certains sites, ils pourraient probablement le faire sans interception SSL.

L'interception SSL est très courante dans les entreprises pour exactement la même raison, c'est-à-dire pour protéger l'entreprise contre les logiciels malveillants.

L'utilisation d'un VPN suffira-t-elle à masquer tout mon trafic ou existe-t-il d'autres moyens?

Cela dépend de la configuration de leur réseau. S'ils sont assez intelligents, ils bloquent l'utilisation du VPN, etc. Et j'imagine qu'ils interdisent explicitement de contourner le pare-feu en utilisant de telles technologies, car cela signifie contourner la protection et rendre le réseau moins sécurisé. Attendez-vous donc à perdre la connexion réseau si vous utilisez un VPN.

Si je n'installe pas le certificat, je ne pourrai pas utiliser leur réseau.

Si vous possédez le réseau, il existe suffisamment de moyens pour attaquer l'ordinateur ou envahir la vie privée des utilisateurs, même sans l'utilisation de l'interception SSL. Si vous ne leur faites pas confiance, n'utilisez pas leur réseau, qu'ils utilisent ou non l'interception SSL.

Non seulement les logiciels malveillants sont envoyés via HTTPS, mais certains d'entre eux utiliseront SSL pour téléphoner à la maison.
À moins que l'université ne fournisse également les ordinateurs, comparer cela à ce qu'une entreprise fait à son propre équipement est une comparaison pommes à oranges - à moins que vous ayez des exemples d'une entreprise installant un certificat sur un ordinateur personnel?
Je pense qu'il est plus probable qu'ils utilisent des filtres de contenu pour arrêter le contenu «interdit» comme les films, la musique et les logiciels piratés plutôt que les logiciels malveillants. S'ils voulaient arrêter les logiciels malveillants, ils pourraient simplement proposer un antivirus gratuit qui aidera à protéger les utilisateurs même lorsqu'ils ne sont pas sur le réseau du collège.
@user2813274 Il y a de fortes chances que l'université fournisse des ordinateurs, mais * aussi * permet aux étudiants d'utiliser leurs appareils personnels (en tant que «bonus» qu'il n'est pas nécessaire qu'ils fournissent). Dans ce cas, si le demandeur ne souhaite pas que les politiques du réseau universitaire s'appliquent à son appareil personnel, il doit simplement ne pas connecter son appareil personnel au réseau universitaire et utiliser à la place les ordinateurs fournis.
Le filtrage @Johnny: des hôtes auxquels il est possible d'accéder peut souvent déjà être effectué sans interception SSL. Et c'est une énorme différence entre offrir un antivirus gratuit et s'assurer que tout le monde l'utilise. En dehors de cela, de nombreux antivirus actuels ont leur propre interception SSL.
«et rendre le réseau moins sécurisé» - moins sécurisé pour la personne utilisant le VPN, c'est-à-dire. Tout le monde est à peu près également exposé, que certains utilisent ou non des VPN, car les gens sont parfaitement libres d'être infectés à la maison ou dans un café, puis de connecter leur appareil compromis au réseau.
Justin Beale
2015-11-04 22:23:08 UTC
view on stackexchange narkive permalink

Comment pourraient-ils vérifier si vous avez ou non installé leur certificat SSL? Exécutent-ils également des logiciels sur votre ordinateur local? Sinon, je penserais que les effets indésirables seraient simplement que vous ayez à gérer de nombreuses erreurs de certificat de votre côté.

Ce que je ferais si j'étais vous, c'est soit le dual-boot, soit la virtualisation. Ayez votre système d'exploitation dangereux sur lequel vous installez tous leurs «outils de sécurité» et certificats et (et n'utilisez rien que vous ne voulez pas que quelqu'un voie), puis, lorsque vous voulez la confidentialité, revenez en arrière à votre système d'exploitation sécurisé. Si vous vivez sur le campus et que vous utiliserez presque toujours leur réseau, il vous suffit de demander à votre système d'exploitation sécurisé d'utiliser un VPN par défaut, ce qui devrait contourner leurs exigences. Il y a des façons dont ils peuvent le remarquer, mais vous pouvez toujours leur dire que vous avez un travail ou quelque chose et que vous en avez besoin pour travailler, et ils pourraient vous croire et vous laisser tranquille.

Sinon, je dirais hotspot cellulaire. Mais je sais que lorsque j'étais à l'université, je ne pouvais pas me permettre le type de forfait de données dont j'avais besoin.

Si cela fonctionne de la même manière que le système de surveillance bluecoat que mon employeur utilise; sans leur certificat installé, vous ne pourrez pas accéder aux sites HTTPS qui ne sont pas sur la liste blanche. Cela fait assez longtemps depuis la dernière fois que j'ai dû charger un nouveau certificat que je ne me souviens pas si le mode d'échec était BC bloquant la demande sortante, ou interceptant la poignée de main en la MITMing et en renvoyant un résultat protégé par le certificat BC au lieu du sites normaux cert et déclenchant l'erreur de certificat invalide dans le navigateur.
"les effets négatifs seraient simplement que vous ayez à gérer de nombreuses erreurs de certificat de votre côté." - eh bien, vous rencontreriez une erreur de certificat pour * chaque site Web *, et contourner les erreurs de certificat a le même effet que l'installation du certificat.
Les erreurs de certificat sont le tracas minimum. S'ils configurent l'équipement pour bloquer tous les SSL non conformes, aucun site SSL ne fonctionnera. S'ils vont encore plus loin et nécessitent que tout le trafic Web soit proxy via SSL, alors tout le trafic Web pourrait être bloqué. Fondamentalement, si vous souhaitez utiliser leur passerelle, vous devrez suivre leurs règles.
sixtyfootersdude
2015-11-05 00:22:36 UTC
view on stackexchange narkive permalink

Solution proposée: utilisez une machine virtuelle avec le certificat installé lorsque vous souhaitez utiliser leur réseau. De cette façon, vous serez très clair quand vous utilisez leur réseau et quand vous ne l'utilisez pas. Vous pouvez également supprimer la VM lorsque vous n'avez plus besoin d'utiliser son réseau.

Cela ne l'empêche pas de voir son mot de passe de messagerie reniflé, ses coordonnées bancaires, ses conversations privées, ou, ou, ou ...
@J.J - C'est vrai, mais cela l'empêche d'accéder accidentellement à son email / banque / privateInfo alors qu'il est connecté à leur réseau. C'est un déclencheur UX très clair qui rappellera à l'utilisateur de ne pas accéder aux données privées.
bain
2015-11-09 19:05:36 UTC
view on stackexchange narkive permalink

Ne contournez pas le pare-feu. D'autres réponses ont déjà couvert les options techniques, mais cela est déconseillé - tous les produits de filtrage que j'ai vus bloqueront le contournement, ou l'autoriseront mais notifieront un administrateur, ce qui vous causera des ennuis. Cela peut sembler une astuce intelligente de faire quelque chose que vous n'êtes pas autorisé à faire, mais les autorités vous piétineront - soit en vous interdisant du réseau, ce qui rendra vos études difficiles, ou en vous expulsant du collège. Quoi qu'il en soit, l'impact potentiel sur votre vie à long terme ne vaut pas le gain à court terme d'avoir une connexion Internet non filtrée à l'université.

La seule vraie option technique est d'utiliser votre propre connexion Internet via une 3G technologie mobile ou similaire. Vous pouvez installer un proxy local et acheminer vos connexions HTTPS via la liaison 3G, et tout le reste via le réseau universitaire.

L'interception SSL par des filtres Internet dans les établissements d'enseignement est en train de devenir une pratique répandue. Si vous souhaitez prendre position contre cela, examinez vos options juridiques. Dans de nombreuses juridictions, l'interception de communications privées sans le consentement des deux parties constitue une violation de la loi sur l'écoute électronique. Même si l'argument soutient que vous avez volontairement consenti à l'interception en installant le certificat SSL, il est certainement vrai que le site Web distant ne l'a pas fait. Pour autant que je sache, aucun étudiant n'a jamais contesté l'interception SSL sur cette base, mais quelqu'un doit être le premier. Des cadres supérieurs d'une entreprise de filtrage m'ont dit une fois que si l'interception SSL est illégale, ce n'est pas leur problème - c'est leur client qui enfreint la loi - et ils doivent l'offrir en option, sinon ils perdront des ventes.

La sécurité de ces filtres / pare-feu Internet est souvent terriblement mauvaise:

  • Certains utilisent le même certificat SSL pour tous leurs clients. Trivial à extraire avec un accès administrateur ou physique. Si un pare-feu est compromis, chaque pare-feu l'est.

  • Utilisation d'anciens logiciels présentant des vulnérabilités de sécurité connues. Je connais un fournisseur commercial avec une gamme de produits actuelle basée sur un logiciel sorti en 2004. Si vous pouvez obtenir un accès utilisateur, l'accès root est trivial.

  • Accès à distance non sécurisé. Les équipes de support utilisent généralement le même mot de passe d'installation et de maintenance à distance pour tous les clients. Un attaquant qui sait que ce mot de passe peut accéder à distance à n'importe quel système client.

  • Il existe une «liste blanche» de sites sur lesquels l'interception SSL n'est pas censée être effectuée (comme les principaux banques). Cependant, si vous avez accès au système, il est trivial de modifier le logiciel pour ignorer ou supprimer la liste blanche.

  • Je connais au moins un cas où un attaquant externe a géré pour accéder au serveur de développement contenant le code source d'un produit de pare-feu majeur. Le développeur principal m'a dit: "nous ne savons pas jusqu'où ils sont arrivés dans le réseau interne, ni ce qu'ils ont fait une fois qu'ils y étaient."

Le message à retenir est que ces appareils sont assez vulnérables à un pirate informatique déterminé, et une fois que l'accès est obtenu, ils pourraient intercepter trivialement chaque mot de passe de chaque connexion SSL de centaines de milliers d'utilisateurs. Je suis surpris que nous n'ayons pas encore entendu parler de ce genre d'attaque, mais peut-être que c'est déjà le cas et les pirates sont trop occupés à vider les comptes bancaires pour s'en vanter. La connaissance publique d'une telle attaque serait extrêmement dommageable pour tout fournisseur de pare-feu / filtre, et ils feraient tout ce qu'ils pourraient pour la dissimuler.

Mise à jour de décembre 2015 : Portes dérobées trouvées dans le pare-feu Juniper, présent depuis 2012.

"Le développeur principal m'a dit:" nous n'avons aucune idée de leur niveau de pénétration dans le réseau interne, ni de ce qu'ils ont fait une fois qu'ils y sont. "" <- eh bien, la sécurité du réseau n'est probablement pas leur travail.
@immibis _ "Nous" _ comme dans _ "l'entreprise" _, pas _ "Je personnellement" _
ThoriumBR
2015-11-04 20:46:46 UTC
view on stackexchange narkive permalink

Vous pouvez utiliser leur certificat, et utiliser un VPN en plus.

Vous pouvez créer une table de routage personnalisée, acheminant tout sauf le trafic réseau interne via le VPN. De cette façon, ils ne peuvent déchiffrer que les connexions entre vous et les systèmes du réseau universitaire. Tout le reste sera acheminé via votre connexion VPN et sera sécurisé.

Mais l'utilisation d'un VPN fera que tout votre trafic sera dirigé vers un seul serveur (votre fournisseur VPN), et semblera sûrement très suspect sur les journaux. Si votre université n'autorise pas les connexions VPN, il est préférable de ne pas en utiliser une ou de l'utiliser uniquement pour des tâches spécifiques (comme la vérification des e-mails, par exemple). Utiliser FoxyProxy sur Firefox peut vous aider.

J'ai eu affaire à une école tout aussi restrictive et j'ai eu recours à un VPN, ils n'aimaient pas cela, mais l'un des membres du personnel du réseau a souligné que le trafic VPN n'était plus leur problème.
Toute solution qui implique l'installation de leur certificat vous rend vulnérable ** même lorsque vous n'utilisez pas leur réseau **. C'est un mauvais conseil.
Vous n'êtes pas obligé d'installer le certificat à l'échelle du système. Installez-le uniquement sur votre navigateur alternatif.
@ThoriumBR: C'est aussi une idée raisonnable.
C'est une bonne idée pour limiter la portée de ce qu'ils peuvent inspecter, mais ne vous attendez pas à ce que vos autres navigateurs et applications aient une connectivité.
@GuitarPicker Pour tout le reste, vous utiliserez votre connexion VPN.
dimo414
2015-11-05 09:46:58 UTC
view on stackexchange narkive permalink

Je pense que vous pouvez utiliser en toute sécurité un appareil Chrome OS, avec un compte Google "école" dédié que vous utilisez uniquement pour accéder au réseau de l'école. Le passage à un autre compte (par exemple, votre compte personnel) n'utilisera plus le certificat de l'école ni aucun des paramètres de cet utilisateur, et Chrome OS est conçu pour isoler les comptes en toute sécurité.

Cet article d'aide un> (écrit pour les administrateurs de domaine, pas pour les utilisateurs) mentionne que cela est possible, et note également que cela ne s'applique que lorsque l'utilisateur du domaine est connecté.

Luc
2015-11-10 22:14:32 UTC
view on stackexchange narkive permalink

J'ai cherché un moyen d'utiliser Tor sur HTTP (sans la commande proxy CONNECT ) lorsque j'ai lu votre question pour la première fois, mais les réponses plus anciennes disaient toutes que c'était actuellement impossible (je n'ai trouvé qu'une seule proposition de 2013 qui n’a jamais abouti). Maintenant, je suis juste tombé dessus, je ne suis pas sûr que ce soit ce dont vous avez besoin, mais cela y ressemble totalement:

https://trac.torproject.org/projects/tor/wiki/doc/meek

meek est un transport enfichable qui utilise HTTP pour transporter des octets et TLS pour l'obscurcissement



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...