这是一个创建于 2518 天前的主题,其中的信息可能已经有所发展或是发生改变。
问题
公司连入网络需要安装证书,进行 802.1X 的账户密码鉴定,mac 绑定 ip 地址。 证书现在只信任 EAP 协议以及 X.509 基本策略。 这种情况下,HTTPS 会被审计吗?网管可以通过这 2 个协议进行中间人攻击来监听信息吗?
 |
1
jedrek 2017-12-27 10:06:03 +08:00
曝光名字, 避免踩坑
|
 |
2
oott123 2017-12-27 10:40:22 +08:00
https 不会
|
 |
3
dr3am 2017-12-27 10:47:54 +08:00
https 协议目前很难审计。。毕竟需要审计设备支持的证书足够多,放心吧
|
 |
5
copriwolf OP @dr3am 想请教为什么“需要审计设备支持的证书足够多”?如果捕捉 SSL,不是信任 SSL 被能被中间人攻击然后嗅探到吗?
|
 |
7
runntuu 2017-12-27 11:26:14 +08:00 via iPhone
现在对 https 的审计实现基于中间人拦截技术,通常做法是在网络出口加审计设备对 https 请求拦截,由审计设备代为发起 https 请求并返回结果。
这样做的最大 bug 是替换掉了原始 ssl 证书,所以要验证也很简单,打开网页的时候检查地址栏是不是有小绿锁,证书的颁发机构还是不是目标网站。 |
 |
8
coolcoffee 2017-12-27 11:30:34 +08:00 via iPhone
你用 charles mac 版本试一下导入根证书,然后按照那样的证书设置,最后再看下劫持 https 的时候浏览器有没有警告
|
|
9
copriwolf OP @runntuu 问题在于类似微信 /邮箱这种,并不能在浏览器里验证 HTTPS 的颁发机构。然后我现在已经信任了根证书(虽然不是全部协议都信任,如上图所示),所以存在中间人代为发起的可能性,这种有验证方法吗?
|
|
10
copriwolf OP @coolcoffee 可是我的出口是依托公司的网络,而 charles 只是在软件级的拦截。会不会不一样呢?
|
 |
11
gamexg 2017-12-27 11:37:09 +08:00
打开一个 https 站点,然后查看证书是谁签发的,如果是公司签发的就可以监听,否则现在没监听。
|
 |
13
rrfeng 2017-12-27 11:48:58 +08:00 via Android
如果你设置信任中间人的证书,那也会显示小绿锁。
|
 |
14
xenme 2017-12-27 12:03:28 +08:00 via iPhone
本地抓个包,看看 ssl 协商发过来的 server certificate 就好了么
wifi 认证的就是个 server cert,并不是 root ca,基本不会用来 mitm 的。再说,要监控企业部署个 root ca 到你电脑上也行啊,没必要混用 |
|
15
xenme 2017-12-27 12:04:50 +08:00 via iPhone
刚仔细看才发现是 root,抓包吧,包头很容易看到的,很容易确定
|
 |
16
dndx 2017-12-27 12:13:54 +08:00 via iPhone
选择只信任 EAP,TLS 连接不会尝试用这个 CA 验证的。
|
|
17
copriwolf OP @xenme 我们现在企业就是让我安装 root ca 才能通过验证上网啊,如果所示。。。。。。
所以疑问就是,如果程序走 ssl,不确定有没有黑科技能够被出口捕获攻击 |
 |
19
mooncakejs 2017-12-27 12:47:20 +08:00
@jedrek 对于一些公司来说,审查网络很正常吧
|
 |
21
avrillavigne 2017-12-27 13:44:45 +08:00
公司有 root ca 不说话
 |
|
22
copriwolf OP @avrillavigne 因为要验证上网啊,只是考虑附带的风险
|
|
23
copriwolf OP @dndx 明白,感谢了。还有一个问题是,如果走 shadowsock,有可能会被嗅探到吗? shadowsock 使用 aes256 来加密的
|
 |
24
julyclyde 2017-12-27 16:45:41 +08:00
你这个只能叫自签名证书
不能叫根证书 虽然安装以后是装在根证书区里的 |
 |
25
TigerK 2017-12-27 20:07:31 +08:00
你可以只给一个浏览器安装证书啊,比如说 Firefox,可以创建好几个用户配置呢
|
 |
26
yingfengi 2017-12-27 20:14:09 +08:00 via Android
明显是做 https 审计了
这种策略我上过,某公司弄了。 设备签发一个证书的,你信任了设备的根证书。 |
 |
27
ouqihang 2017-12-27 20:52:33 +08:00
要看公司是怎么规定的,有些证书真的只是鉴权用。
|
 |
28
azh7138m 2017-12-27 20:56:51 +08:00 via Android
黄龙国际?怕不是同事。。。
|
 |
29
terence4444 2017-12-27 20:59:04 +08:00 via iPhone
Firefox 证书独立于操作系统
|
 |
30
leots 2017-12-27 21:03:28 +08:00
我们学校也是通过这种方式认证上网的...
后来发现其实只是用来认证上网...... |
|
34
copriwolf OP @terence4444 mac 上面是要系统级信任证书才能进行 802.1x 认证登陆。主要是要认证了才能上网。
|
 |
38
lshero 2017-12-27 22:27:25 +08:00 via Android
打开浏览器看看当前站点用的证书不就搞定了嘛
|
 |
39
zscself 2017-12-27 23:34:47 +08:00
就是公司图省钱不愿意买证书,自己整了个根证书呗~
我认为哈,既然勾选了“ SSL 不信任”,是不是就意味着在 SSL 握手过程中,系统会把这个根证书标记为不信任,所以应该是无法进行审计的。 |
|
40
yingfengi 2017-12-28 08:27:13 +08:00 via Android
@copriwolf ssl 审计是这样子的
当你访问某个 https 的站点的时候,设备先进行 ssl 卸载,然后针对该域名签发一个证书,然后 https 的方式把网页发给你。 这样子的话,你不信任设备的根证书,https 压根没法访问。 |
|
41
copriwolf OP @yingfengi 噢我以为审计是类似中间人,直接出口代替本机去与远程服务器交互 https,然后因为信任了自签发的证书,所以出口与本机也是 https,实现了信息拦截。
|
|
42
copriwolf OP @lshero 嗯,可是有时候有些软件级的就不知道有没有被拦截,比如微信、qq 这种走 ssl 的,就看不到证书了。
|
|
45
copriwolf OP @yingfengi 嗯,目前看来,这个证书仅仅只是鉴权,还没有一个审计 SSL 的功能,应该只是审计 http 吧
|
|
46
yingfengi 2017-12-28 18:24:40 +08:00 via Android
@copriwolf http 审计不需要搞证书,另外有没有审计看你公司,我上设备配过做准入策略审计 QQ 聊天记录的。。。
|
 |
48
zsj950618 2017-12-28 22:14:37 +08:00
根证书也是分用途的。。。
> 公司连入网络需要安装证书,进行 802.1X 的账户密码鉴定 802.1x 认证用的根证书,如果在系统把这个证书的用途限制在了只能进行设备认证,就不会影响到你 HTTPS 访问。 最简单就是你 HTTPS 访问网页的时候,在浏览器里看下所用的证书是谁签发的,和你公司的根证书对比下就好了。 |
|
49
yingfengi 2017-12-31 19:37:43 +08:00
才看到说 QQ 审计的问题,QQ 升级靠客户端,简单的来说就是你要用我的网络就必须在电脑装一个插件,不然不给用。
有点公司就是这么恶心,必须做这个。就遇到过一次,做期货的。 |
Select Language