最近无意间和同事聊到,连接公司 WiFi,到底会不会被监控?如果该热点已经是透明代理了,那么到底会不会泄露已经加密的隐私数据?
1 代理
对于大多数安全研究者来说,接触代理这一概念可能都是通过 Burpsuite 抓包完成的,通过在本地设置代理为 Brup 所在 IP 地址,并将证书导入相应设备,实现抓包。其实这一过程就是模拟了正向代理的设置过程。常见的代理类型包括正向代理、反向代理以及透明代理。
如果代理想查看 HTTPS 流量,一般而言,在代理结构中使用 HTTPS 取决于服务拦截连接并提供自己的证书,客户端必须接受该证书才能继续通信。除非设备已导入证书,否则此过程将被视为不安全的连接,并生成⚠警告信息。
- 对于具有域控制器的环境,可以批量部署证书,这不是问题;但在较小的结构中,手动执行此操作会产生相当大的工作需求。
- 并非每个应用程序都基于 HTTP 协议。这意味着数以千计的其他端口可以绕过代理。
1.1 正向代理
正向代理(Forward Proxy)也成为普通代理,是一种代理服务器,通过拦截流量将其转发到目标服务器。正向代理隐藏了客户端真实 IP 地址和位置信息,目标服务器只能看到代理服务器的相关信息。
- 抓包 - 最常见的 Burpsuite 抓包就是将你的电脑作为正向代理。
- VPN - 正常情况下,我们是访问不了 Google 的,但是通过 VPN 是可以的。在访问 Google 时,先连上 VPN 服务器将我们的 IP 地址变成美国的 IP 地址,然后就可以顺利的访问了。
- 防火墙 - 监管部门或者公司,指定员工电脑必须设置代理才能访问网络,此时正向代理服务器可以查看员工电脑上的所有流量。
1.2 反向代理
反向代理(Reverse Proxy)位于接受客户端请求的服务器前面。它类似于转发代理,但主要区别在于它确保没有客户端可以直接向服务器发出请求。所以服务器的 IP 地址对客户端是隐藏的,可以防止 DDoS 攻击。正向代理代理客户端,反向代理代理服务器。
- 负载平衡 - 此站点不是管理单个服务器的所有网络流量,而是将网络流量平均分布在服务器池中以处理对同一站点的请求。这将防止任何单个服务器因客户端请求而过载。
- 缓存 - 反向代理可以缓存请求的内容以减少服务器上的负载。
- 压缩 - 反向代理可以压缩内容以进行优化。
- SSL 加密 - 可以配置反向代理来加密和解密 SSL 通信以保护请求和响应。
1.3 透明代理
透明代理(Transparent Proxy)和非透明代理最显著的区别是,正向代理会修改客户端发送的请求,并让客户端(例如 Web 浏览器)知道请求已更改。也就是说透明代理,对于客户端和服务端都是一个透明的存在,用户并没有感知。正向代理需要在客户端进行配置,透明代理是不需要的。基于上述特征,通常,我们建议对托管设备使用正向代理,对非托管设备使用透明代理。
例如,在咖啡店连接公共 WiFi,弹出登录页面(Portal),此时公共热点就充当了透明代理,即使后续登录热点,关闭该登录页面之后,此时你所有的流量仍然可能经过透明代理。但是透明代理只能监测 TCP 层流量,至于能否监测到应用层实际的明文信息,取决于是否进行了加密。
1.4 案例分析
再回到最初的问题,中间人即代理到底能不能看到我们所有上网的流量数据,我们来举几个实际案例来分析。在如下几种情况下,流量还能被监控吗?
公司内部网络,员工需要在电脑上设置代理,才能够访问外部网络。
公司内部网络,员工没有设置代理,正常访问外部网络。
公司内部网络,员工没有设置代理,也没有安装公司软件。
简单总结一下
- 能够监控流量不代表能够看到所有应用层明文信息
- 透明代理只是客户端无感知,如果想监控所有 SSL 流量,仍然需要在客户端进行一定的操作,例如导入证书
以上只是在技术层面分析代理监测流量和用户上网行为的可行性,然而实际情况却有所不同。
2 加密网络流量分析
根据《Cisco Encrypted Traffic Analytics White Paper 》的描述,出于性能和资源原因,采用批量解密、分析和重新加密的传统威胁检查并不总是实用或可行的。此外,它还会损害隐私和数据完整性。
因此大家不用过于担心在企业工作时,泄露个人隐私。如果企业解密所有流量,用户会感觉不安。要想在不牺牲隐私的前提下保护网络环境安全,企业只能引入另一层,从策略层面上确定要解密什么流量。
在任何一天,没有人知道他们的数字业务中有多少是透明的,有多少是加密的。如果流量被加密,则通常进行加密以满足强制执行特定安全策略的合规性要求。对于企业的信息安全部门来说,如何确定 SSL 流量的解密比例,是一项具有挑战性的工作,当然也有很多安全公司提供完整的解决方案。 任何 IT 部门的主管都不会想要在每个点上解密这类流量,因为它将会导致大量性能损失。
3 总结
总体而言,万物互联的时代,企业有能力监控员工访问互联网留下的每一处痕迹,但是在比以往任何时候都注重个人隐私的今天,再加上代理解密 SSL 会消耗巨大资源,实际很多公司只会根据风控策略选择解密部分敏感数据。除了加强内部合规风险审查之外,另一方面,政府、企业更多的是需要考虑如何保护个人数据不被滥用,不被泄露,增强他们在民众间的公信力。
4 推荐文献
- Google’s Part in an Information Collection Framework
- Internet Censorship detection: A survey
- What’s the main difference between transparent and non-transparent proxies?
- Transparent proxy, know its benefits and limitations
- 透明代理入门
- Cisco Encrypted Traffic Analytics White Paper (思科加密流量分析白皮书)
- 解密 SSL 流量,发现隐藏威胁