V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
liword
V2EX  ›  问与答

公司的网络监控问题

  •  
  •   liword · 2015-09-07 23:56:35 +08:00 · 4237 次点击
    这是一个创建于 3371 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司使用自签名证书中间人 https 协议
    (通过域策略把公司自己的 CA 添加成了可信任的 CA )
    外加屏蔽了 80/443 以外端口的 http/https 协议
    另外还屏蔽了 80/443 端口的非 htttp/https 协议
    ssh 也设置了白名单,我没权限就没去试是不是也被中间人了。
    这样子是不是就完全没有办法隐藏自己浏览过的网页的内容啦?

    16 条回复    2015-09-09 14:40:52 +08:00
    Septembers
        1
    Septembers  
       2015-09-08 00:44:01 +08:00 via Android
    (这是一个信任与被信任的问题)
    alect
        2
    alect  
       2015-09-08 02:00:22 +08:00
    意思就是只可访问 80 的 http 和 443 的 https ?( 443 还被中间人?)
    如果用 SSLVPN 也不能安全的访问外部?
    ericFork
        3
    ericFork  
       2015-09-08 02:31:43 +08:00
    考虑跳槽么
    liword
        4
    liword  
    OP
       2015-09-08 02:46:08 +08:00
    @alect 一般常见的 VPN 用的也是白名单, SSLVPN 我不知道具体指的是哪种?公司好像是 palo alto 的深度包检测来分析还有屏蔽协议的,如果走的是 VPN 协议的话那肯定不管什么端口都被从协议上就被封了。如果是用 https 协议来封装的话,因为有中间人在,不知道会变成怎样...你能举个 sslvpn 的例子么,我好去试试看。
    liword
        5
    liword  
    OP
       2015-09-08 02:53:05 +08:00
    @ericFork 哈哈,暂时不考虑,坐等裁员。另外好像最近跨国 IT 公司好像都开始慢慢用这种方式了,感觉再过几年中间人+深度包检测估计就是行业标配了。
    diguoemo
        6
    diguoemo  
       2015-09-08 07:28:30 +08:00 via Android
    试试 shadowsocks 80 端口的
    RR6116
        7
    RR6116  
       2015-09-08 08:15:21 +08:00
    @liword 一种猜测是受 zf 限制的,以前公司网络随便就可以访问 google 和 facebook 。后来有有关部门过来找到公司的 IT ,后来要去 google 一类的地方就只能通过特定的代理上了。
    gamexg
        8
    gamexg  
       2015-09-08 08:22:02 +08:00 via Android
    只要不是 http 白名单就可以,自己写个吧。
    jhaohai
        9
    jhaohai  
       2015-09-08 08:27:00 +08:00 via iPhone
    我在某银行,办公的 pc 也是这德行,然后开了 80 端口的 shadowsocks 就可以绕过去了
    mrhuiyu
        10
    mrhuiyu  
       2015-09-08 09:01:49 +08:00
    不太清楚,不过作为公司网管,我已经了解了最基本路由端抓包了,以及某牌 AC 抓包。
    xfspace
        11
    xfspace  
       2015-09-08 09:04:24 +08:00 via Android
    @liword 我们公司用的 PQ
    clino
        12
    clino  
       2015-09-08 09:05:54 +08:00
    有哪些跨国 IT 公司会这么搞啊...这种 ssl 中间人的搞法我觉得至少在欧美应该不会用吧?
    xfspace
        13
    xfspace  
       2015-09-08 09:06:02 +08:00 via Android
    @xfspace 手机手贱。。
    我们公司用的也是 PA ,策略严格到只能打开 PA 白名单。。。
    vileer
        14
    vileer  
       2015-09-08 10:44:16 +08:00
    @alect 楼主说了,公司通过域策略将证书装在了员工电脑上
    xixi10111011
        15
    xixi10111011  
       2015-09-08 16:41:19 +08:00 via Android
    公司自签证书?意思是说公司在中间做了 https 的转发么?谁来科普一下
    vexxx
        16
    vexxx  
       2015-09-09 14:40:52 +08:00
    https://github.com/larsbrinkhoff/httptunnel
    通过 httptunnel 走 ssh 或 ss 就可以自由访问并保护隐私了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2915 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 03:01 · PVG 11:01 · LAX 19:01 · JFK 22:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.